Win XP: Virus " TR/Agent.33302 " geht nicht weg zumachen , was tun ?

Im Normalmodus sind etliche Dateien gesperrt .

Darum :
unbedingt immer im abgesicherten Modus scannen !
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart
 

poste doch das HijackThis-Log hier. Vielleicht kann wer mehr rauslesen als du ( soll keine Beleidigung sein!).


 

Hallo samu,
auch in deinen Fall gehe ich von einer Infizierung mit der Malware Vundo aus.

Setze dagegen das Removaltool VondoFix ein:
http://www.atribune.org/content/view/24/2/

Hier eine Anleitung zu dem Tool VundoFix Tool:
http://forum.hijackthis.de/showthread.php?t=18415

Boote danach den PC neu.
Weiter sollte zur Kontrolle jetzt noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte bei Rückfragen auf jeden Fall die ausführlichen Scanreports von Panda und VundoFix!

hey leute.. ich hoffe ihr könnt mir weiterhelfen denn ich habe das gleich problem wie derjenige der diesen thread eröffnet hat.

antivir meldet TR/Agent.33302 aber kann diesen nicht enfernen. Vundofix V.6.5.0 findet nichts. hoffe mir kann geholfen werden da sich auch bei mir ständig pop-ups öffnen, manchmal bis zu 70 auf einmal.
 

ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Nico\Desktop\ComboFix.exe
"Nico" - 2007-06-14 13:44:48 - Service Pack 2  NTFS 


((((((((((((((((((((((((((((((((((((((((((((   V Log   )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\uhgufrix.dll
C:\WINDOWS\system32\kjjlm.bak1
C:\WINDOWS\system32\kjjlm.ini
C:\WINDOWS\system32\xirfughu.ini
C:\WINDOWS\system32\kjjlm.bak1
C:\WINDOWS\system32\kjjlm.ini
C:\WINDOWS\system32\mljjk.dll


* * *  POST RUN FILES/FOLDERS  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((   Files Created from 2007-05-14 to 2007-06-14  )))))))))))))))))))))))))))))))


