Home » Spyware & Browser Hijacker Support Forum » werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet » Themenansicht
werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet |
||
|---|---|---|
| #0
| ||
|
23.11.2004, 02:15
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
23.11.2004, 02:19
Ehrenmitglied
Beiträge: 29434 |
#77
Hallo@Runner1010
Dein PC ist dermassen verseucht (nicht nur vom Krepper), dass ich dir nur eine komplette Neuinstallation empfehlen kann. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2004, 06:04
Member
Beiträge: 16 |
#78
Hallo Sabina,
jetzt habe ich mal alles abgearbeitet. Die pgz...-Datei in der registry wurde nicht gefunden. Ebenso die meisten Dateien, die ich mit der killbox entfernen sollte, bis auf die beiden stop.Dateien und mswavedll.exe. Alles sonst ging nach Plan. Ich benutze übrigens auch Firefox. So und hier das neue Log, also nur infected Di Nov 23 04:34:29 2004 => File Infected with "TrojanDownloader.Win32.Small.uy". Action Taken: File deleted! Di Nov 23 04:34:29 2004 => File Infected with "TrojanDownloader.Win32.Small.uy". Action Taken: File deleted! Di Nov 23 04:35:05 2004 => File Infected with "Trojan.Java.ClassLoader.Dummy.d". Action Taken: File deleted! Di Nov 23 04:35:05 2004 => File Infected with "Trojan.Java.ClassLoader.Dummy.d". Action Taken: File deleted! Di Nov 23 04:35:08 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:08 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:08 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Trojan.Java.ClassLoader.k". Action Taken: File deleted! Di Nov 23 04:35:09 2004 => File Infected with "Exploit.Java.Bytverify". Action Taken: File renamed! Di Nov 23 04:35:12 2004 => File Infected with "TrojanDownloader.Java.OpenStream.c". Action Taken: File deleted! Di Nov 23 04:35:12 2004 => File Infected with "TrojanDownloader.Java.OpenStream.c". Action Taken: File deleted! Di Nov 23 04:35:12 2004 => File Infected with "TrojanDownloader.Java.OpenStream.c". Action Taken: File deleted! Di Nov 23 04:35:12 2004 => File Infected with "TrojanDownloader.Java.OpenStream.c". Action Taken: File deleted! Di Nov 23 05:37:27 2004 => Total Number of Files Scanned: 72041 Di Nov 23 05:37:27 2004 => Total Number of Files Infected: 15 Di Nov 23 05:37:27 2004 => Total Number of Files Disinfected: 0 Di Nov 23 05:37:27 2004 => Total Number of Files Renamed: 1 Di Nov 23 05:37:27 2004 => Total Number of Files Deleted: 14 Di Nov 23 05:37:27 2004 => Total Number of Errors: 0 Di Nov 23 05:37:27 2004 => Time Elapsed:: 00:53:25 Ich sage schon mal 1000 und einigen zerquetschten Dank für alles! mfg albrisser |
|
|
|
|
|
|
23.11.2004, 11:02
Ehrenmitglied
Beiträge: 29434 |
#79
Hallo@albrisser
Jetzt ueberpruefst du alles noch mal mit der mwav.exe (also dem EScan , der nicht loescht, sondern nur anzeigt) Dann berichte poste das neue Log von HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2004, 12:48
Member
Beiträge: 16 |
#80
Hallo Sabina, so ein Mist, jetzt sind die Dateien doch drauf, die mir killbox als nicht vorhanden gemeldet hat. Hier das mwav-Log:
File C:\WINDOWS\zona02.exe infected by "Trojan.Win32.Regger.j" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\4di36bkj87p5fd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\4hkg5jvr4uxtgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\es4jdw5ug5k3zo.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\h66fi38rl6offd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\lgky4icmptsffd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\npmecsxoeop5fd.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\11726922.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\1196981.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\1669660.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\2116623.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\230020.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\242739.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\2529066.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\391593.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\755686.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\765000.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\87295.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\879064.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. und hier das hijack-log: Logfile of HijackThis v1.98.2 Scan saved at 12:44:00, on 23.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\locator.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\IBM\Messages By IBM\ibmmessages.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\system32\DTSTA.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\Programme\T-Online\Dialerschutz-Software\defender.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\WINDOWS\system32\zstatus.exe C:\PROGRA~1\eScan\AvpM.exe C:\WINDOWS\System32\1XConfig.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\EBERHA~1\LOKALE~1\Temp\Temporäres Verzeichnis 10 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [hp 1000 firmware] C:\Programme\hp LaserJet 1000\fwdl.exe O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe" O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4409/mcfscan.cab O20 - AppInit_DLLs: wcfkyyh84evtgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll was ist denn dieser krepper für einer? mfg albrisser |
|
|
|
|
|
|
23.11.2004, 13:17
Ehrenmitglied
Beiträge: 29434 |
#81
Hallo@albrisser
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Suche und loesche manuell: <C:\WINDOWS\zona02.exe <C:\WINDOWS\system32\4di36bkj87p5fd <C:\WINDOWS\system32\4hkg5jvr4uxtgv <C:\WINDOWS\system32\es4jdw5ug5k3zo <C:\WINDOWS\system32\h66fi38rl6offd <C:\WINDOWS\system32\lgky4icmptsffd <C:\WINDOWS\system32\npmecsxoeop5fd <C:\WINDOWS\system32\wcfkyyh84evtgv Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k deinstalliere den eScan -Trial (und deaktiviere deinen anderen Virenscanner...sonst geht dein PC in ide Knie) und lade: <#Antivirus (free) http://www.free-av.de/ nach dem Installationsscann konfigueriere: "alle Dateien" und "Heuristik: hoch Dann gehe in den abgesicherten Modus und mache einen Komplettscann. Es ist sehr wichtig fuer mich, wenn du durchhaelst und alles ausfuehrst, was ich schreibe (und nicht aufgibst und neuinstallierst...denn darauf wird es hinauslaufen.) Diese Kreppervariante ist neu (eine Art Startseitentrojaner/ Keylogger) und wird zwar von einigen Virenscannern erkannt, aber nicht geloescht.) Wenn du eine von den dlls gefunden hast (bevor du sie loescht) mache folgendes: Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ * http://virusscan.jotti.dhs.org/ - im Text wird zu Recht darauf hingewiesen, daß dieser Test keine 100%ige Garantie gibt, da es immer wieder passieren kann, daß neue malware noch nicht erkannt wird und fälschlicherweise als OK bezeichnet wird * auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen! * auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist... -------------------- #Kaspersky-Online-einzelne Dateien ueberpruefen http://www.kaspersky.com/remoteviruschk.html Poste dann das Ergebnis von diesen Scanns  Dann berichte, was du geloescht/nicht gefunden hast, was der Antivirus geloescht hat und ganz zum Schluss scanne noch mal mit mwav.exe (eScan-Erkennungstool) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.11.2004 um 13:24 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.11.2004, 13:47
Member
Beiträge: 16 |
#82
Hallo Sabina,
ich habe jetzt nochmal mit dem normalen Suchassistenen nach dieser ominösen Datei pgz6kc5ocv7cvg.dll geforscht. Dabei bin ich auf eine Editordatei startuplist gestossen (die anderen habe ich noch nicht untersucht). Dort wurde als Ort dieser Datei HKLM\...\WINDOWS NT\Current Version\Windows: AppInit_DLLs= [und dann dieser Dateiname] angegeben. Mit dieser Info bin ich in regedit, habe, weil ich die Pünktchen nicht interpretieren konnte, alles mit HKLM aufgeschlagen und bin schließlich an dem angegebenen Ort gelandet. Dort aber ist statt der Datei mit obigem Namen eine mit Namen wcfkyyh84evtgv.dll.dll.dll usw. enthalten. Kann es sein, dass die nen neuen Namen angenommen hat oder wie oder was? Rätsel über Rätsel. Wie soll sich da einer auskennen? mfffg albrisser |
|
|
|
|
|
|
23.11.2004, 13:50
Member
Beiträge: 16 |
#83
Hallo Sabina, die vorige Post habe ich abgeschickt, bevor ich Deine Antwort gelesen habe. Ja, das mit der erweiterten Suchfunktion hatte ich auch schon angefangen, ich mache weiter! Trotzdem gilt die Beobachtung der vorigen Post. Ich kann mir da keinen Reim drauf machen.
mfg albrisser |
|
|
|
|
|
|
23.11.2004, 16:24
Ehrenmitglied
Beiträge: 29434 |
#84
Ja, wie du aus dem ersten Log und dem zweiten erkennen kannst, veraendert sich der Name der dll.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Lade von hier die StartUplist (um immer ueberpruefen zzu koennen, ob der Kepper dort noch eingtragen ist) und loesche diese Datei im StartUp. http://www.spywareinfo.com/~merijn/downloads.html aktive Prozesse anzeigen: Start->Ausführen->reinschreiben : cmd -->DOS öffnet sich reinkopieren: C:\prozesse.txt der TextEditor oeffnet sich -> mit rechtem Mausklick abkopieren: Image Name PID Session Name Session# Mem Usage mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.11.2004 um 16:33 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.11.2004, 16:59
Member
Beiträge: 16 |
#85
Hallo Sabina
kein Licht am Ende des Tunnels… Suche und loesche manuell: <C:\WINDOWS\zona02.exe nicht gefunden <C:\WINDOWS\system32\4di36bkj87p5fd gelöscht <C:\WINDOWS\system32\4hkg5jvr4uxtgv gelöscht <C:\WINDOWS\system32\es4jdw5ug5k3zo nicht gefunden (schon vorher gelöscht??) <C:\WINDOWS\system32\h66fi38rl6offd gelöscht <C:\WINDOWS\system32\lgky4icmptsffd gelöscht <C:\WINDOWS\system32\npmecsxoeop5fd nicht gefunden (?) <C:\WINDOWS\system32\wcfkyyh84evtgv nicht gefunden (aber ich hatte sie doch kurz zuvor noch in der reg gesehen!! Datenträgerbereinigung: und Löschen der Temporary-Dateien ok deinstalliere den eScan -Trial (und deaktiviere deinen anderen Virenscanner...sonst geht dein PC in ide Knie) und lade: <#Antivirus (free) NAV hatte ich schon deinstalliert – übrigens hatte er mir Ende letzter Woche eine Virus-Mdg gebracht: „Trojan.StartPage“, er konnte sie aber nicht entfernen. Was für einen AV-Scanner soll ich Deiner Meinung nach nehmen?? nach dem Installationsscann konfiguriere: "alle Dateien" und "Heuristik: hoch Antivirus V1.07 ist ohne Einstellmöglichkeiten Wenn du eine von den dlls gefunden hast (bevor du sie loescht) mache folgendes: Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen So – und diese Anweisung stand für mich Laien an der falschen Stelle, ich dachte sie bezieht sich auf suchen und löschen mit dem Antivirus – und der hat mir überhaupt keine einzige Fehlermeldung gebracht!! Poste dann das Ergebnis von diesen Scanns Kann ich nur vom mwav-Scan (im abgesicherten Modus) File C:\!Submit\689bktwmecv.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\11726922.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\1196981.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\1669660.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\2116623.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\230020.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\242739.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\2529066.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\391593.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\755686.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\765000.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\87295.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Eberhard Rothermel\Lokale Einstellungen\Temp\879064.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000141.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000142.exe infected by "TrojanDownloader.Win32.Small.uy" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000144.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000161.exe infected by "Trojan.Win32.Regger.j" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000162.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000163.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000165.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000166.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000169.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000170.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000171.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1\A0000172.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\SBUtils\SBWebCtl.dll tagged as not-a-virus:AdWare.WindowEnhancer. No Action Taken. Tue Nov 23 16:24:17 2004 => ***** Scanning complete. ***** Tue Nov 23 16:24:17 2004 => Total Files Scanned: 45118 Tue Nov 23 16:24:17 2004 => Total Virus(es) Found: 27 Tue Nov 23 16:24:17 2004 => Total Disinfected Files: 0 Tue Nov 23 16:24:17 2004 => Total Files Renamed: 0 Tue Nov 23 16:24:17 2004 => Total Deleted Files: 0 Tue Nov 23 16:24:17 2004 => Total Errors: 0 Tue Nov 23 16:24:17 2004 => Time Elapsed: 00:41:01 Tue Nov 23 16:24:17 2004 => Virus Database Date: 2004/11/22 Tue Nov 23 16:24:17 2004 => Virus Database Count: 110228 Tue Nov 23 16:24:17 2004 => Scan Completed. Zum Schluß noch dies: Mit der immer noch vorhandenen Datei 689bktwmecv.dll (die zuvor in C:\WINDOWS\System32 war, hatte ich schon heute nacht meine Probleme. Die Killbox hat sie zwar identifiziert, aber mit der Meldung could not be deleted. Dann drückte ich den button delete by reboot und siehe da – beim rebooten war meine ganze taskleiste und alle icons auf dem desktop verschwunden. Ich mußte den Strom unterbrechen und einen brutalen Neustart machen. Ich dachte, sie sei weg, hehe mfg albrisser PS gerade lese ich deine neue post, habe es gleich ausprobiert mit startuplist und siehe da, der angeblich nicht vorhandene wcfkyyh84evtgv.dll hockt da am ende. Habe ihn gelöscht. Mit cmd kann ich keinen befehl prozesse.txt eingeben, nimmt er nicht. |
|
|
|
|
|
|
23.11.2004, 17:24
Member
Beiträge: 16 |
#86
jetzt habe ich mit den veränderten Sucheinstellungen endlich !Submit gefunden und darin ist diese Datei, die ich mit malware scan so festgehalten habe:
File: 689bktwmecv.dll Status: INFECTED/MALWARE Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir DR/Regger.J.1 (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefenderNo viruses found (0.48 seconds taken) ClamAV No viruses found (0.33 seconds taken) Dr.Web Trojan.Cassandra (0.49 seconds taken) F-Prot AntivirusNo viruses found (0.06 seconds taken) Kaspersky Anti-VirusTrojan.Win32.Krepper.ae (0.61 seconds taken) mks_vir No viruses found (0.24 seconds taken) NOD32 No viruses found (0.36 seconds taken) Norman Virus ControlNo viruses found (0.12 seconds taken) kannst du damit was anfangen? mfg albrisser |
|
|
|
|
|
|
23.11.2004, 17:32
Member
Beiträge: 16 |
#87
ach ja, noch was, es kommt halt kleckerlesweise: der krepper 689bktwmecv.dll hat als Signatur:
Firma: Melkosoft Corporation Dateiversion: 1.0.31.0 (zum Beispiel) Erstellt am: 23.11.2004 03.25 (also heute früh, als ich am Reparieren war) Größe: 67,0 KB mfg albrisser |
|
|
|
|
|
|
23.11.2004, 17:45
...neu hier
Beiträge: 2 |
#88
hallo sabina!
brauche dringend deine hilfe! bitte bitte bitte..... bei mir funkt nix mehr! =( Logfile of HijackThis v1.98.2 Scan saved at 17:42:34, on 23.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\adjam_oh\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.3:4001 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [jv16PT_Script_Runner_0] C:\Programme\jv16 PowerTools\jv16 PowerTools.exe -Script "C:\Programme\jv16 PowerTools\Scripts\hlsw.temp" O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SIAPRO6] "C:\Programme\Steganos Internet Anonym Pro 6\sia.exe" /booting O4 - HKCU\..\Run: [GMX Upload-Manager] "C:\PROGRA~1\GMX\GMXUPL~1\GMXUPL~1.EXE" HIDE O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096482646375 O20 - AppInit_DLLs: y3c25lltle64gt.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll VIELEN VIELEN dank im voraus! |
|
|
|
|
|
|
23.11.2004, 18:30
Member
Beiträge: 16 |
#89
Hallo Sabina, ich schrieb, dass ich die dll.dll.dll-Datei aus der Startliste gelöscht habe. Pustekuchen, ich kann löschen soviel ich will, sie ist beim nächsten Aufruf wieder drin. Das betreffende Segment sieht so aus:
Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=wcfkyyh84evtgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll ist das normal, dass alle anderen Werte ausgeschaltet sind? mffg albrisser (entschuldigung für das bombardement, wenn das nicht in Ordnung ist, bitte sagen!!) |
|
|
|
|
|
|
23.11.2004, 19:01
...neu hier
Beiträge: 1 |
#90
Hi Sabina,
hab das selbe problem, wie die anderen. Bitte um schnelle Hilfe. Hier mein Lof-File: Logfile of HijackThis v1.98.2 Scan saved at 18:57:45, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\System32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\LogMeIn\ragui.exe C:\WINXP\System32\8iw0zsgm3ethd.exe C:\WINXP\System32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\LogMeIn\RaMaint.exe C:\Programme\LogMeIn\LogMeIn.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Ahead\Nero\nero.exe C:\WINXP\System32\imapi.exe C:\Dokumente und Einstellungen\rebell.REBELL-JUNIOR\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=543 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=543 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=543 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\WINXP\System32\by7kh.dll O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINXP\System32\NJJCPC~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\ragui.exe" O4 - HKLM\..\Run: [Control handler] C:\WINXP\System32\8iw0zsgm3ethd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36CEDD12-551A-4E4D-B451-50F493A37F09}: NameServer = 192.168.0.1 O18 - Protocol: bw+0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw+0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: bwg0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwg0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0s - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: offline-8876480 - {99ADC4F3-4EDF-4459-8C48-C3F7FB034622} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O20 - AppInit_DLLs: fs6pfpmkw9epz6l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Gehe in die Registry:
Start<Ausfuehren<regedit:
loesche in der Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
loesche:
pgz6kc5ocv7cgv.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
.........................................................................................................
Troj/Dluca-DC versucht, die Sicherheits-Einstellungen des Internet Explorers und Netscape Navigators zu reduzieren, indem das "Trusted Publisher" Zertifikat verändert wird. Beim Internet Explorer werden dabei foglende Registrierungseinträge erstellt:
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\
Certificates\1567DAAB1377FE3552D2F6F2A2FA80200135EDA5\
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\
Certificates\F705E9D8DAA72DF53D068BF60B551EA3103D51D7\
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\
Certificates\F7EE4E3689C2DCF4A531C20954D158C1936D9A3C\
Troj/Dluca-DC erstellt außerdem den folgenden Registrierungseintrag:
HKCU\Software\msdmxm\
................................................................................................
starte den PC neu:-> in den abgesicherten MODUS (!)
-->Beispiel/Löschen:
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\WINDOWS\system32\5bprbksz75t.dll
4.)wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein. Erst beim letzten klickst du "Yes" und startest den PC neu.
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
Loesche:
C:\WINDOWS\system32\pgz6kc5ocv7cgv.dll [Trojan.Win32.Krepper.ae ]
C:\WINDOWS\system32\5bprbksz75t.dll
C:\WINDOWS\stop.00009_4.exe
C:\WINDOWS\stop.31403_4.exe
C:\WINDOWS\zona02.exe
C:\WINDOWS\system32\4di36bkj87p5fd.dll
C:\WINDOWS\system32\689bktwmecv.dll
C:\WINDOWS\system32\es4jdw5ug5k3zo.dll
C:\WINDOWS\system32\h66fi38rl6offd.dll
C:\WINDOWS\system32\lgky4icmptsffd.dll
C:\WINDOWS\system32\mswavedll.exe [Troj/Dluca-DC]
C:\WINDOWS\system32\npmecsxoeop5fd.dll
C:\WINDOWS\Downloaded Program Files\ISTactivex.dll
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und
Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre
Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
deaktiviere/deinstalliere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
klicke auf: awn2k3e.exe
sanne im abgesicherten und im Normalmodus und poste dann das Log noch mal.
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
mfg
Sabina
*
http://www.sophos.de/virusinfo/analyses/trojdlucadc.html
__________
MfG Sabina
rund um die PC-Sicherheit