Startseite verändert - http://ssearch.biz entfernen

#31 Hallo,
ich hatte gestern den von paff geposteten thread gelesen und daraufhin meinen Ordner nach so einer Datei durchsucht. Gestern habe ich komischerweise nichts gefunden. Nachdem freakb aber heute schrieb, dass er was auf seinem System gefunden hat, suchte ich nochmal. Und siehe da, heute fand ich eine Datei mit Datum vom 29.01.2000 um 19:35. Bei mir heißt sie allerdings KNQTWZ]`.dll und ist 68096 Bytes groß. Ich habe versucht, sie zu löschen. Leider ohne Erfolg. Dann habe ich auch gleich die Registry durchsucht und werde gleich alle gefundenen Einträge posten. Wie ihr selbst gleich sehen werdet, fand der letzte Schreibzugriff am 17.07.2004 um 22:03 statt. Die Datei muss etwas mit dem Problem zu tun haben, denn genau zu diesem Zeitpunkt fing der ganze Mist bei mir an.

@ac01_de
Suche nochmal und weite die Suche ruhig auf das ganze System aus. Schaue in "Geändert am" einfach nach dem Datum: 29.01.2000. Vielleicht findest du ja jetzt was.

@paff
Wie kann ich die Datei löschen? Der Zugriff wird mir verweigert.

Hier nun die Registry-Einträge:

Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll

Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7


Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll


Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll

Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7


Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll


Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: EventMessageFile
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll

Wert 1
Name: TypesSupported
Typ: REG_DWORD
Daten: 0x7


Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 17.07.2004 - 22:03
Wert 0
Name: ServiceDll
Typ: REG_EXPAND_SZ
Daten: d:\windows\system32\knqtwz]`.dll


Gruß Murphy

#32 Hi Murphy

Hatte dich schon vermisst
Wir haben hier schon ein bißchen Vorarbiet geleistet.
Dein Mail kam übrigens nicht an, kannst du die Trotzdem nochmal senden bzw. die Addy überprüfen.

So nun zum Prob
Versuch mal den Dienst (Systemsteuerung/Verwaltung/Dienste)
Oder Start ausführen/services.msc

pnpsvc zu finden

Stellt dann mal auf deaktiviert und starte den Rechner neu.

Schau ob der Dienst gestartet wurde. Wenn nicht ist alles OK dann sollest du die DLL löschen können. Wenn nicht müssen wir härter durchgreifen
Hast du zufällig eine 2. Betriebssystem auf em Rechner?
Wenn ja kannst du wie unten beschrieben vorgehen.


Hier poste ich mal den Text der EMail, die mir derjenige geschickt hat der auch die 4 DLL' gefunden hat.
@Vol... Tschulidigung das ich dir Vorgreife, aber Murphy braucht die Anweisungen.

Zitat

Ich habe Win 2000 - und der netsvcs Befehl ist richtig - das ist schon
klar. Aber dieser Befehl startet einige Dienste - unter anderem eben
auch den pnpsvc, der wiederum als Parameter diese ***.dll aufruft.

Ich habe nun folgendes getan:

- die vier merkwürdigen .dlls gelöscht (ging bei der einen natürlich
nicht, war ja 'in-use')
- versucht den Dienst zu stoppen - ging auch nicht - war auch schon
vorher klar
- versucht in der registry den aufruf von pnpsvc aus dem netsvcs-value
herauszunehemen - ging, wurde aber sekunden später wieder von dem
prozess eingetragen - habe ich auch mit gerechnet

Also - die 'harte methode'

- anderes win2003 gebootet und die letzte murks dll gelöscht - sowie die
pnpsvc.inf gelöscht

- Normales win2000 im abgesicherten modus gebootet
- der dienst pnpsvc sollte gestartet werden - konnte aber nicht, da ja
die dll fehlte
- dann aus der registry die diversen einträge der pnpsvc gelöscht, insb
dien eintrag in dem netsvcs-Value, der die zu startenden dienste
enthält, und siehe da, pnpsvc blieb weg
- dann nochmal adaware und s&d laufen lassen - beides hat nichts
gefunden - aber das war ja vorher auch so

Dann - w2k normal gebootet - und siehe da, alles clean und wieder ok.

