notepad.exe befallen! Oh je!Thema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
19.06.2004, 01:41
Member
Beiträge: 13 |
|
|
|
19.06.2004, 09:47
Moderator
Beiträge: 6466 |
#2
www.freeav.de
Es gibt einige Würmer und Trojaner, die sich als notepad.exe tarnen oder diese eben infizieren. Ein kompletter Virenscan wäre notwendig. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
19.06.2004, 12:59
Member
Themenstarter Beiträge: 13 |
#3
Mein Norton AntiVirus 8.07.17C kann nichts finden.
Viele Grüße Eure Eyeliner Dieser Beitrag wurde am 19.06.2004 um 12:59 Uhr von Eyeliner editiert.
|
|
|
19.06.2004, 13:23
Moderator
Beiträge: 7805 |
#4
Test deine Notepad.exe mal hier:
http://www.kaspersky.com/scanforvirus Der wird schon was finden. Mein Tipp: TrojanDownloader.Win32.Miled.b __________ MfG Ralf SEO-Spam Hunter |
|
|
19.06.2004, 13:26
Moderator
Beiträge: 6466 |
|
|
|
19.06.2004, 13:29
Member
Themenstarter Beiträge: 13 |
#6
Geprüft: C:\\windows\system32\notepad.exe
Scanned file: notepad.exe notepad.exe - packed with FSG notepad.exeWarning: TrojanDropper.Win32.Small.hx Known viruses: 91264 Updated: 19-06-2004 File size (Kb): 25 Virus bodies: 0 Files: 2 Warnings: 1 Archives: 0 Suspicious: 0 Und jetzt? LG Eyeliner Dieser Beitrag wurde am 19.06.2004 um 13:30 Uhr von Eyeliner editiert.
|
|
|
19.06.2004, 13:38
Moderator
Beiträge: 7805 |
#7
Nagut, knapp daneben ist auch vorbei.
Versuche es mal hiermit: Diesen Scanner( http://www.mwti.net/antivirus/free_utilities.asp ) herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann, im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen. Hier die mwav.exe runterladen abgesicherter Modus: http://www.bsi.de/av/texte/winsave.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
19.06.2004, 14:34
Member
Themenstarter Beiträge: 13 |
#8
@Raman:
Hab ich gemacht! Scheint auch funktioniert zu haben! Ist das originale Wordpad jetzt wieder okay? Was ist mit der rundll32.exe? Sie versucht es immer noch! Vielen Danke! Eure Eyeliner |
|
|
19.06.2004, 14:42
Moderator
Beiträge: 7805 |
|
|
|
19.06.2004, 15:13
Member
Themenstarter Beiträge: 13 |
#10
Logfile of HijackThis v1.97.7
Scan saved at 15:10:34, on 19.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\PowerKey.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\WLANSTA.EXE D:\Programme\Winamp\Winampa.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\OpenOffice.org1.0.1\program\soffice.exe D:\Programme\weg\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe O4 - Global Startup: GM VPN-Client.lnk = C:\Programme\GM\eCa VPN Client\ipsecdialer.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37938.263912037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBF7D55-A5AD-44F3-97E2-42F499FC931E}: NameServer = 134.91.1.150,134.91.4.150 O17 - HKLM\System\CS1\Services\Tcpip\..\{5BBF7D55-A5AD-44F3-97E2-42F499FC931E}: NameServer = 134.91.1.150,134.91.4.150 So....ich glaube ich muss auf jeden Fall diese zwei Zeilen fixen: O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install LG Eyeliner |
|
|
19.06.2004, 15:29
Moderator
Beiträge: 7805 |
#11
Ja, genau und bitte diese Datei an virus@protecus.de schicken:
C:\WINDOWS\sdkqh32.dll Fix auch das: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank __________ MfG Ralf SEO-Spam Hunter |
|
|
19.06.2004, 15:35
Member
Themenstarter Beiträge: 13 |
#12
Also, diese drei Sachen fixen!
Und....diese Datei als Anhang an virus@protecus.de schicken? Was passiert damit? |
|
|
19.06.2004, 15:44
Moderator
Beiträge: 7805 |
#13
Die wird an diverse AV-Herstellergeschickt, u.a Norton/Symantec, so das sie diese Variante zu ihrer "Erkennungsliste" hinzufuegen koennen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
20.06.2004, 09:09
Member
Themenstarter Beiträge: 13 |
#14
Ich hab's getan!
Das Problem mit der rundll32.exe besteht aber nach wie vor.... Danke vielmals!!! VG Eyeliner |
|
|
20.06.2004, 09:19
Moderator
Beiträge: 7805 |
#15
Welche Rundll32.exe wo genau in welchem Verzecihniss befindet sich diese?
Die Eintraege hast du mit Hijackthis log gefixt? und wann tritt dieses Phaenomen auf? __________ MfG Ralf SEO-Spam Hunter |
|
|
ich habe wahrscheinlich letztens nicht alles entfernen können.
Folgendes Problem besteht:
Ich kann mein Notepad nicht mehr öffnen. Versuche ich ihn zu öffnen, passieren eine ganze Menge Hintergrundaktivitäten und mein InternetExplorer fängt sich so einiges ein, was ich aber einoigermaßen entfernen konnte.
Da ist dann auch irgendetwas mit einer svchost.exe! Was heißt eine? Diese wird im Taskmanager unter Prozesse mehrmals angezeigt.
Außerdem versucht die rundll32.exe seit Tagen Zugriffe auf das Internet zu tätigen.
Sieht alles übel aus!
1.000 Dank für Eure Hilfe!!!
Eyeliner