Unbekannte DLL (ändert sich bei jedem Reboot!) - W32/FunLove?!

#0
09.03.2005, 16:08
...neu hier

Beiträge: 1
#1 Hiho!
Ich hab mich gerade mal hier angemeldet, da ich einige Probleme der letzten Tage bis Wochen mal notiert habe und weder bei Google noch sonst wo auf Antworten stieß. Ich poste meine eigene Log mal hier rein:

Zitat

-+-+-+-+-+-+-
"
Hochfahren ->
Desktop schnell geladen ->
KasperSky sagt das es nicht zur Verfügung steht ->
Wartezeit, ca. 1min
Im System32 Ordner hab ich nach der Wartezeit eine Datei gesehen sie fing mit d8... an und als ich sie makieren wollte, verschwand sie... ->
"
-+-+-+-+-+-+-
"
Bei jedem Neustart sehe ich da, wenn man sich angemeldet hat, und die Benutzereinstellungen geladen werden, eine *.dll Datei, die jedes mal Ihren Namen ändert. Sie liegt im System32 Ordner und lässt sich weder löschen noch sonst was. Im Moment wo ich das hier gerade tippe heißt sie: "dn0u01d9e.dll" Leider findet man dazu nichts, da sie ja jedes mal den Namen ändert. Sie ist 228KB groß. Ich hab sie mal versucht in nem Datei-Ressorcen Extracter darzustellen, kam aber leider nichts bei raus. Sie befindet sich weder im Autostart, in der Registry noch im geheimen Shellstart der Explorer. Wie es aussieht wird sie von der userinit.exe geladen, da diese ja für die Anmeldung zuständig ist. Sie wird auch nicht als Service oder so anerkannt. Was macht diese Programmbibliothek und warum habe ich sie vorher nie bemerkt, falls sie von Mircosoft sien sollte?!
"
-+-+-+-+-+-+-
"
Noch eine seltsame Sache, in den Registry Autostart habe ich die "flcss.exe" Datei gefunden. Diese gehört zum W32/FunLove Virus. Ich habe mir nen Removal Tool bei McAfee gezogen, das hat nichts gefunden...Die Datei selbst, 129KB groß, ist aber mit dem Icon von KasperSky ausgestattet und soll wohl ein RemovalTool dafür sein..o.O° Im ResHacker fand ich dieses hier:


1 VERSIONINFO
FILEVERSION 3,1,4,0
PRODUCTVERSION 3,1,2,0
FILEOS 0x4
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "041904b0"
{
VALUE "Comments", "KL Anti-FunLove protection."
VALUE "CompanyName", "Kaspersky Lab."
VALUE "FileDescription", "flcss"
VALUE "FileVersion", "3, 1, 4, 0"
VALUE "InternalName", "flcss"
VALUE "LegalCopyright", "Copyright © 2001 - 2003"
VALUE "LegalTrademarks", "Kaspersky Lab."
VALUE "OriginalFilename", "flcss.exe"
VALUE "PrivateBuild", ""
VALUE "ProductName", "Kaspersky Lab. KL Anti-FunLove protection."
VALUE "ProductVersion", "3, 1, 2, 0"
VALUE "SpecialBuild", ""
}
}

BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0419 0x04B0
}
}


Aber was ist es nun?! Der Virus oder das echte RemovalTool?! Hat McAfee ein Problem, oder hab ich hier eines...
"
-+-+-+-+-+-+-

Folgendes spuckt HiJackThis aus (kommentiert von mir!):
http://sg4.sg.funpic.de/--public--/--forum--/log.txt <- Link kopieren und in die URL pasten!
Folgendes kommt immer wieder auf den Desktop(Malware denk ich):
http://sg4.sg.funpic.de/--public--/--forum--/werbung.gif <- Link kopieren und in die URL pasten!

Was mit im übrigen in den letzten Tagen auffiel war, dass es ab und an dazu kam, dass ganz kurz, vielleicht eine zehntel Sekunde oder so der Dialog zum Herrunterfahren kam, jedoch dieser wieder verschwand und nichts passierte.


Ach und gerade passierte nochwas, ist auch schon mehrmals vorgekommen, dieser Installationsscreen springt ohne erwarten auf:
http://sg4.sg.funpic.de/--public--/--forum--/install.gif <- Link kopieren und in die URL pasten!

Als Prozess befinden sich folgende neue Dateien im System32 Ordner:
bz21E.tmp
setup74.exe

Hinzu kommt, dass es sehr oft vorkommt, dass der Winsock nen Fehler hat, kein HTTP oder FTP mehr möglich.
(Wie in diesem Moment, daher muss(te) ich die Bilder später hochladen!)

Was soll ich eurer Meinung nach machen?!


EDIT: Hab noch andere Dateien im System32 Ordner gefunden:
docore.dll
dosync.dll
aavar <- Verknüpfung!
bride.exe <- 0 Byte
u8ruli9918.dll <-- Anscheinend auch so eine wie diese dn0u...dll (Gleiche Größe)
kt2ql7f51.dll <-- Vielelicht auch?! 3 KB größer
gp26l3fs1.dll <- etc...
kydnec95.dll
r2p8lc7u1f.dll
ktl6l73s1.dll
p8n8li5u18.dll
hr0u05d9e.dll
k462lejo1hoc.dll
36FDC58963.sys <-- 56 byte groß


EDIT2: Alles Dinge die den alltäglichen Gebrauch sehr stören!

EDIT3: Ich hoffe es war alles sehr ausführlich... ;)
Dieser Beitrag wurde am 09.03.2005 um 16:09 Uhr von Keenora editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »