liccqc32.exe kommt immer wieder - was tun???

#0
26.09.2004, 21:44
Member

Beiträge: 12
#1 die oben genannte datei kommt einfach immer wieder. undgefähr alle 3 sekunden kommt ein fenster vom antivir guard der mir sagt das diese datei im ordner windows/system32 ist. ich verschiebe die datei dann in den quarantene ordner aber 3 sekunden später kommt die selbe meldung wieder. wenn ich in dem system ordner gucke gibt es diese datei dort nicht auch über die suchen-funktion kann ich die datei nicht finden.

achso dieser wurm hat die signatur :qukart.a.2.
was kann ich noch tun?
Dieser Beitrag wurde am 26.09.2004 um 22:03 Uhr von razzy editiert.
Seitenanfang Seitenende
27.09.2004, 01:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @razzy

1.Poste das HijckTHis
scann, save und mit der Maus ins Forum kopieren..

http://www.wintotal.de/softw/?id=2022

2.Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
____________________________________________

Padodor.W
ALIAS: Backdoor.Padodor.w, TrojanSpy.Win32.Qukart

Bei der Trojaner-Datei handelt es sich um eine 51.712 Byte große ausführbare Windows PE-Datei. Die Datei ist verschlüsselt; die Entschlüsselungsroutine ist polymorph. Mit jeder Installation des Trojaners ändert sich der Decryptor und somit das Erscheinungsbild der installierten Datei.

Geh mal in die Registry
Start<Ausfuehren<regedit:

Poste, wie die dll heisst, die du unter diesem Schluessel findest.
[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = "%WinSysDir%\<Zufallsname>.dll"
"ThreadingModel" = "Apartment"

Suche, ob diese Schluessel existieren:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]
"BrowseNewProcess" = "yes"

mfg
Sabina

http://www.f-secure.de/v-desk/padodor_w.shtml
http://www.vsantivirus.com/troj-spy-qukart-c.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.09.2004 um 01:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.09.2004, 18:04
Member

Themenstarter

Beiträge: 12
#3 so hi.
also hier mal mein hijacklog:
Logfile of HijackThis v1.98.2
Scan saved at 18:05:29, on 27.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
D:\programme\quicktime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMME\FIREFOX\FIREFOX.EXE
C:\WINDOWS\regedit.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Dokumente und Einstellungen\Raz\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.klamm.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E58BC3F-DF60-4E3F-905D-0DC39E652505}: NameServer = 217.237.150.97 217.237.149.161
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jekdja32.dll


temporäre dateien hab ich gelöscht, der "zufallsname" ist jekdja32.dll und die beiden anderen schlüssel sind vorhanden.

wie gehts jetzt weiter?
Seitenanfang Seitenende
28.09.2004, 12:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @razzy

Fixe mit dem HijackThis
:

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jekdja32.dll

neustarten

Gehe in die Registry:
Start<Ausfuehren<regedit


1. Loesche rechts in der Registry
[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = C:\WINDOWS\System32\Jekdja32.dll
"ThreadingModel" = "Apartment"

2. HKEY_CLASSES_ROOT
\CLSID\ {79FEACFF-FFCE-815E-A900-316290B5B738}

3. HKEY_CURRENT_USER
\Software
\Microsoft\ QueenKarton

4.[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

5.[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<Zone>]
"1601" = <Wert>

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5
...............................................
\Zones (1, 2, 3, 4, 5) suche alle Werte: "1601" STELLE ALLE AUF "0" nur den Wert unter 4 stelle auf "1"

6.[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]
"BrowseNewProcess" = "yes" aendere in "no"

7.HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings.....loesche: GlobalUserOffline

schliesse die Registry

#Start<Ausfuehren<cmd: (reinkopieren)
attrib -h %systemroot%\system32\Jekdja32.dll & ren %systemroot%\SYSTEM32\Jekdja32.dll Badfile.bad
<enter<

#Start<Ausfuehren<cmd;)reinkopieren)
regsvr32 /u c:\system32\Jekdja32.dll
<enter<

<PC neustarten
<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm


#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

<die Jekdja32.dll im abgesicherten Modus
umbenennen in <Jekdja32.dl<und loeschen.


Normalmodus:

#Deaktiviere kurz deinen Antivirus (!)
Lade die Trialversion von Kaspersky und scanne im im abgesicherten Modus.
#Kaspersky-Online
http://www.kaspersky.com/remoteviruschk.html

#Agnitum: Outpost Firewall
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm

#offene Ports ueberpruefen:
ANTS 2.1
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.09.2004 um 12:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.09.2004, 20:23
Member

Themenstarter

Beiträge: 12
#5 also ich hab das ding per highjack gefixt.

<<<Gehe in die Registry:
Start<Ausfuehren<regedit

1. Loesche rechts in der Registry
[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = C:\WINDOWS\System32\Jekdja32.dll
"ThreadingModel" = "Apartment" (war nicht da)

2. HKEY_CLASSES_ROOT
\CLSID\ {79FEACFF-FFCE-815E-A900-316290B5B738}(war nicht da)

3. HKEY_CURRENT_USER
\Software\Microsoft\ QueenKarton(war auch nicht da)

4.[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"(war auch nicht da)

...............................................
bei den zonen :\Zones (1, 2, 3, 4, 5) suche alle Werte: "1601" STELLE ALLE AUF "0" nur den Wert unter 4 stelle auf "1" (bei allen zonen stand 0)

6.[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]
"BrowseNewProcess" = "yes" aendere in "no"(hab ich gemacht)

7.HKEY_CURRENT_USR
\Software\Microsoft\Windows\CurrentVersion
\Internet Settings.....loesche: GlobalUserOffline(hab ich auch gemacht)

#Start<Ausfuehren<cmd: (reinkopieren)
attrib -h %systemroot%\system32\Jekdja32.dll & ren %systemroot%\SYSTEM32\Jekdja32.dll Badfile.bad
<enter< (ging nicht)

#Start<Ausfuehren<cmdreinkopieren)
regsvr32 /u c:\system32\Jekdja32.dll
<enter< (hat er mir gesagt datei nicht da)

im abgescichertem modus konnte ich die datei auch nicht finden.

>>>>>

hoffe die blöde datei ist trotzdem weg ;)

auf jeden fall eine riesen grosses dankeschön!!!!!!!!
Dieser Beitrag wurde am 28.09.2004 um 20:27 Uhr von razzy editiert.
Seitenanfang Seitenende
29.09.2004, 00:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @razzy
Poste bitte das neue Log vom HijackThis.
(und schreibe, ob dein Antivirus noch warnt), denn durch das blosse Loeschen in der Registry ist der dehr gefaehrliche Wurm noch nicht beseitigt.......

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.09.2004 um 00:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.09.2004, 08:42
Member

Themenstarter

Beiträge: 12
#7 also mein antivir ist jetzt ganz ruhig und warnt nicht mehr ;)
so hier mein neuer highjack

Logfile of HijackThis v1.98.2
Scan saved at 08:44:25, on 29.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
D:\programme\quicktime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
D:\Programme\antiVir\AVGNT.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\antiVir\AVGUARD.EXE
D:\Programme\antiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMME\FIREFOX\FIREFOX.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Raz\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.klamm.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\antiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E58BC3F-DF60-4E3F-905D-0DC39E652505}: NameServer = 217.237.150.97 217.237.149.161
Seitenanfang Seitenende
29.09.2004, 10:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo @razzy

Deaktiviere jetzt bitte noch die Wiederherstellung, starte den PC neu und aktiviere sie wieder.
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Der Wurm scheint wirklich gekillt zu sein ;) Das Log ist sauber !

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2004, 17:49
Member

Themenstarter

Beiträge: 12
#9 ok, mach ich gleich. auf jeden fall ein rieseiges dankeschön an dich ;)*drück*
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: