Trojan.Stwoyle; Winstyle3.dll unlöschbar |
|
---|---|
05.09.2005, 15:46
...neu hier
Beiträge: 9 |
|
|
|
06.09.2005, 15:03
Moderator
Beiträge: 7805 |
#2
Fixe bitte folgendes:
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll starte neu und nutze bitte auch noch cwshredder: http://www.trendmicro.com/cwshredder/ pruefe danach diese Datei C:\WINDOWS\system\SMSS.EXE bitte hier: http://virusscan.jotti.org/ schreib, was gefunden wurde. Zu guter letzt poste ein neues Hijackthis log. __________ MfG Ralf SEO-Spam Hunter |
|
|
06.09.2005, 20:38
...neu hier
Themenstarter Beiträge: 9 |
#3
http://virusscan.jotti.org/:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 37a83bdbf9fc37f9ba5abb767fa6a78a Packers detected: UPX Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 20:37:17, on 06.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton Internet Security\ATRACK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system\SVCHOST.EXE C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O17 - HKLM\System\CCS\Services\Tcpip\..\{2EEF63EE-C811-4075-A846-B76D80B2507C}: NameServer = 217.237.151.225 217.237.150.225 O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll O23 - Service: CWShredder Service - InterMute, Inc. - C:\Dokumente und Einstellungen\tanja_j\Eigene Dateien\programme\cwshredder.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Danke für die Antwort, Norton meckert weiterhin ohne Ende und wenn ich z.b. bei google was suche, werde ich meist erst hierhin geleitet (bitte nicht anklicken!!!http://www.umaxsearch.com/search.php?aid=34465&q=kljl und von dort aus dann direkt nach hier http://xmatch.com/go/p181257&lang=german. Das passiert auch wenn ich andere links anklicke..nicht immer...aber sehr häufig. Dieser Beitrag wurde am 06.09.2005 um 20:41 Uhr von Charleen editiert.
|
|
|
06.09.2005, 20:54
Moderator
Beiträge: 7805 |
#4
cwshredder hat nichts gefunden?
Es waere nett, wenn du folgende Dateien im abgesicherten Modus umbenennen, den Rechner neu starten und die umbenannten Dateien an virus@protecus.de schicken koenntest: C:\WINDOWS\system\SMSS.EXE C:\WINDOWS\system\SVCHOST.EXE C:\WINDOWS\system32\winstyle3.dll C:\WINDOWS\adsldpbc.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
06.09.2005, 21:05
Member
Beiträge: 4730 |
#5
Zitat C:\WINDOWS\system\SMSS.EXEDiese Datei gehört definitiv nicht dorthin. Überprüfe sie nochmals bei http://www.virustotal.com Falls das auch nichts nützt, schicke mir bitte diese SMSS.EXE und die SVCHOST.EXE gezippt an virus[at]arko-websolutions.de. Fixe mit HJT: O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll Lade Dir Killbox herunter und entpacke es. Starte den PC in den abgesicherten Modus. Starte Killbox und aktiviere "Delete on Reboot". Füge nun nacheinander folgende Dateien ein und bestätigen jeweils mit Klick rechts auf das Kreuz (die Frage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA beantworten): C:\WINDOWS\adsldpbc.dll C:\WINDOWS\system\SVCHOST.EXE C:\WINDOWS\system\SMSS.EXE C:\WINDOWS\system32\winstyle3.dll Der PC wird neugestartet. Lade Dir eScanCheck und überprüfe damit, wie auf der Seite beschrieben, Deinen PC. Poste uns das Ergebnis. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
06.09.2005, 21:42
Moderator
Beiträge: 7805 |
#6
Nur ein kleiner Zwischenbericht ueber die Dateien:
Scan report of: SVCHOST1.EX_ AntiVir - AVG - BitDefender BehavesLike:Win32.Backdoor (suspected) ClamAV - Command - Dr Web - eSafe Trojan/Worm (suspicious) eTrust-INO - eTrust-VET - F-Prot - F-Secure - Fortinet suspicious Ikarus - Kaspersky - McAfee - Nod32 NewHeur_PE (probably unknown virus) Norman W32/Malware (Sandbox) Panda Bck/Agent.AJD QuickHeal - Sophos - Symantec - Trend Micro - VirusBuster - Scan report of: SMSS1.EX_ AntiVir - AVG - BitDefender - ClamAV - Command - Dr Web - eSafe Trojan/Worm (suspicious) eTrust-INO - eTrust-VET - F-Prot - F-Secure - Fortinet suspicious Ikarus - Kaspersky - McAfee - Nod32 - Norman - Panda - QuickHeal - Sophos - Symantec - Trend Micro - VirusBuster - can report of: adsldpbc1.dl_ AntiVir - AVG - BitDefender BehavesLike:Trojan.TrustedZone ClamAV - Command - Dr Web - eSafe Trojan/Worm (suspicious) eTrust-INO - eTrust-VET - F-Prot - F-Secure - Fortinet - Ikarus - Kaspersky - McAfee - Nod32 - Norman - Panda - QuickHeal - Sophos - Symantec - Trend Micro - __________ MfG Ralf SEO-Spam Hunter |
|
|
06.09.2005, 21:53
Moderator
Beiträge: 7805 |
#7
DIe C:\WINDOWS\system32\winstyle3.dll muss auch noch da sein, benenne diese auch bitte im abgesicherten Modus um. Falls du sie nicht finden kannst, waehle bitte im Explorer exrtras/ordneroptionen/ansicht hake dort "geschuetztre Systemdateien ausblenden) ab und "versteckte Dateien und Ordner/alle Dateien und Ordner anzeigen" an. dann solltest du sie finden koennen.
Denke dann nach einem neustart daran, die obigen angebenen Hijackthis Eintrage anzuhaken und "fix checked" zu druecken, nach erneutem Neustart ein aktuelles Log posten und die letzte umbenante Datei auch noch zu schicken. Dann sollten wir der Loesung ein Stueck naeher gekommen zu sein. BTW: Du musst die umbenannten Dateien auch nooch loeschen.... __________ MfG Ralf SEO-Spam Hunter |
|
|
06.09.2005, 23:02
...neu hier
Themenstarter Beiträge: 9 |
#8
erstmal zu raman
wenn ich winstyle3.dll umbenenne, meckert norton die umbenannte datei an..und ich konnte sie nicht versenden, warum weiss ich nicht. fix checked habe ich gedrückt, die anderen Dinger sind ja auch verschwunden, nur diese Einträge halt nicht. Sind immer wieder da. jetzt zu Managor: Ergebnis Virustotal Ergebnis VirusTotal This is a report processed by VirusTotal on 09/06/2005 at 21:15:58 (CET) after scanning the file "SMSS.EXE" file. Antivirus Version Update Result AntiVir 6.31.1.0 09.06.2005 no virus found Avast 4.6.695.0 09.06.2005 no virus found AVG 718 08.31.2005 no virus found Avira 6.31.1.0 09.06.2005 no virus found BitDefender 7.0 09.02.2005 no virus found CAT-QuickHeal 8.00 09.06.2005 no virus found ClamAV devel-20050725 09.06.2005 no virus found DrWeb 4.32b 09.06.2005 no virus found eTrust-Iris 7.1.194.0 09.05.2005 no virus found eTrust-Vet 11.9.1.0 09.06.2005 no virus found Fortinet 2.41.0.0 09.03.2005 suspicious F-Prot 3.16c 09.06.2005 no virus found Ikarus 0.2.59.0 09.06.2005 no virus found Kaspersky 4.0.2.24 09.06.2005 no virus found McAfee 4575 09.06.2005 no virus found NOD32v2 1.1210 09.06.2005 no virus found Norman 5.70.10 09.06.2005 no virus found Panda 8.02.00 09.05.2005 no virus found Sophos 3.97.0 09.06.2005 no virus found Symantec 8.0 09.05.2005 no virus found TheHacker 5.8.2.101 09.06.2005 no virus found VBA32 3.10.4 09.06.2005 no virus found dürfte aber nach raman schon bekannt sein Hier das Ergebnis von eScanCheck -------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Tue Sep 06 21:43:02 2005 => File C:\WINDOWS\SYSTEM32\WINLOGON.EXE infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken. 2: Tue Sep 06 21:43:33 2005 => File C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 3: Tue Sep 06 21:43:51 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: No Action Taken. 4: Tue Sep 06 21:43:54 2005 => System found infected with P2P Networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken. 5: Tue Sep 06 21:43:58 2005 => System found infected with Cydoor.TOPicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken. 6: Tue Sep 06 21:43:58 2005 => System found infected with Cydoor.TOPicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken. 7: Tue Sep 06 21:44:13 2005 => Offending file found: C:\WINDOWS\smdat32a.sys 8: Tue Sep 06 21:44:13 2005 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken. 9: Tue Sep 06 21:45:05 2005 => Offending file found: C:\WINDOWS\system32\P2PNET~1.CPL 10: Tue Sep 06 21:45:05 2005 => System found infected with P2P Networking Spyware/Adware (p2p networking v126.cpl)! Action taken: No Action Taken. 11: Tue Sep 06 21:47:09 2005 => File C:\WINDOWS\system32\mskav.exe infected by "Trojan.Win32.Dialer.kc" Virus! Action Taken: No Action Taken. 12: Tue Sep 06 21:48:15 2005 => File C:\WINDOWS\system32\winlogon.exe infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken. 13: Tue Sep 06 21:53:28 2005 => File C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 14: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\27895FEB.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 15: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36827D2A.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken. 16: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36852726.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken. 17: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36895122.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 18: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\368C7B1F.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 19: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\368F251B.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 20: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36C51FD8.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 21: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\37DA6092.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken. 22: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3D8C0EB1.tmp infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. 23: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\436B1C91.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 24: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F102F2E.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 25: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\7DA33E92.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken. 26: Tue Sep 06 22:38:23 2005 => File C:\WINDOWS\system32\mskav.exe infected by "Trojan.Win32.Dialer.kc" Virus! Action Taken: No Action Taken. 27: Tue Sep 06 22:40:17 2005 => File C:\WINDOWS\system32\winlogon.exe infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Tue Sep 06 22:10:02 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Basic_Tagged.chm 2: Tue Sep 06 22:10:04 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Capture_Tagged.chm -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Tue Sep 06 21:43:21 2005 => ERROR!!! Invalid Entry {B212D577-05B7-4963-911E-4A8588160DFA} = C:\WINDOWS\system32\winstyle3.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken. 2: ....................................................... 228: Tue Sep 06 21:45:31 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Dieser Beitrag wurde am 06.09.2005 um 23:15 Uhr von Charleen editiert.