Pnpsvc-Dienst ist nicht mehr da - in der registry nicht mehr zu finden
und auch die komischen *.dlls sind weg.

Ich habe dann nochmal den Ereignismonitor angeschaut - und siehe da -
seit ca. 3 Tagen sind meldungen bezüglich des Dienstes ünpsvc vorhanden
- alle sagen, das ein ereignis nicht ausgewertet werden kann. Ich nehme
an, daß dies das Überprüfen des Hijackers war, ob in der Registry noch
alles so ist, wie er will durch den aufruf bei zugriff uf das netzwerk
bzw. anderer programme - aber egal jetzt, dafür verstehe ich davon zu
wenig

Weiterhin ist mir aufgefallen, daß der eintrag vor dem ersten pnpsvc
eintrag eine meldung von antivir ist, nachdem in einer java.zip
verdächtiger code gefunden wurde. Warum ich das nicht gesehen habe oder
ob ich das - völlig gegen meine gewohnheit - einfach weggecklickt habe
weiß ich nicht. Ich nehme aber an, daß das die Ursache war ...

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#33 Moin zusammen,

hier nun der oben erwähnte 'mitlesende User' - die Dateien waren von mir

paff scheint mit seinen vermutungen richtig zu liegen - bei mir konnte ich unter Annahme des obigen den Hijacker loswerden. Aber lieber von vorne ..

Plattform:
Win2000P SP4

Verhalten des Hijackers:
Bei Neustart sowie beim neuen Öffnen eines Fensters (CTRL-N) des Internet Explorers wird versucht zuerst kurz die eigentliche Homepage anzuzeigen - Ergebnis: 'konnte nicht geöffnet werden' - und dann die http://ssearch.biz/?wmid=1010. Bei einem erneuten click auf den Homepage-Button klappt alles wieder normal. Desweiteren sind die Back und Forward-Buttons nicht anwählbar (allerdings die entsprechenden Shortcuts ALT-Pfeilvorwärts bzw. ALT-Pfeilrückwerts).

Scanner:
Weder Hijackthis noch S&D, Adaware, Findnfix, BHODeamon noch der CWShredder haben etwas entdeckt oder etwas fixen können.

Erkennungsmerkmale:
Im Ereignislog finden sich einträge eines Dienstes namens pnpsvc mit dem Inhalt "Die Beschreibung der Ereigniskennung (100) in (pnpsvc) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Ereignisinformationen: pnpsvc."

Was ist passiert:
Bei mir hat sich ein Dienst namens pnpsvc eingeschlichen, der per svchost gestartet wird. Die Details des Dienstes lauten (wie schon oben gesagt) :
'Plug and Play svc service' (Name)
'Provides plug and play svc devices support' (Beschreibung)
automatisch (Starttyp)
'C:\WINNT\system32\svchost.exe -k netsvcs' (Befehl)
nutzt das lokale Systemkonto inkl. 'Datenaustausch zwischen Dienst und
Desktop zulassen'
hat keine Abhängigkeiten

Dieser Dienst startet die Gruppe netsvcs, die in der Registry eingetragen ist und zu denen u.a. auch der Dienst pnpsvc gehört, dessen Service DLL die eigentliche schädlich dll enthält.

In der Registry ist pnpsvc bei mir in den folgenden Schlüsseln zu finden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Svchost\netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\\Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\Control\\ActiveService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\\Sources
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Enum\\0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc

bzw. selbiges unter den ControlSets 002 und Current (also
HKLM\SYSTEM\ControlSet002\* und HKLM\SYSTEM\CurrentControlSet\*)

Bei den Keys *\pnpsvc\Parameters findet sich dann auch ein Value mit dem
Namen 'ServiceDll' und dem Inhalt 'c:\winnt\system32\behknqtw.dll'

selbiges auch bei den keys *\Application\pnpsvc im Value Namens
'EventMessageFile'.

Diese DLL (BEHKNQTW.dll) existiert auch unter anderem Namen aber exakter Dateigröße (67kb) und Erstellungsdatum (29.01.2000 19:35) im selben Verzeichnis:
CFILORUX.dll
LORUX[^a.dll
NQTWZ]`c.dll

Ich nehme an, daß die weiteren DLLs zur Absicherung und Fortpflanzung dienen - aber genaues weiß ich nicht.

Außerdem existiert eine Datei namens pnpsvc.inf in C:\WINNT\system32.

Aufgrund der Registry-Einträge nehme ich an, daß sich der Dienst bei dieversen Netzwerk-Events immer wieder selbst aufruft und kontrolliert, ob in der Registry noch alles so ist, wie er möchte - diese Events werden dann auch in der Ereignisanzeige von Windows 2000 angezeigt.

Nun das Wichtigste, wie bin ich Ihn losgeworden ..

Zuerst habe ich sowohl die pnpsvc.inf als auch die DLLs CFILORUX.dll, LORUX[^a.dll, NQTWZ]`c.dll gelöscht - also alle dieser DLLs, die sich löschen lassen. Die BEHKNQTW.dll konnte nicht gelöscht werden, weil sie benutzt wurde - logisch, der Dienst läuft ja.

Also - da sich der Dienst auch in der Registry unter SAFEBOOT eingetragen hat nehme ich an, daß er auch im abgesicherten Modus versucht zu starten (ich habe aber keine Ahnung, ob das stimmt - ich bin kein Windows-Registry-Crack - habe ich mit einem alternativen Betriebssystem neu gebootet (bei mir eine andere Windows Installation auf der Platte, knoppix oder die Systemwiederherstellungsconsole sollte ebenfall funktionieren) und die letzte der DLLs gelöscht.

Dann habe ich im abgesicherten modus nochmal neu gebootet und zuerst den Dienst pnpsvc deaktiviert und dann alle Vorkommen des pnpsvc in der Registry gelöscht.

HIERBEI ABER VORSICHT!

Die Einträge

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc

müssen wohl komplett gelöscht werden.

In den Einträgen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Svchost\netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\\Sources

muß im Value der Wert pnpsvc entfernt werden - der Rest gehört wohl da hin!

Selbiges natürlich auch unter den ControlSets 002 und Current (also
HKLM\SYSTEM\ControlSet002\* und HKLM\SYSTEM\CurrentControlSet\*)

Für obiges aber keine Garantie - nicht das hinterher jemand meckert, ich hätte seine Installation zerschossen! Vor dem Ändr der Registry bitte auch immer ein Backup anlegen!

Anschließend habe ich nochmals neu gebootet und dann war ich die Pest los.

Anscheinend habe ich mir dieses Teil über eine Sicherheitslücke in der JAVA VM eingefangen - ANTIVIR hat jedenfalls im besagten Ereignislog einen entsprechenden Eintrag direkt 20 Sek. vor dem ersten Auftauchen des pnpsvc Dienstes gemacht. Warum ich diese Meldung nicht gesehen habe oder ob ich sie einfach weggeklict habe, kann ich im nachhinneinnicht mehr sagen.

So - ich hoffe obiges hilft auch jemand anderem!

cu

fly

PS.: Kein problem mit dem posten meiner mail - mußte nur eben ans Telefon und da war mein ganzes Geschreibsel schon wieder futsch

#34 hallo hatte die auswertungen in einem neuen theard geschickt. danke . gruss ac

#35 @murphy

Probiere mal folgendes

Lade dir die Datei Killbox.exe runter
http://home8.inet.tele.dk/fbj/ASW.htm
Auf der Seite ist auch eine Anleitung , allerdings dänisch (glaube ich )

Starten und den grünen Pfeil links unten Drücken.
Unter "Browse" die DLL auswählen, so das sder Pfad dann im Textfeld steht
Dann "AddFile" im Unteren Teil drücken

Dann Remove on Reboot.

Selbstverständlich vorher alle Fenster schließen !!

Dann bootet der Rechner neu und löscht die Datei bevor Sie geladen weden kann.

Hoffe das funktioniert ?
Alles ohne Gewähr

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#36 hallo hier sind meine daten mit dem problem mit der startseite. danke. gruss ac


Logfile of HijackThis v1.98.0
Scan saved at 16:59:36, on 23.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\JADOHIDB.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.262.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {C9168A21-D41C-11D8-9244-0040231C71FF} - C:\WINDOWS\SYSTEM\EDIM.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\JADOHIDB.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .cfm: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0740cd2d85f5de4af705/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

#37

Zitat

ac01_de postete
hallo hier sind meine daten mit dem problem mit der startseite. danke. gruss ac

anderer Thread ist schon beantwortet

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#38 hallo pfaff, hallo murphy. besten dank für den tip. habe zwei verdächtige bzw. sehr verdächtige datein gefunden eine ist genau 64 kb und ist vom 29. Jan 2000 um 19.35, d.h. die zweite datei ist es auch. name der datein NQTWZ]c.dll = 67 kb. zweite datei EHKNQTWZ.dll größe 0 kb, sonst beide gleichabgelegt in C:windows/system.

nun ist nur die frage wie soll ich die datein löschen. manuel oder gibts eine extra software dafür ???

vorab schon mal besten dank. gruss ac

#39 @ac01_de

Schau mal meinen Post von 18:16 an.
Ist aber nur eine Idee. Weiß nicht obs futzt.

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#40 Hallo,
also, ich habe die killbox.exe geladen. Allerdings konnte ich die besagte .dll nicht in das Fenster unten bekommen. Also habe ich versucht, sie mit dem Button "Find and kill this file" zu löschen. Dann stand da, das die Datei gelöscht sei. Dem war aber nicht so. Ich habe auch kein zweites BS. Der Dienst lässt sich nicht deaktivieren. Was soll ich jetzt machen?

#41 @murphy

Schau dir mal das an
http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm

Dann scrolle zum 2 Bild
Erst oben mit "Browse" die Datei auswählen
Dann den Knopf drücken auf den im Bild der "Rote Pfeil" zeigt.
Dann öffnet sich der untere Teil

Dann dort Drücken wo der Rote Kreis ist "Add File"
Dann wird die Datei nach unten übernommen

Dann "Remove on Reboot" drücken

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#42 @paff

Es funktioniert nicht. Das Prog zeigt mir an: No file was found in this location.
Was nun?

#43

Zitat

Murphy postete
@paff

Es funktioniert nicht. Das Prog zeigt mir an: No file was found in this location.
Was nun?

Wann zeigt es das an?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#44 @ pfaff, murphy. besten dank für die hilfe.

hallo hatte alles so gemacht wie du es mir in dem anderen theard beschrieben hattest. habe also all die programme durchlaufen laufen. und sie da nach dem neustart und dem öffnen des ie ist die startseite verschwinden und es kommt auch vom av kein warnung mehr über den tr/small.dld.fo virus. scheint also weg zu sein, ich hoffe es. läuft alles normal. aber av hatte trotzdem nach 71 verseuchte archive gefunden ( fast alles coderun mit jar. endung ) sind die jetzt noch von bedeutung für mich oder kann ich damit leben ???? ich post trotzdem nochmal das ergebniss des logfile von av.

alleso nochmal besten dank für die hilfe. grüsse ac

logfile:

rstellungsdatum der Reportdatei: 23.07.2004 19:57

AntiVir®/9x Personal Edition v6.26.00.01 vom 06.07.2004
VDF-Datei v6.26.0.41 (0) vom 23.07.2004


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 88054 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows 98
Windows-Version: 4.10.2222 A
Benutzername: -
Prozessor: Pentium
Arbeitsspeicher: 261400 KB frei

