BDS/Haxdoor.LJ.1 in rlx5dom1.dll

31.07.2007, 12:52

wvngednn

...neu hier

Beiträge: 2

#1 Habe einen PC gestern mit Windows XP Home SP 2 neu aufgesetzt und ziemlich bald das Winfuture-Updatepack 2.20 installiert. Dennoch tauchten dann 3 Probleme auf:

1. Mauszeiger in Word und Excel wird im editierbaren Bereich zu einem schwarzen Quadrat.

2. Der IE 7.0 verbindet zu keiner Webseite, der Firefox schon.

3. Ein Windowsupdate (KB873374) lässt sich einfach nicht installieren.

Habe dann Antivir installiert und er meldet mir laufend diesen Fund, kann aber auch wohl nicht löschen oder Zugriff verweigern, sondern bringt stattdessen immer neue Fenster.

HijackThis meint:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:14, on 31.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185827117762
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F41CB52-C71B-4E4C-9942-00573A0FED4B}: NameServer = 192.168.1.1
O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3709 bytes

Zitat

Adaware hat einiges gefunden und behoben:

Scan mode: Full
Scan time: 00:17:24
Number of objects scanned: 127333
Number of infections found: 40
Critical: 1
Privacy Objects: 39
Infections deleted: 40
Total infections quarantined: 0
Total infections ignored by scanner: 0

Bitte helft mir. Ich habe gestern erst neu aufgesetzt und es hat sehr lange gedauert, weil der PC so langsam ist.

31.07.2007, 14:54

Chris4You

Member

Beiträge: 694

#2 Hi,

niemals ohne Firewall un einem ungepatchten System ins Internet gehen!

Folgendes File Online prüfen lassen, poste das Ergebniss:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\SYSTEM32\rlx5dom1.dll

Falls das File erkannt wird:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rlx5dom1

Folders to delete:
C:\WINDOWS\Temp

Files to delete:
C:\WINDOWS\SYSTEM32\rlx5dom1.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Bitte danach das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Stelle Dein Antivir wie folgt ein, alles in Quarantäne verschieben lassen (eventuell in den abgesicherten Modus gehen)...
http://board.protecus.de/t23979.htm

Chris

31.07.2007, 17:59

wvngednn

...neu hier

Themenstarter

Beiträge: 2

#3 Danke für deine Tipps, das hätte sicher geklappt, aber da ich so unter Zeitdruck war, habe ich neu aufgesetzt.

Den Trojaner muss ich mir eingehandelt haben, als ich vor der Installation des Updatepakets von Winfuture (alle Updates nach SP2) die Seriennummer des installierten Windows angucken wollte. Das Tool dazu enthielt den Trojaner, obwohl ich dachte, es aus einer seriösen Quelle runtergeladen zu haben.

Jetzt hab ich alles neu installiert & alles ist ok. Ist der Virus denn sehr bösartig?

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1