notepad.exe befallen! Oh je!

#1 Hallo,

ich habe wahrscheinlich letztens nicht alles entfernen können.

Folgendes Problem besteht:

Ich kann mein Notepad nicht mehr öffnen. Versuche ich ihn zu öffnen, passieren eine ganze Menge Hintergrundaktivitäten und mein InternetExplorer fängt sich so einiges ein, was ich aber einoigermaßen entfernen konnte.

Da ist dann auch irgendetwas mit einer svchost.exe! Was heißt eine? Diese wird im Taskmanager unter Prozesse mehrmals angezeigt.

Außerdem versucht die rundll32.exe seit Tagen Zugriffe auf das Internet zu tätigen.


Sieht alles übel aus!

1.000 Dank für Eure Hilfe!!!

Eyeliner

#2 www.freeav.de
Es gibt einige Würmer und Trojaner, die sich als notepad.exe tarnen oder diese eben infizieren.
Ein kompletter Virenscan wäre notwendig.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Mein Norton AntiVirus 8.07.17C kann nichts finden.

Viele Grüße
Eure Eyeliner

#4 Test deine Notepad.exe mal hier:
http://www.kaspersky.com/scanforvirus

Der wird schon was finden.

Mein Tipp: TrojanDownloader.Win32.Miled.b
__________
MfG Ralf
SEO-Spam Hunter

#5 Auf das Ergenbis bin ich gespannt .
Im Sophos-Lexikon findet man eine Menge...
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Geprüft: C:\\windows\system32\notepad.exe


Scanned file: notepad.exe

notepad.exe - packed with FSG
notepad.exeWarning: TrojanDropper.Win32.Small.hx


Known viruses: 91264 Updated: 19-06-2004
File size (Kb): 25 Virus bodies: 0
Files: 2 Warnings: 1
Archives: 0 Suspicious: 0



Und jetzt?

LG
Eyeliner

#7 Nagut, knapp daneben ist auch vorbei.

Versuche es mal hiermit:

Diesen Scanner( http://www.mwti.net/antivirus/free_utilities.asp ) herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann, im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen.
Hier die mwav.exe runterladen


abgesicherter Modus:
http://www.bsi.de/av/texte/winsave.htm
__________
MfG Ralf
SEO-Spam Hunter

#8 @Raman:
Hab ich gemacht! Scheint auch funktioniert zu haben!
Ist das originale Wordpad jetzt wieder okay?

Was ist mit der rundll32.exe? Sie versucht es immer noch!


Vielen Danke!

Eure
Eyeliner

#9 Poste mal ein Hijackthis log:
www.hjt.klaffke.de

MfG Ralf
__________
MfG Ralf
SEO-Spam Hunter

#10 Logfile of HijackThis v1.97.7
Scan saved at 15:10:34, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\WLANSTA.EXE
D:\Programme\Winamp\Winampa.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\OpenOffice.org1.0.1\program\soffice.exe
D:\Programme\weg\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: GM VPN-Client.lnk = C:\Programme\GM\eCa VPN Client\ipsecdialer.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37938.263912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBF7D55-A5AD-44F3-97E2-42F499FC931E}: NameServer = 134.91.1.150,134.91.4.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{5BBF7D55-A5AD-44F3-97E2-42F499FC931E}: NameServer = 134.91.1.150,134.91.4.150



So....ich glaube ich muss auf jeden Fall diese zwei Zeilen fixen:
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install

LG Eyeliner

#11 Ja, genau und bitte diese Datei an virus@protecus.de schicken:

C:\WINDOWS\sdkqh32.dll

Fix auch das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
__________
MfG Ralf
SEO-Spam Hunter

#12 Also, diese drei Sachen fixen!

Und....diese Datei als Anhang an virus@protecus.de schicken? Was passiert damit?

#13 Die wird an diverse AV-Herstellergeschickt, u.a Norton/Symantec, so das sie diese Variante zu ihrer "Erkennungsliste" hinzufuegen koennen.
__________
MfG Ralf
SEO-Spam Hunter

#14 Ich hab's getan!

Das Problem mit der rundll32.exe besteht aber nach wie vor....

Danke vielmals!!!

VG
Eyeliner

#15 Welche Rundll32.exe wo genau in welchem Verzecihniss befindet sich diese?
Die Eintraege hast du mit Hijackthis log gefixt?

und wann tritt dieses Phaenomen auf?
__________
MfG Ralf
SEO-Spam Hunter