Versionsinformationen:
AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54
AVEWIN32.DLL : v6.26.0.10 430592 21.07.2004 11:57:08
SYS_RW16.DLL : v6.19.0 12800 06.07.2004 10:51:50
SYS_RW32.DLL : v6.19.0 16384 06.07.2004 10:51:50
AVGCTRL.EXE : v6.26.00.00 81920 26.05.2004 14:42:10
AVGUARD.VXD : v6.26.0.10 371871 21.07.2004 10:45:20
AVPACK32.DLL : v6.22.00.24 299048 09.06.2004 16:05:52
AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 14:13:58
AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54
AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 14:14:00
AVSched32.EXE : v6.23.00.00 110632 20.01.2004 14:13:58
AVSched32.DLL : v6.23.00.00 122880 20.01.2004 14:14:00
AVREG.DLL : v6.22.00.00 41000 20.01.2004 14:14:00
AVRep.DLL : v6.26.00.09 507944 23.07.2004 11:05:40
INETUPD.EXE : v6.26.00.01 200704 27.05.2004 12:50:44
INETUPD.DLL : v6.26.00.01 147456 27.05.2004 12:50:44
MFC42.DLL : v6.00.8665.0 995383 27.10.1999 14:35:32
MSVCRT.DLL : v6.00.8797.0 278581 07.03.2000 15:22:14
CTL3D32.DLL : v2.31.000 27136 21.08.1996 00:00:00
CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI
Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG
Startpfad: C:\PROGRAMME\AVPERSONAL
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[X] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: hoch

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: 23.07.2004 19:57

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetComGmbH.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NewsUpdate6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\WINDOWS\Temporary Internet Files\Content.IE5\CJQLMBSX
coderunROVBb[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunROVLw[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRObAN[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\UDWLSHUJ
coderunRPF20[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\CTILUTUF
coderunROXck[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\O1K3M56P
coderunRN5XH[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\U7Q9YHQF
coderunROmL5[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\DXM7MP6E
coderunRQbL1[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\YVXF7DRN
coderunROe7A[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\56944WH5
coderunROe2S[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPv8z[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\3ULSL9XG
coderunRPHy6[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\IXFIBSIO
coderunRNSWZ[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRNSXH[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\OPUXSXGJ
coderunRN3A4[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPdcw[1].jar
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\WINDOWS\Temporary Internet Files\Content.IE5\BNJISGMW
coderunROgHu[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\C3G9S1UZ
coderunRPCmx[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\PU39AXP1
coderunRI881[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPTMg[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\WTIJSXI7
coderunRPRWk[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\41SX2HIL
coderunRPg1c[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPt6N[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\G9YVSTEN
coderunRPmxg[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\0TMBOPQV
coderunRPM4P[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunROVum[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPSV2[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPws7[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\STQ3KLQV
coderunROV0T[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\8N0TUTG5
coderunRNS5V[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\CXOPKZSB
coderunRN3A3[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunROo72[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRPRLk[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
dvdr70_001_fus_eng[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\WINDOWS\Temporary Internet Files\Content.IE5\0BKVMV21
coderunROV6k[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
coderunRQY7Q[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\WINDOWS\Temporary Internet Files\Content.IE5\N79SXZHM
coderunRFOhO[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
C:\RECYCLED
DC1397.CAB
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurScan.B.1
C:\test
o-clpd30.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)

Ende des Suchlaufs: 23.07.2004 20:20
Benötigte Zeit: 23:47 min


1037 Verzeichnisse wurden durchsucht
53463 Dateien wurden geprüft
1 Warnung wurde ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
71 Viren bzw. unerwünschte Programme wurden gefunden



[/u]

#45 @paff

Wenn ich den Button "Add file" im unteren Fenster anklicke. Oben steht der Pfad in der Leiste und nachdem ich den Button angeklickt habe, erscheint die Meldung und die Leiste oben ist wieder leer. Ich hatte neulich auch schon mal mit "MoveOnBoot" versucht, eine .dll zu löschen. Hat auch nicht funktioniert.

01:49
Hurrrrrrrrrrrraaaaaaaa!!! Ich bin ihn los!!!!!!!!!!!!