.DLL entfernen?

#0
15.06.2004, 10:37
...neu hier

Beiträge: 2
#1 Hallo!

Habe die .dll, welche für mein Browser-Problem verantwortlich ist, gefunden und an Rokop-Security geschickt.
Nach schneller Antwort (vielen Dank nochmal an Euch!), wurde mir meine Vermutung bestätigt und die .dll als "Trojan.Win32.StartPage.is" entlarvt.
Mein Problem jedoch besteht weiterhin, denn ich kann die dll nicht löschen.
Auch nach der Freigabe des Ordners ist sie nicht zu löschen.
Hat jemand einen Tip für mich?
SpHjfix.exe brachte da leider ebenso wenig Hilfe wie alle anderen bekannten Programme (AddAware, SpyBot, CWShredder).
WinPatrol ist hervorragend und zeigt mir wenigstens die neuen .dll´s an - entfernt sie jedoch nicht...

Dank vorab
Seitenanfang Seitenende
15.06.2004, 10:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 benenne die dll um und loesche sie dann.

Beispiel
einfach ein Old anhängen. Im explorer Datei markieren und F2 drücken

C:\WINDOWS\System32\aba.dll-> aba_old.dll
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html -> sp_old.html


Vielleicht postest du noch einmal das HijackThisLog, da fischen wir nicht so im trueben...

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.06.2004 um 10:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.06.2004, 11:01
...neu hier

Themenstarter

Beiträge: 2
#3 Wow! Das nenn´ ich fix!

Habe die Datei erneut gesucht...und weg war sie!? Umbenannt?
Hier der .log Eintrag:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\toshiba\Desktop\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [CeEKey.exe] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Verknüpfung mit SpybotSD.lnk = C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O4 - Global Startup: Spybot - Search & Destroy (2).lnk = C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
15.06.2004, 11:31
Member

Beiträge: 1095
#4 @AVL

MAch mal bitte einen Neustart und poste nochmal das Logfile
"Normalerweise" sollte nun noch ein O2 BHO wieder auftauchen!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.06.2004, 11:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @AVL


lade
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
AdAware
Spybot
CWhredder
Sphjfix.exe

SCANNE noch einmal mit dem HijackThis, dann hake an, was ich poste und dann \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\toshiba\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

neustarten
gehe in den abgesicherten Modus...F8 beim Hochfahren druecken .

Loesche die TemporaryInternetFiles unter InternetOptionen

scanne mit
#AdAware
#Spybot
#CWhredder
#Sphjfix.exe

normal neustarten

Lade Spyhunter und scanne
http://www.spy-bot.net/manual.asp


dann poste das Log noch einmal.

MfG
sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 11:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: