TR\LEFEAT.DLL1 wie entfernen?

#31 Markiere:
Delete File on Reboot

kopiere rein:

C:\WINDOWS\system32\sysra.dll

wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein

C:\WINDOWS\system32\ipji32.exe

wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein

C:\WINDOWS\system32\addmb.exe

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".
__________
MfG Sabina

rund um die PC-Sicherheit

#32 also es kommt keine nachrucht mehr von antivir von diesem virus!

ist der virus nun weg !?

#33 nun scanne mit dem EsCan
__________
MfG Sabina

rund um die PC-Sicherheit

#34 wie lange dauert ungefär so ein escan?

#35 sehr lange, je nachdem wieviele Daten du hast
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Das ist die Reprotage von dem escan:

File C:\DOKUME~1\Jannis\LOKALE~1\Temp\61.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Jannis\LOKALE~1\Temp\64.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Jannis\LOKALE~1\TEMPOR~1\Content.IE5\892J4TQF\msits[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Jannis\Eigene Dateien\Downloads\leechftp.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Jannis\Lokale Einstellungen\Temp\61.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Jannis\Lokale Einstellungen\Temp\64.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Jannis\Lokale Einstellungen\Temporary Internet Files\Content.IE5\892J4TQF\msits[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\ADDMB.EXE.VIR infected by "Trojan-Downloader.Win32.Small.ajr" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\IPJI32.EXE.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File I:\incoming\Data Becker 3D Wohnungsplaner Patch-Datei (Funktioniert Exelent).rar infected by "Trojan-Dropper.Win32.Dorn" Virus. Action Taken: No Action Taken.
File I:\incoming\Sony.Ericsson.K700i.(walls,.jogos,.sons,.themes)\Sony Ericsson K700i\Aplicaçoes\ActiveViewer\vnc-3.3.7-x86_win32.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

#37 @ lattenbreit (Seite1)
Deaktivieren der Systemwiederherstellung und im abgesicherten Modus booten.

Dann: Folgende Einträge in Hijackthis markieren und über "fix checked" die Einträge entfernen. Weitere Maßnahmen, wie mit e-scan den PC scannen entnimmst du bitte den anderen Posts. Anschl. den PC neu starten und nochmal ein Log posten

C:\WINDOWS\addmp32.exe - Unbekannt
C:\WINDOWS\system32\crpi.exe - Unbekannt
R3 - Default URLSearchHook is missing - Böse
O2 - BHO: (no name) - {324C7B28-F8EB-05C3-47CF-680DDABE2D8D} - C:\WINDOWS\ipdn.dll - Unbekannt
O4 - HKLM\..\Run: [crpi.exe] C:\WINDOWS\system32\crpi.exe - Eventuell Böse
O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe - Unbekannt
O4 - Global Startup: D-Link AirPlus.lnk = ? - Unbekannt
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\addmp32.exe - Unbekannt
__________
Durchsuchen --> Aussuchen --> Untersuchen

#38 timyneuss

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

Kopiere in die killbox.
C:\DOKUME~1\Jannis\LOKALE~1\Temp\61.tmp.exe
C:\DOKUME~1\Jannis\LOKALE~1\Temp\64.tmp.exe
C:\Dokumente und Einstellungen\Jannis\Lokale Einstellungen\Temp\61.tmp.exe
C:\Dokumente und Einstellungen\Jannis\Lokale Einstellungen\Temp\64.tmp.exe
I:\incoming\Data Becker 3D Wohnungsplaner Patch-Datei

pc neustarten

Start<Ausfuehren< schreib rein. %temp%
dann suche eine kb.txt oder kg.txt (ist die Textdatei von der Killbox)

Poste mir den Inhalt.

und ueberpruefe, ob die temp.-Dateien wirklich geloescht wurden, !!!!!!

dann arbeite alles weitere ab, so wie ich es geschrieben hatte
__________
MfG Sabina

rund um die PC-Sicherheit

#39 lattenbreit (Seite1)

O23 - Service: Remote Procedure Call (RPC) Helper --> ist ein Dienst, der mit dem Hijacker in Verbindung steht.

Mache bitte folgendes:

License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Mein lieber Scholli, ich glaube ich habe heute Abend die Hölle gesehen!
Ich wusste nicht, dass es soviele Zahlen, Striche und Punkte auf diesem Planeten gibt!

Hab mich an Euren Rat gehalten:

e scan runtergeladen, und dos drüberlaufen lassen,

Ich habe die von Joschi empfohlenen Dateien im hijackthis gefixed und meinen Rechner im abgesicherten Modus gebootet.

Dann hab ich mit e scan alles gescant - was nicht unerheblich lange dauert - hab die Infos gespeichert und nochmal hijackthis drüber laufen lassen!



Das sind die Ergebnisse: e scan:


b 10 23:00:02 2005 => File C:\WINDOWS\addmp32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Feb 10 23:00:10 2005 => File C:\WINDOWS\UpdReg.EXE infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Feb 10 23:00:10 2005 => File C:\WINDOWS\UpdReg.EXE infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

u Feb 10 23:00:26 2005 => File C:\WINDOWS\System32\crpi.exe infected by "Trojan-Downloader.Win32.Small.ajr" Virus. Action Taken: No Action Taken.

Thu Feb 10 23:11:09 2005 => Scanning File C:\DOKUME~1\daniel\LOKALE~1\TEMPOR~1\Content.IE5\DZNFX9CE\infected6xz[1].gif

Thu Feb 10 23:28:45 2005 => File C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1f2cf015-6da9ed96.zip infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.

Thu Feb 10 23:28:45 2005 => File C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-2074c1d-1d1812b5.zip infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.

Thu Feb 10 23:37:47 2005 => Scanning File C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DZNFX9CE\infected6xz[1].gif

Fri Feb 11 00:01:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*



Fri Feb 11 00:03:59 2005 => ***** Scanning complete. *****
Fri Feb 11 00:03:59 2005 => Virus Database Date: 2005/02/09
Fri Feb 11 00:03:59 2005 => Virus Database Count: 117589

Fri Feb 11 00:03:59 2005 => Scan Completed.


Fri Feb 11 00:04:00 2005 => Total Files Scanned: 42906
Fri Feb 11 00:04:00 2005 => Total Virus(es) Found: 6
Fri Feb 11 00:04:00 2005 => Total Disinfected Files: 0
Fri Feb 11 00:04:00 2005 => Total Files Renamed: 0
Fri Feb 11 00:04:00 2005 => Total Deleted Files: 0
Fri Feb 11 00:04:00 2005 => Total Errors: 2
Fri Feb 11 00:04:00 2005 => Time Elapsed: 01:03:57




Und hier das neue hijackthis log:


Logfile of HijackThis v1.99.0
Scan saved at 00:29:47, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Probleme sind nach wie vor: Popupfenster, Pornolinks in den Favoriten und about:blank als unauslöschbare IE Startseite!

Ich glaub, ich brauch jetzt erst mal ein Bier!!!

Danke schon jetzt für Eure Hilfe...das ist echt sehr nett!

#41 Hallo@lattenbreit (Seite1)

weiterhin voellig verseucht.

O23 - Service: Remote Procedure Call (RPC) Helper --> ist ein Dienst, der mit dem Hijacker in Verbindung steht.

Mache bitte folgendes:

License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykuoo.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykuoo.dll/sp.html#93256

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

C:\WINDOWS\ykuoo.dll
C:\WINDOWS\addmp32.exe
C:\WINDOWS\UpdReg.EXE
C:\WINDOWS\System32\crpi.exe

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#42

Zitat

Sabina postete
Hallo@lattenbreit (Seite1)

weiterhin voellig verseucht....

Na da kommt ja richtig Freude auf!
wie schon erwähnt, im editor von getservice steht gar nix!

#43 du musst das im abgesicherten Modus (als Administrator machen)
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Hab ich probiert!
Aber auch im Administrator Modus ist das getservices txt editor Fenster leer!
Und dahinter steht nach wie vor die Meldung!

Vielleicht bin ich auch einfach zu dämlich, aber ich gebe nicht auf, ich werde kämpfen und auch wenn ich nicht weiß gegen was und wie...Ihr macht das schon!

#45 Hallo@lattenbreit

Und dahinter steht nach wie vor die Meldung!-->WELCHE MELDUNG ???????
_______________________________________________________________
Das kann nicht moeglich sein.
ich hab das Tool auch

http://www.bleepingcomputer.com/files/getservices.php

und wenn du es entpackst und dann auf "getservice.bat
klickst , dann erscheinen die Dienste:

PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Benachrichtigt bestimmte Benutzer und Computer bezüglich administrativer Warnungen. Falls der Dienst beendet wird, können Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Warndienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

usw. usw.....

Versuch es noch mal. (Im Normalmodus)
__________
MfG Sabina

rund um die PC-Sicherheit