Antivirmeldung TR.lyrus.dll blockiert den PC ! Was ist Windows\system32 ?

#1 Hallöchen,

hilfe mein Mann hat wieder mal auf meinem PC gesurft ! :-)) Nun hab ich
gestern massiv Probleme mit Trojanern und Viren, den IE traue ich mich nicht mehr zu benutzen, sondern Opera, und den Outlook öffne ich auch besser nicht.
Antivir öffnet ein Fenster mit einer Warnung vor TR.lyus.dll und was auch immer ich dort für eine der 6 Möglichkeiten ankreuze, oder ob ich Abbrechen oder Schließen angebe, passiert nichts....im Gegenteil es öffnet sich wieder ein neues Warnfenster. Durch mehrmaliges Ausschalten des Antivir bekomme ich es dann irgendwann doch weg, aber ich denke da stimmt was nicht !*g*

Hab nun alle von Hijackthis angegebenen roten Zeilen fixiert, aber der Rechner will immernoch nicht folgen.

Bitte um Hilfe !
Danke im Voraus
Grüßle
Saginet


Hier mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:13:13, on 23.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\dpnet.exe
C:\WINDOWS\x~v\url_mon32.exe
C:\Lotus\organize\easyclip.exe
C:\Lotus\smartctr\smartctr.exe
C:\Lotus\smartctr\suitest.exe
C:\Lotus\register\remind32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE

#2 Hi!

Das logfile ist nicht komplett!
Vorsichtshalber auch mal mit einem anderen Programm z.B. Bitdefender Free Edition den PC scannen und natürlich ein vollständiges logfile pasten.

Mfg

#3 Tschuldigung, jetzt das komplette Logfile

Übrigens diese Zeile 2 X, habe ich eben fixiert und den PC neu gestartet. Ist aber immernoch drin ?!? :-(
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll/sp.html

Grüßle
Saginet

Logfile of HijackThis v1.99.1
Scan saved at 16:22:43, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\dpnet.exe
C:\Lotus\organize\easyclip.exe
C:\Lotus\smartctr\smartctr.exe
C:\Lotus\smartctr\suitest.exe
C:\Lotus\register\remind32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9E3F7048-5E19-4915-BB5B-468E8240B155} - C:\WINDOWS\System32\mgmj.dll
O2 - BHO: IEHlprObj Class - {FD8953C6-823F-46ab-8669-3B2BBF3A9210} - C:\WINDOWS\System32\iehelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [dpnet] C:\WINDOWS\System32\dpnet.exe
O4 - Startup: Lotus SmartSuite r9 Registrierung.lnk = C:\Lotus\register\remind32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = C:\Lotus\organize\easyclip.exe
O4 - Global Startup: Lotus Schnellstart.lnk = C:\Lotus\wordpro\ltsstart.exe
O4 - Global Startup: Lotus SmartCenter.lnk = C:\Lotus\smartctr\smartctr.exe
O4 - Global Startup: Lotus SuiteStart.lnk = C:\Lotus\smartctr\suitest.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O18 - Filter: text/html - {7F8E8A42-18DF-40BD-A5EC-AA4544727475} - C:\WINDOWS\System32\mgmj.dll
O18 - Filter: text/plain - {7F8E8A42-18DF-40BD-A5EC-AA4544727475} - C:\WINDOWS\System32\mgmj.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#4 Hi!

Wie Du den sp.html Eintrag entfernst steht hier:
http://board.protecus.de/t15636.htm

Ansonsten folgende Vorgehensweise:
PC im abgesicherten Modus hochfahren, die Systemwiederherstellung deaktivieren und mit eScan und einem normalen Anti Viren Scanner (z.B. Bitdefender Free Edition) scannen. Nun nochmal mit Hijackthis scannen und folgende Einträge entfernen:

C:\WINDOWS\System32\dpnet.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll/sp.html

O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt

O2 - BHO: (no name) - {9E3F7048-5E19-4915-BB5B-468E8240B155} - C:\WINDOWS\System32\mgmj.dll

O2 - BHO: IEHlprObj Class - {FD8953C6-823F-46ab-8669-3B2BBF3A9210} - C:\WINDOWS\System32\iehelper.dll

O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [dpnet] C:\WINDOWS\System32\dpnet.exe

O18 - Filter: text/html - {7F8E8A42-18DF-40BD-A5EC-AA4544727475} - C:\WINDOWS\System32\mgmj.dll

O18 - Filter: text/plain - {7F8E8A42-18DF-40BD-A5EC-AA4544727475} - C:\WINDOWS\System32\mgmj.dll


Nun noch folgende Dateien löschen:

C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\se.dll
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\sp.html
C:\WINDOWS\System32\dpnet.exe
C:\WINDOWS\System32\mgmj.dll
C:\WINDOWS\System32\iehelper.dll


Nach einem Neustart kannst Du die Systemwiederherstellung aktivieren.


Mfg

#5 Vielen Dank, aber leider muß ich nochmal nerven !
Ein Gutes haben diese dummen Virenviecher ja, man lernt viel dabei, vorallem von Fachleuten, wie Euch ! *schleim*

Hab alles erledigt, was du mir geraten hast, nur das der Bitdefender bei mir nicht im abgesicherten Modus läuft "Fehler beim Starten von Virus-Shield" !
Hab aber Ad-aware uns Spybot laufen lassen und es war alles clean.

Nach dem Neustart meldet Bitdefender 5 Viren, alle samt in Temporären Dateien (kann ich die nicht einfach löschen, ohne das es Schaden anrichtet, und oder nützt das nix ?

Nachdem ich dann allerdings die Systemwiederherstellung aktiviert hatte, meldet Adaware 45 kritische Objekte und Spybot löschte ebenfalls wieder 9 Objekte !

Grüßle
Saginet

Hier mein aktuelles Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:20:19, on 25.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Lotus\organize\easyclip.exe
C:\Lotus\smartctr\smartctr.exe
C:\Lotus\smartctr\suitest.exe
C:\Lotus\register\remind32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Temporäres Verzeichnis 19 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Lotus SmartSuite r9 Registrierung.lnk = C:\Lotus\register\remind32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = C:\Lotus\organize\easyclip.exe
O4 - Global Startup: Lotus Schnellstart.lnk = C:\Lotus\wordpro\ltsstart.exe
O4 - Global Startup: Lotus SmartCenter.lnk = C:\Lotus\smartctr\smartctr.exe
O4 - Global Startup: Lotus SuiteStart.lnk = C:\Lotus\smartctr\suitest.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

#6 Wenn du das Problem nochmal haben solltest, poste bitte ein Log, ohn das du vorher mit Spybot, Adaware und co etwas loescht/reinigst.
__________
MfG Ralf
SEO-Spam Hunter

#7 @ Saginet

So wie dein System momentan gepatcht ist, ist nur eine Frage der Zeit bis du dir das nächste Ungeziefer installierst.

Führe deshalb dies aus:
- Das System updaten (SP2 installieren) und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Lesenswerte Lektüre:
http://www.trojaner-board.de/showthread.php?t=13150
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://faq.underflow.de/#SECTION000110000000000000000
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#8 Danke für Eure Hilfe,

hab die Ratschläge beherzigt und Windows erstmal upgedatet, einen andere Virenscanner benutzt (AVG free Edition), den IE auf hohe Sicherheit gestellt und benutze zum Surfen jetzt ausschließlich Opera !

Jetzt ist mein PC erstmal clean ! *freu*

Der Aufsatz von der uni-marburg-Page war klasse und auch für mich als DAU sehr verständlich geschrieben ! :-)

Grüßle
Saginet