DirectX3D.exe Backdoor.Win32.Delf

#0
05.04.2005, 17:44
Member

Beiträge: 18
#1 Hallo,

ich habe ein einziges Problem: Sobald ich meinen Laptop (WIn XP) Neutstarten möchte (über unten rechts "Start" und dann der ganz rechte Punkt bei "Ausschalten"-> "Neustarten"), wird der Rechner immer komplett runtergefahren und nicht neugestartet! Womit kann das zusammenhängen? Da ich schon öfter mit Spyware und co. zu tun hatte, denk ich mir, dass es auch diesesmal daran liegen kann. Hier erst mal mein aktueller log.TXT:


Logfile of HijackThis v1.98.2
Scan saved at 17:42:40, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\DirectX3D.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtwAdvCfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Domink Rohde\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [System32] "C:\Programme\Dialer.pl\user32.exe" -user
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WindowsXP Module] C:\WINDOWS\DirectX3D.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: RtlWake.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab



Kann man da was finden?? Ich glaub, dass da ganz schön viel Müll dabei ist.

VIELEN DANK im Vorraus!!

Domi
Seitenanfang Seitenende
05.04.2005, 19:58
Member

Beiträge: 239
#2 Du hast 2 aktive Virenscanner.
Einen solltest du abschalten denn die behindern sich gegenseitig.
Rolfs
Seitenanfang Seitenende
05.04.2005, 20:49
Member

Themenstarter

Beiträge: 18
#3 Hallo Rolfs!

Blöde Frage, aber welche beiden virenscanner sind denn bei mir aktiv? wie kann ich das sehen? Und ist das die Ursache für mein Problem??

Danke für Deine Hilfe..
Seitenanfang Seitenende
05.04.2005, 21:34
Member

Beiträge: 239
#4 C:\Programme\AVPersonal\AVWUPSRV.EXE
das ist der Virenscanner von http://www.hbedv.de/


C:\Programme\Norton AntiVirus\navapsvc.exe
und das ist der Virenscanner von Symantec.

Noch etwas, du hast eine alte Version von HijackThis
lad dir bitte die neue Version und poste eine neue Logfile.

Rolfs
Seitenanfang Seitenende
05.04.2005, 22:00
Member

Themenstarter

Beiträge: 18
#5 Danke! Ich werde dann einen Virenscanner noch rausnehmen, aber dadurch kann mein Problem nicht entstanden sein, da ich beide Scanner schon lange drauf hab.

Hier nochmal der neue log.TXT von der neuen hijack version:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:56, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\DirectX3D.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\BT500\BTStackServer.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iTunes\iTunes.exe
C:\Dokumente und Einstellungen\Domink Rohde\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [System32] "C:\Programme\Dialer.pl\user32.exe" -user
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WindowsXP Module] C:\WINDOWS\DirectX3D.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: RtlWake.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093005252250
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

VIELEN DANK!
Seitenanfang Seitenende
05.04.2005, 22:10
Member

Beiträge: 239
#6 C:\WINDOWS\DirectX3D.exe
Lass diese Datei hier online prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Dann copier mal deine Logfile hier rein:
http://www.hijackthis.de/
click auf auswerten und überprüfe alle Dateien die mit unbekannt
gekennzeichnet sind.
Seitenanfang Seitenende
05.04.2005, 22:49
Member

Themenstarter

Beiträge: 18
#7 ...so, alles gemacht.

zu Punkt 1, bei Kapersky kam das raus:

Zu überprüfende Datei: DirectX3D.exe

DirectX3D.exe Infiziert: Backdoor.Win32.Delf.qa


Statistiken:
Bekannte Viren: 123792 Updated: 05-04-2005
Größe der Datei (Kb): 750 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Soll ich jetzt die Datei löschen??

Zu Punkt 2, im meinem Logfile gibts anscheinen nichts "böses" laut hijackthis.de.

Was Nun?

..und nochmal vielen Dank für die Geduld und die Hilfe!!!
Seitenanfang Seitenende
05.04.2005, 23:21
Member

Beiträge: 239
#8 DirectX3D.exe
Mit HijackThis fixen, sollte das nicht funktionieren
dann HijackThis im Abgesicherten Modus starten und dann fixen
und dann Datei suchen und manuell löschen.

Ein Wort zum Backdoor, der ist in der Lage alle deine Passwörter
auszuspionieren und an einen Unbefugten weiterzuleiten.
Wenn du ganz sicher gehen willst dann solltest du dein System neu aufsetzen.
Seitenanfang Seitenende
06.04.2005, 17:38
Member

Themenstarter

Beiträge: 18
#9 so, hab das jetzt gefixt und das Direct3D.exe ist wech, aber nun mal zu meinem eigentlichen Problem!!!!!

Was kann ich machen, dass ich die "Neustart" Funktion im XP auch ordnungsgemäß nutzen kann, ohne, dass er einfach heruntergefahren bleibt(ohne neu zu starten????) Oder fällt dieses Problem nicht in diesen Forum-Bereich?? An wen / welches Forum kann ich mich denn dann wenden??
Seitenanfang Seitenende
06.04.2005, 18:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@Domi1

Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [System32] "C:\Programme\Dialer.pl\user32.exe" -user

neustarten

loesche:
C:\Programme\Dialer.pl\user32.exe
C:\Programme\Dialer.pl\

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 21:14
Member

Themenstarter

Beiträge: 18
#11 Hallo Sabina,

hab alles soweit gemacht. Aber C:\Programme\Dialer.pl bzw. user32.exe gibts bei mir nicht, weder die Datei, noch den Ordner, konnte ihn demnach auch nicht löschen.
Die Datei kavupd.exe existiert bei mir ebenfalls nicht, sodass ich diese auch nicht ausführen kann.

Hab mit mwav gescannt und folgende "infected" Einträge hierein kopiert, aber was soll ich damit machen?:


Wed Apr 06 20:35:28 2005 => System found infected with Lycos Sidesearch Spyware/Adware ({000007C6-17DF-4438-92A4-DE5537471BA3})! Action taken: No Action Taken.

Wed Apr 06 20:35:28 2005 => File System Found infected by "Lycos Sidesearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:35:29 2005 => System found infected with vendor Spyware/Adware! Action taken: No Action Taken.

Wed Apr 06 20:35:29 2005 => File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:35:29 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Wed Apr 06 20:35:29 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:36:06 2005 => File C:\WINDOWS\DirectX3D.exe infected by "Backdoor.Win32.Delf.qa" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:36:10 2005 => File C:\WINDOWS\kick#01.EXE infected by "Backdoor.Win32.Delf.qa" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:40:52 2005 => File C:\DOKUME~1\DOMINK~1\LOKALE~1\TEMPOR~1\Content.IE5\01SLMRWX\index[3].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Seitenanfang Seitenende
06.04.2005, 21:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Domi1

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\Program Files\Lycos\Sidesearch\offline.htm
c:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
c:\Program Files\Lycos\Sidesearch\Uninst.exe
c:\Windows\Desktop\Lycos Sidesearch.lnk
c:\Windows\Start Menu\Programs\Lycos Sidesearch.lnk

C:\Windows\system32\sidefind.exe
C:\Program Files\SEP\sep.dll
C:\Windows\system32\sidesearch.dll
C:\Programme\Dialer.pl\user32.exe
C:\WINDOWS\DirectX3D.exe
C:\WINDOWS\kick#01.EXE

PC neustarten

suche und loesche:
C:\Program Files\lycos\sidesearch

C:\Program Files\lycos\sidesearch\clrschuninstall_78_86.exe
C:\Program Files\lycos\sidesearch\uninst.exe
C:\Program Files\lycos\sidesearch\sidesearch1211.dll
C:\Program Files\lycos\sidesearch\sidesearch1311.dll
C:\Program Files\lycos\sidesearch\sidesearch1400.dll

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\nsv37.tmp.dll

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
poste, was der Onlinescann anzeigt ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 22:41
Member

Themenstarter

Beiträge: 18
#13 Dies konnte ich beheben mit Killbox:

C:\WINDOWS\DirectX3D.exe
C:\WINDOWS\kick#01.EXE

Jedoch existierten die anderen alle nicht.

Die komplette Lycos Geschicht gibts bei mir auch nicht, hab gescuht, auch versteckte Dateien-nichts.

Das kam bei Panda raus:


Incident Status Location

Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/IPInsight No disinfected C:\WINDOWS\alchem.???
Adware:Adware/ExactSearch No disinfected Windows Registry
Virus:Backdoor Program Disinfected C:\!Submit\kick#01.EXE
Seitenanfang Seitenende
06.04.2005, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Domi1

das hab ich mir fast gedacht.... ;) escan .....
Nun gut, ich denke das das Problem behoben ist ;)

•/Ad-aware Standard Edition (free)
http://www.lavasoftusa.com/german/software/adaware/
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2005, 18:10
Member

Themenstarter

Beiträge: 18
#15 Hi,

also ich hab das jetzt mit adaware gescannt und der hat auch n paar sachen gefunden und gelöscht.

Das log des scans hier zu posten ist fast unmöglich, da es über 1000 Zeilen wären...

Aber vielen vielen Dank wieder mal für die äußerst kompetente Hilfe!!!!!:-)

Viele Grüße,

Dominik
Seitenanfang Seitenende