2007-06-14 13:27   49,152   --a------   C:\WINDOWS\nircmd.exe
2007-06-12 21:46   <DIR>   d--------   C:\Programme\Google
2007-06-12 21:46   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\Google
2007-06-12 06:41   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-06-11 22:05   <DIR>   d--------   C:\Programme\Avira
2007-06-10 21:51   6,550   --a------   C:\WINDOWS\jautoexp.dat
2007-06-10 21:51   46,352   --a------   C:\WINDOWS\setdebug.exe
2007-06-10 21:51   139,536   --a------   C:\WINDOWS\system32\javaee.dll
2007-06-10 21:51   113   --a------   C:\WINDOWS\system32\zonedon.reg
2007-06-10 21:51   113   --a------   C:\WINDOWS\system32\zonedoff.reg
2007-06-10 21:31   60,928   --a------   C:\WINDOWS\system32\mhbkdtdn.dll
2007-06-10 13:33   <DIR>   d--------   C:\Programme\MSXML 4.0
2007-06-09 19:42   <DIR>      C:\DOKUME~1\Nico\ANWEND~1\Meine Die Schlacht um MittelerdeT II-Dateien
2007-06-09 18:46   33,302   ---------   C:\WINDOWS\system32\awtqpno.dll
2007-06-09 18:23   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\Ahead
2007-06-09 18:23   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-06-09 18:22   <DIR>   d--------   C:\Programme\Nero
2007-06-09 18:22   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Ahead
2007-06-09 18:22   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
2007-06-05 19:49   108,144   --a------   C:\WINDOWS\system32\CmdLineExt.dll
2007-06-05 19:34   <DIR>   d--------   C:\ProgramData
2007-06-05 19:33   <DIR>   d--------   C:\Programme\InstallShield Installation Information
2007-06-05 19:33   <DIR>   d--------   C:\Programme\Electronic Arts
2007-06-04 16:20   <DIR>   d--------   C:\Programme\EA GAMES
2007-06-04 16:18   <DIR>   d--------   C:\Programme\Alcohol Soft
2007-06-04 15:26   442,368   -ra------   C:\WINDOWS\system32\vp6vfw.dll
2007-06-03 16:07   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\Help
2007-06-03 11:06   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-05-29 21:58   <DIR>   d--------   C:\Programme\MSECache
2007-05-29 01:22   <DIR>   d--------   C:\Programme\Ski Alpin Racing 2007
2007-05-29 00:52   68,888   --a------   C:\WINDOWS\system32\xinput1_3.dll
2007-05-29 00:52   62,744   --a------   C:\WINDOWS\system32\xinput1_2.dll
2007-05-29 00:52   3,426,072   --a------   C:\WINDOWS\system32\d3dx9_32.dll
2007-05-29 00:52   255,848   --a------   C:\WINDOWS\system32\xactengine2_6.dll
2007-05-29 00:52   251,672   --a------   C:\WINDOWS\system32\xactengine2_5.dll
2007-05-29 00:52   237,848   --a------   C:\WINDOWS\system32\xactengine2_4.dll
2007-05-29 00:52   236,824   --a------   C:\WINDOWS\system32\xactengine2_3.dll
2007-05-29 00:52   2,414,360   --a------   C:\WINDOWS\system32\d3dx9_31.dll
2007-05-29 00:52   2,297,552   --a------   C:\WINDOWS\system32\d3dx9_26.dll
2007-05-29 00:52   15,128   --a------   C:\WINDOWS\system32\x3daudio1_1.dll
2007-05-28 23:02   <DIR>   d--------   C:\Programme\Skispringen 2007
2007-05-28 23:01   101,376   --a------   C:\WINDOWS\system32\drivers\ACEDRV07.sys
2007-05-27 03:00   <DIR>   d--h-----   C:\WINDOWS\$hf_mig$
2007-05-27 03:00   <DIR>   d--------   C:\WINDOWS\system32\PreInstall
2007-05-26 22:00   <DIR>   d--------   C:\WINDOWS\system32\SoftwareDistribution
2007-05-25 22:01   <DIR>   d--------   C:\Programme\RTL.SKI.JUMPING.2007
2007-05-25 21:59   <DIR>   d--------   C:\Programme\uTorrent
2007-05-25 21:59   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\uTorrent
2007-05-25 21:57   <DIR>   d--------   C:\Programme\BitTorrent++
2007-05-23 06:54   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\MSN6
2007-05-23 06:54   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
2007-05-21 22:13   65,536   --a------   C:\WINDOWS\wanmpsvc.exe
2007-05-21 18:44   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\DirectX
2007-05-21 18:36   <DIR>   d--------   C:\Programme\Zuxxez
2007-05-21 14:28   <DIR>   d--------   C:\Programme\VideoLAN
2007-05-21 14:28   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\vlc
2007-05-21 14:22   29,704   --a------   C:\WINDOWS\system32\uxtuneup.dll
2007-05-21 14:22   <DIR>   d--------   C:\Programme\TuneUp Utilities 2007
2007-05-21 14:22   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-21 14:22   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\TuneUp Software
2007-05-21 14:22   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-05-21 14:21   328,704   --a------   C:\WINDOWS\IsUn0407.exe
2007-05-21 14:21   <DIR>   d--------   C:\WINDOWS\Profiles
2007-05-21 14:21   <DIR>   d--------   C:\DOKUME~1\Nico\WINDOWS
2007-05-21 14:21   <DIR>   d--------   C:\DOKUME~1\Nico\ANWEND~1\AdobeUM
2007-05-21 14:20   <DIR>   d--------   C:\WINDOWS\Downloaded Installations
2007-05-20 22:28   <DIR>   d--------   C:\Programme\DAEMON Tools
2007-05-20 22:25   682,232   --a------   C:\WINDOWS\system32\drivers\sptd.sys
2007-05-20 22:14   82,944   --a------   C:\WINDOWS\system32\drivers\wdmaud.sys
2007-05-20 22:14   7,552   --a------   C:\WINDOWS\system32\drivers\MSKSSRV.sys
2007-05-20 22:14   60,800   --a------   C:\WINDOWS\system32\drivers\sysaudio.sys
2007-05-20 22:14   6,400   --a------   C:\WINDOWS\system32\drivers\splitter.sys
2007-05-20 22:14   54,272   --a------   C:\WINDOWS\system32\drivers\swmidi.sys
2007-05-20 22:14   52,864   --a------   C:\WINDOWS\system32\drivers\DMusic.sys
2007-05-20 22:14   5,376   --a------   C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2007-05-20 22:14   4,992   --a------   C:\WINDOWS\system32\drivers\MSPQM.sys
2007-05-20 22:14   2,944   --a------   C:\WINDOWS\system32\drivers\drmkaud.sys
2007-05-20 22:14   172,416   --a------   C:\WINDOWS\system32\drivers\kmixer.sys
2007-05-20 22:14   142,464   --a------   C:\WINDOWS\system32\drivers\aec.sys
2007-05-20 22:13   60,288   --a------   C:\WINDOWS\system32\drivers\drmk.sys
2007-05-20 22:13   4,096   --a------   C:\WINDOWS\system32\ksuser.dll
2007-05-20 22:07   <DIR>   d--------   C:\WINDOWS\system32\LogFiles
2007-05-20 22:07   <DIR>   d--------   C:\WINDOWS\system32\drivers\UMDF
2007-05-20 22:07   <DIR>   d--------   C:\Programme\Windows Media Connect 2
2007-05-20 22:04   <DIR>   d--------   C:\WINDOWS\SoftwareDistribution
2007-05-20 22:04   <DIR>   d--------   C:\WINDOWS\Prefetch
2007-05-20 22:04   <DIR>   d--------   C:\DOKUME~1\LOCALS~1\Startmen
2007-05-20 21:48   95,424   ---------   C:\WINDOWS\system32\drivers\slnthal.sys
2007-05-20 21:48   9,728   ---------   C:\WINDOWS\system32\proxycfg.exe
2007-05-20 21:48   88,064   ---------   C:\WINDOWS\system32\p2pnetsh.dll
2007-05-20 21:48   870,784   ---------   C:\WINDOWS\system32\ati3d1ag.dll
2007-05-20 21:48   86,016   ---------   C:\WINDOWS\system32\p2pgasvc.dll
2007-05-20 21:48   86,016   ---------   C:\WINDOWS\system32\mdmxsdk.dll
2007-05-20 21:48   81,920   ---------   C:\WINDOWS\system32\ieencode.dll
2007-05-20 21:48   81,408   ---------   C:\WINDOWS\system32\wscsvc.dll
2007-05-20 21:48   8,192   ---------   C:\WINDOWS\system32\smbinst.exe
2007-05-20 21:48   8,192   ---------   C:\WINDOWS\system32\bitsprx2.dll
2007-05-20 21:48   78,464   ---------   C:\WINDOWS\system32\drivers\usbvideo.sys
2007-05-20 21:48   755,200   ---------   C:\WINDOWS\system32\ir50_32.dll
2007-05-20 21:48   75,776   ---------   C:\WINDOWS\system32\strmfilt.dll
 

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-12 13:03:09   48,156   ----a-w   C:\WINDOWS\system32\perfc007.dat
2007-06-12 13:03:09   316,594   ----a-w   C:\WINDOWS\system32\perfh007.dat
2007-06-09 18:26:06   --------   d-----w   C:\DOKUME~1\Nico\ANWEND~1\Meine Die Schlacht um Mittelerde™ II-Dateien
2007-05-28 23:14:08   163,644   ----a-w   C:\WINDOWS\system32\drivers\secdrv.sys
2007-04-25 14:22:27   144,896   ----a-w   C:\WINDOWS\system32\schannel.dll
2007-04-23 14:42:50   972,336   ----a-w   C:\WINDOWS\UNRecode.exe
2007-04-18 16:13:24   2,854,400   ----a-w   C:\WINDOWS\system32\msi.dll
2007-03-20 19:22:04   972,336   ----a-w   C:\WINDOWS\UNNeroBackItUp.exe
2007-03-17 13:44:25   293,376   ----a-w   C:\WINDOWS\system32\winsrv.dll


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{8A61098D-612B-4EF2-943D-64E920684061}=C:\WINDOWS\system32\awtqpno.dll [2007-06-09 18:46]
{95001C6C-D6A3-FC0A-887C-83ADDCE8739A}=C:\WINDOWS\system32\mhbkdtdn.dll [2007-05-21 15:59]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2004-09-21 00:09 C:\WINDOWS\system32\nwiz.exe]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2006-11-17 13:05]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-05-20 17:48]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2007-05-20 18:10]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1179778396\ee\AOLSoftware.exe" [2006-11-17 15:16]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 C:\WINDOWS\AGRSMMSG.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-20 23:09]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\awtqpno.dll" [2007-06-09 18:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqpno]
awtqpno.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyp32]
winjyp32.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - netsvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-06-08 15:36:55  C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-14 13:49:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-14 13:50:49 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-14 13:50
C:\ComboFix2.txt ... 2007-06-14 13:37

   --- E O F ---

und hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:01:02, on 14.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AOL\1179778396\ee\aolsoftware.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Nico\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\awtqpno.dll
O2 - BHO: (no name) - {95001C6C-D6A3-FC0A-887C-83ADDCE8739A} - C:\WINDOWS\system32\mhbkdtdn.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1179778396\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: awtqpno - C:\WINDOWS\SYSTEM32\awtqpno.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjyp32 - winjyp32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

ich habe selber garkeine ahnung von sowas deshalb hoffe ich dass ihr mir dabei helfen könnt und mich aus dieser "pop-up-flut" befreit  danke im voraus für antworten und hilfe

Hallo,
du hast eine "Virtumonde" Infektion.
Erkennbar daran :
 

O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\awtqpno.dll
O2 - BHO: (no name) - {95001C6C-D6A3-FC0A-887C-83ADDCE8739A} - C:\WINDOWS\system32\mhbkdtdn.dll

O20 - Winlogon Notify: awtqpno - C:\WINDOWS\SYSTEM32\awtqpno.dll

arbeite diese Seite ab :http://forum.hijackthis.de/showthread.php?t=18415

beziehungsweise lade dir das Tool dazu.
Bevor du das Tool nach der Anleitung laufen läßt,mußt du die von mir gezeigten Sachen fixen.
Du weißt wie "fixen" mit Hijackthis geht ?
Das zu ladende Tool erstellt Logfiles,poste diese jeweils....
Sir Reklov

HijackThis : Anleitung  incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
oder
http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html
 

danke für die tipps und links die ihr gepostet habt ich bin den kleinen störenfried jetzt los   

Kann mir vlt. einer helfen ich bekomm des Virus nich weg AntiVir benachrichtigt mich immer wieder das in C:\WINDOWS\system32\rqrqrpn.dll ein Trojaner namens
TR/Agent.33302 ist bitte um hilfe


>>>>>>>>>>>>>>>>Log<<<<<<<<<<<<<<<<<<

Logfile of HijackThis v1.99.1
Scan saved at 22:02:18, on 15.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Razer\Habu\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\programme\steam\steam.exe
C:\Programme\D\D-Info Sommer 2006\Distart.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Razer\Habu\razertra.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Computer\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\rqrqrpn.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2006\Distart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: rqrqrpn - C:\WINDOWS\SYSTEM32\rqrqrpn.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

Hallo mindless,
du hast diesen ganz üblen Backdoortrojaner an Bord :

http://www.sophos.de/security/analyses/w32agobotlf.html

"Virumonde" ist auch aktiv plus weiterer "Freunde"...
Du mußt neu aufsetzen !!
Deine Kiste wird von Fremden gesteuert.Außerdem wird "Agobot" durch dich weitergegeben.Mit jeder EMail die du verschickst.
Sir Reklov

Hallo mindless,
du hast diesen ganz üblen Backdoortrojaner an Bord :

http://www.sophos.de/security/analyses/w32agobotlf.html

Den hat er nicht an Bord!!!