C:\WINDOWS\Xhrmy.exe -->Trojaner

#0
16.03.2005, 19:24
...neu hier

Beiträge: 1
#1 durch Windows xhrmy.exe!Das läßt sich aber weder isolieren noch löschen,kann mir da mal jemand weiterhelfen?Für was das da sein soll,oder was man dagegen tun kann?Wäre echt Dankbar!
Gruß Sardo
Seitenanfang Seitenende
19.03.2005, 17:35
...neu hier

Beiträge: 1
#2 Hi
Verwende mal das Tool von Webroot "Spy Sweeper v.3.5".
Ich hatte mir über das Netzwerk eine menge Ungeziefer eingefangen und dachte schon an eine Neuinstallation.
Jetzt ist alles wieder sauber.
Gruß Silvio
Seitenanfang Seitenende
21.03.2005, 13:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@Sardo

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

--------------------------------------------
Trojan Horse Backdoor.Small.6.A/ADW_HYPLINKER.A

C:\WINDOWS\Xhrmy.exe
O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe

Start--> Ausfuehren--> regedit

mit rechtsklick loeschen, was fett angezeigt ist:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run\xhrmy = "%Windows%\Xhrmy.exe

HKEY_LOCAL_MACHINE>Software\Xhrmy

HKEY_LOCAL_MACHINE>Software\LM

HKEY_CLASSES_ROOT\
LinkMaker.LinkMakerFilter
LinkMaker.LinkMakerFilter.1
LinkMaker.LinkTracker
LinkMaker.LinkTracker.1


HKEY_CLASSES_ROOT>CLSID\
{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}
{DFAA31C8-A356-4313-9D95-5EDAB46C5070}


HKEY_CLASSES_ROOT>Interface\
{43B32A8D-3C3D-4969-B44E-CDCF0D233881}

HKEY_CLASSES_ROOT>TypeLib\
{423550E9-2F83-4678-9929-C1774088B180}

HKEY_LOCAL_MACHINE>Software>Classes\
LinkMaker.LinkMakerFilter
LinkMaker.LinkMakerFilter.1
LinkMaker.LinkTracker
LinkMaker.LinkTracker.1


HKEY_LOCAL_MACHINE>Software>
Classes>CLSID\
{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}

HKEY_LOCAL_MACHINE>Software>
Classes>CLSID
{DFAA31C8-A356-4313-9D95-5EDAB46C5070}

HKEY_LOCAL_MACHINE>Software>
Classes>Interface
{43B32A8D-3C3D-4969-B44E-CDCF0D233881}

HKEY_LOCAL_MACHINE>Software>
Classes>TypeLib
{423550E9-2F83-4678-9929-C1774088B180}

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall
HyperLinker

HKEY_CLASSES_ROOT>PROTOCOLS>Filter
text/html

HKEY_LOCAL_MACHINE>Software>Classes>
PROTOCOLS>Filter
text/html

schliesse die Registry

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Windows\Xhrmy.exe
C:\Windows\System32\lmdv.bin
C:\Windows\System32\lmf32v.dll
C:\Windows\System32\PreUninstall.exe
C:\Windows\System32\uninst.exe
C:\Windows\System32\Uninst.log

PC neustarten

C:\WINDOWS\Prefetch\XHRMY.EXE-1C7E86CF.pf <--loeschen

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

-------------------------------------------------------------------------------

# %Windows%\Xhrmy.exe – adware program responsible for downloading advertisements on the affected system
# %System%\lmdv.bin – data file
# %System%\lmf32v.dll – .DLL file used by the main program
# %System%\PreUninstall.exe – un-installation program
# %System%\uninst.exe – un-installation program
# %System%\Uninst.log – event log
http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=ADW_HYPLINKER.A


**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: