.DLL entfernen? |
||
---|---|---|
#0
| ||
15.06.2004, 10:37
...neu hier
Beiträge: 2 |
||
|
||
15.06.2004, 10:48
Ehrenmitglied
Beiträge: 29434 |
#2
benenne die dll um und loesche sie dann.
Beispiel einfach ein Old anhängen. Im explorer Datei markieren und F2 drücken C:\WINDOWS\System32\aba.dll-> aba_old.dll C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html -> sp_old.html Vielleicht postest du noch einmal das HijackThisLog, da fischen wir nicht so im trueben... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.06.2004 um 10:49 Uhr von Sabina editiert.
|
|
|
||
15.06.2004, 11:01
...neu hier
Themenstarter Beiträge: 2 |
#3
Wow! Das nenn´ ich fix!
Habe die Datei erneut gesucht...und weg war sie!? Umbenannt? Hier der .log Eintrag: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\System32\CePMTray.exe C:\PROGRA~1\EzButton\CPATR10.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\toshiba\Desktop\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE O4 - HKLM\..\Run: [CeEKey.exe] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Verknüpfung mit SpybotSD.lnk = C:\Programme\Spybot - Search & Destroy\SpybotSD.exe O4 - Global Startup: Spybot - Search & Destroy (2).lnk = C:\Programme\Spybot - Search & Destroy\SpybotSD.exe O9 - Extra button: AIM (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
15.06.2004, 11:31
Member
Beiträge: 1095 |
#4
@AVL
MAch mal bitte einen Neustart und poste nochmal das Logfile "Normalerweise" sollte nun noch ein O2 BHO wieder auftauchen! Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
16.06.2004, 11:49
Ehrenmitglied
Beiträge: 29434 |
#5
@AVL
lade http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware Spybot CWhredder Sphjfix.exe SCANNE noch einmal mit dem HijackThis, dann hake an, was ich poste und dann \fix\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank neustarten gehe in den abgesicherten Modus...F8 beim Hochfahren druecken . Loesche die TemporaryInternetFiles unter InternetOptionen scanne mit #AdAware #Spybot #CWhredder #Sphjfix.exe normal neustarten Lade Spyhunter und scanne http://www.spy-bot.net/manual.asp dann poste das Log noch einmal. MfG sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 11:54 Uhr von Sabina editiert.
|
|
|
||
Habe die .dll, welche für mein Browser-Problem verantwortlich ist, gefunden und an Rokop-Security geschickt.
Nach schneller Antwort (vielen Dank nochmal an Euch!), wurde mir meine Vermutung bestätigt und die .dll als "Trojan.Win32.StartPage.is" entlarvt.
Mein Problem jedoch besteht weiterhin, denn ich kann die dll nicht löschen.
Auch nach der Freigabe des Ordners ist sie nicht zu löschen.
Hat jemand einen Tip für mich?
SpHjfix.exe brachte da leider ebenso wenig Hilfe wie alle anderen bekannten Programme (AddAware, SpyBot, CWShredder).
WinPatrol ist hervorragend und zeigt mir wenigstens die neuen .dll´s an - entfernt sie jedoch nicht...
Dank vorab