|
Auch TR/Agent.33302 Hallo! Hab auch seit gestern das Problem, dass immer wieder die Meldung vom Antivir auftaucht, dass C:\WINDOWS\system32\opnnnlm.dll betroffen ist vom Trojaner TR/Agent.33302 Er taucht meistens auf bzw. immer wenn ich ein neues Fenster im Internet aufmach oder dort irgendeine bestimmte Aktion mache (Mails abschicken etc.) Kann mir bitte wer helfen? Kenn mich leider viel zu wenig aus bei so was :( Hijack-File: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Toshiba\Windows Utilities\Hotkey.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\SpeedTouch USB\Dragdiag.exe C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\aon\aonUpdate\aonUpdate.exe C:\Programme\uTorrent\utorrent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\3M\PSN2Lite\Psn2Lite.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe O4 - HKLM\..\Run: [McAfee Online Virus Scanner] avp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\lpflyhhg.dll",realset O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKLM\..\RunServices: [McAfee Online Virus Scanner] avp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000140.exe O4 - HKCU\..\Run: [qmqu] C:\PROGRA~1\GEMEIN~1\qmqu\qmqum.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray O4 - HKCU\..\Run: [µTorrent] "C:\Programme\uTorrent\utorrent.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSN2Lite\Psn2Lite.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144444756780 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/IPSUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D64C9915-CE5E-4DD6-8A45-F2FEE8DA0374}: NameServer = 195.34.133.21,195.34.133.22 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VGhlcmVzYQ\command.exe (file missing) O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Aja, was bedeutet das eigentlich, dass ich den ordner system32 gar nicht unter C:\WINDOWS hab sondern unter C:\I386 Wie gesagt, ich kenn mich da nicht so aus! LG und Danke |
Hi, du hast den Ordner system32 offensichtlich auch under Windows ;): Zitat:
Lass bitte mal folgende Dateien bei virustotal auswerten: Zitat:
Tut mir Leid. :( lg myrtille |
AUSETZEN?!? nein, bitte nicht ... maaa :( der ordner wird zwar da angezeigt, aber wenn ich unter C:\WINDOWS reingehe seh ich den nicht ... hmmm aja, und wie genau funktioniert das mit dem virustotal? ich versuch die dateien übern explorer zu finden, find sie aber nicht :( |
Also. Neuaufsetzen ist nicht so schlimm, wie man glaubt. ;) Das merkt man meist allerdings erst nachdem mans gemacht hat. ;) Zum Thema virustotal: Du hast 2 Möglichkeiten: Zum einen kannst du alle Dateien sichtbar machen und dann erneut versuchen, die Dateien zu finden. (Dann müsstest du auch den system32-ordner sehen können) Ansonsten kannst du auch einfach mal versuchen die Pfade Zitat:
lg myrtille |
hmm, dann muss ich mir irgendwo eine externe festplatte besorgen, weil wo soll ich sonst mit meinen ganzen dokumenten hin? da kann aber dann eh nix passieren wenn ich die runterspeicher und dann nach dem aufsetzen wieder raufspiel, oder? bezüglich der datein: ich hab jetzt bei den ordneroptionen eingstellt, dass ich versteckte dateien anzeigen lass, aber ich find die immer noch nicht ... mein gott ist das schlimm wenn man null plan hat :( obwohl, wenn ich den pfad C:\WINDOWS\system32 in die adressleiste reinkopier hab ich den ordner schon und auch die datei lpflyhhg.dll, nur bei der windows-suche findet er es nicht. und alle anderen auch nicht - nicht mal wenn ich den pfad reinkopier. lg und danke |
Die Dateien wollen ja auch nicht gefunden werden. ;) Ich meinte mit dem Pfad reinkopieren, den Pfad bei virustotal ins weiße Fensterchen zu kopieren, hattest du das auch so verstanden? Wenn nicht probier das mal. lg myrtille |
ahso :) hab das jetzt gemacht und es kommt bei den 3 pfaden immer die meldung: 0 bytes size received / Se ha recibido un archivo vacio Und die avp.exe find ich auch nicht :( |
Dann bleibt wohl nur das neuaufsetzen.... Die Tatsache, dass die Datei sich "versteckt" zeigt eindeutig, dass es sich um Malware handelt und da es sich um Malware handelt, wird es auch der Backdoortrojaner sein den ich zuerst verdächtigt hatte. Tut mir Leid lg myrtille |
ok, danke :( aber ich kann die dateien die ich drauf hab schon ohne risiko auf zb eine externe festplatte überspielen, oder? bitte nit nein sagen :) |
Alles was nicht ausführbar ist, ist sozusagen sicher.... Also solang die Endung nicht .exe, .com ist... Steht aber auch alles in der Anleitung. ;) lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board