|
|
|
07.09.2005, 01:34
Member
Beiträge: 4730 |
#9
Löschen:
C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll Norton-Quarantäne leeren. Killbox (wie oben beschrieben): C:\WINDOWS\smdat32a.sys C:\WINDOWS\system32\P2PNET~1.CPL C:\WINDOWS\system32\mskav.exe Jetzt haben wir das Problem, dass die Datei C:\WINDOWS\system32\winlogon.exe infiziert ist. Die Datei nicht löschen, da sie zu Windows gehört. Ich weiß jetzt momentan nicht, wie sie zu desinfizieren ist, deshalb mache folgendes: Start -> Ausführen -> "sfc /scannow" (ohne Anführungszeichen) Das startet die Systemdateiüberprüfung. Alle veränderten und beschädigten Windows-Dateien können dadurch wiederhergestellt werden. Ich weiß nicht, ob das klappt. Evtl. weiß hier einer eine bessere Lösung. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
07.09.2005, 05:50
Moderator
Beiträge: 7805 |
#10
Hm, es waere nett, wenn du die Winlogon.exe auch noch schicken koenntest. ...
__________ MfG Ralf SEO-Spam Hunter |
|
|
07.09.2005, 07:10
...neu hier
Themenstarter Beiträge: 9 |
#11
C:\WINDOWS\system32\P2PNET~1.CPL
die gibt es nicht..andere p2pnet dateien ja, aber diese nicht. Das mit dem "sfc /scannow" funktioniert bei mir nicht, kommt die Meldung konnte nicht gefunden werden. Ich schick jetzt mal die Datei per Mail ab. |
|
|
07.09.2005, 14:23
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Charleen
Zitat C:\WINDOWS\system32\winstyle3.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken.Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
07.09.2005, 14:31
...neu hier
Themenstarter Beiträge: 9 |
#13
Hallo Sabina,
hier das Ergebnis Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\WINDOWS\tasks 04.05.2005 10:26 <DIR> . 04.05.2005 10:26 <DIR> .. 02.04.2003 14:00 65 desktop.ini 02.09.2005 20:00 498 Norton AntiVirus - Meinen Computer prfen.job 07.09.2005 14:18 6 SA.DAT 07.09.2005 11:39 352 Symantec NetDetect.job 4 Datei(en) 921 Bytes C:\WINDOWS\system32\winstyle3.dll ..die Datei ist seitdem eScanCheck weg. |
|
|
07.09.2005, 14:49
Moderator
Beiträge: 7805 |
#14
Wir sind inzwischen etwas weiter und haben ganz was an unbekanntes gefunden......
BTW: SharedTaskScheduler ist was anderes als geplante Tasks Ich hoffe, das wir das bald im Griff haben werden. Zusaetzliche boese Dateien bis jetzt: c:\windows\system32\msntrans.dll c:\windows\system32\msnetsys.exe c:\windows\system32\msbd32.dll Bei dir gab es wohl zweimal eine "infektion", einmal ein Banker Passwort Trojaner und einmal eine art Hijacker..... Was du auf jeden Fall machen must, sind deine Passworte alle zu aendern und zur Kontrolle ein neues Hijackthis log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
07.09.2005, 14:52
Member
Beiträge: 4730 |
#15
Kleine Zwischenbemerkung bzgl. "sfc /scannow" funktioniert nicht. Hast Du die Anführungszeichen weggelassen? Wenn nicht, dann funktioniert es nicht.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
Logfile of HijackThis v1.99.1
Scan saved at 15:33:14, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system\SMSS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EEF63EE-C811-4075-A846-B76D80B2507C}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe