liccqc32.exe kommt immer wieder - was tun??? |
||
---|---|---|
#0
| ||
26.09.2004, 21:44
Member
Beiträge: 12 |
||
|
||
27.09.2004, 01:34
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @razzy
1.Poste das HijckTHis scann, save und mit der Maus ins Forum kopieren.. http://www.wintotal.de/softw/?id=2022 2.Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K ____________________________________________ Padodor.W ALIAS: Backdoor.Padodor.w, TrojanSpy.Win32.Qukart Bei der Trojaner-Datei handelt es sich um eine 51.712 Byte große ausführbare Windows PE-Datei. Die Datei ist verschlüsselt; die Entschlüsselungsroutine ist polymorph. Mit jeder Installation des Trojaners ändert sich der Decryptor und somit das Erscheinungsbild der installierten Datei. Geh mal in die Registry Start<Ausfuehren<regedit: Poste, wie die dll heisst, die du unter diesem Schluessel findest. [HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32] @ = "%WinSysDir%\<Zufallsname>.dll" "ThreadingModel" = "Apartment" Suche, ob diese Schluessel existieren: [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}" [HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess] "BrowseNewProcess" = "yes" mfg Sabina http://www.f-secure.de/v-desk/padodor_w.shtml http://www.vsantivirus.com/troj-spy-qukart-c.htm __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.09.2004 um 01:58 Uhr von Sabina editiert.
|
|
|
||
27.09.2004, 18:04
Member
Themenstarter Beiträge: 12 |
#3
so hi.
also hier mal mein hijacklog: Logfile of HijackThis v1.98.2 Scan saved at 18:05:29, on 27.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe D:\programme\quicktime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\PROGRAMME\FIREFOX\FIREFOX.EXE C:\WINDOWS\regedit.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe C:\Dokumente und Einstellungen\Raz\Eigene Dateien\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.klamm.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe" O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9E58BC3F-DF60-4E3F-905D-0DC39E652505}: NameServer = 217.237.150.97 217.237.149.161 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jekdja32.dll temporäre dateien hab ich gelöscht, der "zufallsname" ist jekdja32.dll und die beiden anderen schlüssel sind vorhanden. wie gehts jetzt weiter? |
|
|
||
28.09.2004, 12:11
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @razzy
Fixe mit dem HijackThis: O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Jekdja32.dll neustarten Gehe in die Registry: Start<Ausfuehren<regedit 1. Loesche rechts in der Registry [HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32] @ = C:\WINDOWS\System32\Jekdja32.dll "ThreadingModel" = "Apartment" 2. HKEY_CLASSES_ROOT \CLSID\ {79FEACFF-FFCE-815E-A900-316290B5B738} 3. HKEY_CURRENT_USER \Software \Microsoft\ QueenKarton 4.[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}" 5.[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<Zone>] "1601" = <Wert> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5 ............................................... \Zones (1, 2, 3, 4, 5) suche alle Werte: "1601" STELLE ALLE AUF "0" nur den Wert unter 4 stelle auf "1" 6.[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess] "BrowseNewProcess" = "yes" aendere in "no" 7.HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings.....loesche: GlobalUserOffline schliesse die Registry #Start<Ausfuehren<cmd: (reinkopieren) attrib -h %systemroot%\system32\Jekdja32.dll & ren %systemroot%\SYSTEM32\Jekdja32.dll Badfile.bad <enter< #Start<Ausfuehren<cmdreinkopieren) regsvr32 /u c:\system32\Jekdja32.dll <enter< <PC neustarten <gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" <die Jekdja32.dll im abgesicherten Modus umbenennen in <Jekdja32.dl<und loeschen. Normalmodus: #Deaktiviere kurz deinen Antivirus (!) Lade die Trialversion von Kaspersky und scanne im im abgesicherten Modus. #Kaspersky-Online http://www.kaspersky.com/remoteviruschk.html #Agnitum: Outpost Firewall Outpost von Agnitum gibt es auch als free-Version. http://www.agnitum.com/download/outpost1.html <Outpost Firewall Spezial Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de. http://www.brain-pro.de/outpostspezial.htm #offene Ports ueberpruefen: ANTS 2.1 http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 #Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.09.2004 um 12:43 Uhr von Sabina editiert.
|
|
|
||
28.09.2004, 20:23
Member
Themenstarter Beiträge: 12 |
#5
also ich hab das ding per highjack gefixt.
<<<Gehe in die Registry: Start<Ausfuehren<regedit 1. Loesche rechts in der Registry [HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32] @ = C:\WINDOWS\System32\Jekdja32.dll "ThreadingModel" = "Apartment" (war nicht da) 2. HKEY_CLASSES_ROOT \CLSID\ {79FEACFF-FFCE-815E-A900-316290B5B738}(war nicht da) 3. HKEY_CURRENT_USER \Software\Microsoft\ QueenKarton(war auch nicht da) 4.[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"(war auch nicht da) ............................................... bei den zonen :\Zones (1, 2, 3, 4, 5) suche alle Werte: "1601" STELLE ALLE AUF "0" nur den Wert unter 4 stelle auf "1" (bei allen zonen stand 0) 6.[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess] "BrowseNewProcess" = "yes" aendere in "no"(hab ich gemacht) 7.HKEY_CURRENT_USR \Software\Microsoft\Windows\CurrentVersion \Internet Settings.....loesche: GlobalUserOffline(hab ich auch gemacht) #Start<Ausfuehren<cmd: (reinkopieren) attrib -h %systemroot%\system32\Jekdja32.dll & ren %systemroot%\SYSTEM32\Jekdja32.dll Badfile.bad <enter< (ging nicht) #Start<Ausfuehren<cmdreinkopieren) regsvr32 /u c:\system32\Jekdja32.dll <enter< (hat er mir gesagt datei nicht da) im abgescichertem modus konnte ich die datei auch nicht finden. >>>>> hoffe die blöde datei ist trotzdem weg auf jeden fall eine riesen grosses dankeschön!!!!!!!! Dieser Beitrag wurde am 28.09.2004 um 20:27 Uhr von razzy editiert.
|
|
|
||
29.09.2004, 00:20
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @razzy
Poste bitte das neue Log vom HijackThis. (und schreibe, ob dein Antivirus noch warnt), denn durch das blosse Loeschen in der Registry ist der dehr gefaehrliche Wurm noch nicht beseitigt....... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.09.2004 um 00:23 Uhr von Sabina editiert.
|
|
|
||
29.09.2004, 08:42
Member
Themenstarter Beiträge: 12 |
#7
also mein antivir ist jetzt ganz ruhig und warnt nicht mehr
so hier mein neuer highjack Logfile of HijackThis v1.98.2 Scan saved at 08:44:25, on 29.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe D:\programme\quicktime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe D:\Programme\antiVir\AVGNT.EXE C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe D:\Programme\antiVir\AVGUARD.EXE D:\Programme\antiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\PROGRAMME\FIREFOX\FIREFOX.EXE D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Dokumente und Einstellungen\Raz\Eigene Dateien\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.klamm.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\antiVir\AVGNT.EXE" /min O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe" O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9E58BC3F-DF60-4E3F-905D-0DC39E652505}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
29.09.2004, 10:08
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @razzy
Deaktiviere jetzt bitte noch die Wiederherstellung, starte den PC neu und aktiviere sie wieder. Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Der Wurm scheint wirklich gekillt zu sein Das Log ist sauber ! Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.09.2004, 17:49
Member
Themenstarter Beiträge: 12 |
#9
ok, mach ich gleich. auf jeden fall ein rieseiges dankeschön an dich *drück*
|
|
|
||
achso dieser wurm hat die signatur :qukart.a.2.
was kann ich noch tun?