Winlogon infiziert von TR/Dldr.Ag.24576.TA |
||
---|---|---|
#0
| ||
20.06.2008, 14:53
...neu hier
Beiträge: 3 |
||
|
||
20.06.2008, 14:58
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo omeganexus
löschen kann man die dll mit http://virus-protect.org/artikel/tools/undll.html allerdings scheint es nicht die einzige dll zu sein (Antivirus erkennt nicht alles) deshalb.. « entferne alle temporären Dateien mit cleaner http://www.ccleaner.de/?protecus.de « wende combofix an (klicke die warnmeldung weg) + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.06.2008, 15:53
...neu hier
Themenstarter Beiträge: 3 |
#3
bin die dll in der Zwischenzeit durch umbennen nach reboot losgeworden. Und hab auch gleich alle Regediteinträge mit dem Dateinamen gelöscht. Zumindest scheint sich der Rechner jetzt nicht mehr dauernd mit dem Internet verbinden zu wollen und Avira konnte auch nichts mehr finden. CCleaner hab ich durchlaufen lassen und die dll hat sich auch nicht wieder eingefunden.
Ist Combofix noch nötig ? "1/100 der Rechner kommt nicht heile durch den desinfizierungsprozess" klingt doch ein wenig abschreckend... |
|
|
||
20.06.2008, 15:55
Ehrenmitglied
Beiträge: 29434 |
#4
keine Angst, es geht nix schief mit Combofix, du kannst auch vorher Windows Recovery Console erstellen (als Sicherheit)
http://virus-protect.org/artikel/tools/combofix-konsole.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.06.2008, 19:15
...neu hier
Themenstarter Beiträge: 3 |
#5
SO.... scheint alles wieder zu funzen.
Hier abschließend der Bericht von Combofix: ComboFix 08-06-19.4 - Administrator 2008-06-20 18:34:54.3 - NTFSx86 MINIMAL ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 )))))))))))))))))))))))))))))) . 2008-06-20 17:32 . 2008-06-20 17:32 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-06-20 15:46 . 2008-06-20 15:46 <DIR> d-------- C:\Programme\CCleaner 2008-06-20 15:39 . 2008-06-20 15:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-20 14:29 . 2008-06-20 14:58 <DIR> d-------- C:\!KillBox 2008-06-20 14:11 . 2008-06-20 14:11 <DIR> d-------- C:\Programme\Unlocker 2008-06-20 11:12 . 2008-06-20 11:12 90,112 --a------ C:\WINDOWS\system32\dxbjhwsr.dll 2008-06-20 11:12 . 2008-06-20 11:12 79,360 --a------ C:\WINDOWS\system32\rahdmxaf.dll 2008-06-12 12:40 . 2008-06-20 17:46 <DIR> d-------- C:\Programme\Google 2008-06-09 09:39 . 2003-06-20 10:07 188,416 --a------ C:\WINDOWS\system32\AMCButton.ocx 2008-06-09 09:39 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX 2008-06-09 09:39 . 2002-11-10 08:57 86,016 --a------ C:\WINDOWS\system32\SBList30.ocx 2008-06-09 09:39 . 2005-08-09 18:21 65,536 --a------ C:\WINDOWS\system32\WinRas32.ocx 2008-05-20 19:24 . 2008-05-20 19:24 98,304 --a------ C:\WINDOWS\system32CmdLineExt.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-20 16:01 --------- d-----w C:\Programme\lg_fwupdate 2008-06-17 11:42 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-17 11:41 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-27 13:52 --------- d-----w C:\Programme\Lx_cats 2008-05-20 19:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2008-05-20 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-05-19 04:33 4,445,184 ----a-w C:\WINDOWS\system32\msi.dll 2008-05-19 04:33 332,800 ----a-w C:\WINDOWS\system32\msihnd.dll 2008-05-19 04:33 18,944 ----a-w C:\WINDOWS\system32\msisip.dll 2008-05-18 23:57 95,744 ----a-w C:\WINDOWS\system32\msiexec.exe 2008-04-30 21:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe 2008-04-30 21:49 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe 2008-04-28 20:35 --------- d-----w C:\Dokumente und Einstellungen\omega.nexus\Anwendungsdaten\River Past G5 2008-04-28 20:17 --------- d-----w C:\Programme\Haali 2008-04-28 20:09 --------- d-----w C:\Programme\Windows Media Components 2008-04-28 20:05 --------- d-----w C:\Programme\Mediachase 2008-04-28 12:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs 2008-04-16 23:43 2,560 ----a-w C:\WINDOWS\system32\msimsg.dll 2008-03-25 19:34 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-03-25 19:34 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll 2008-02-11 19:25 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((( snapshot@2008-06-20_18.26.56.21 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-20 16:14:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-20 16:33:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360] "LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-03-17 17:59 2289664] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 13:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-10-22 13:22 86016 C:\WINDOWS\system32\nvmctray.dll] "C-Media Mixer"="Mixer.exe" [2001-09-12 23:09 1134592 C:\WINDOWS\mixer.exe] "LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-07-20 15:44 73728] "lxccmon.exe"="C:\Programme\Lexmark 3300 Series\lxccmon.exe" [2005-07-21 02:16 192512] "FaxCenterServer"="C:\Programme\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 11:36 299008] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07 49263] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-08 13:29 262401] "RecSche"="C:\Programme\LifeView TVR\RecSche.exe" [ ] "WinDVRCtrl"="C:\WINDOWS\WDVRCtrl.exe" [ ] "Windows Config System"="config.exe" [] "WinDVR SchSvr"="C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [2004-11-22 01:23 106496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-25 21:34 185896] "LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2008-04-30 23:41 249856] "6c799cd0"="C:\WINDOWS\system32\rahdmxaf.dll" [2008-06-20 11:12 79360] "BM6f4aaf4c"="C:\WINDOWS\system32\dxbjhwsr.dll" [2008-06-20 11:12 90112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Config System"="config.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"= shdocvw.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "VIDC.3iv2"= 3ivxVfWCodec.dll "VIDC.VP31"= vp31vfw.dll "msacm.l3fhg"= mp3fhg.acm "vidc.yv12"= yv12vfw.dll "VIDC.HFYU"= huffyuv.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\games\\hg\\Launcher.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\Opera\\Opera.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\games\\Hearts of Iron 2 - Doomsday\\HoI2.exe"= "C:\\games\\SC\\Supreme Commander\\bin\\SupremeCommander.exe"= "C:\\games\\SC\\GPGNet\\GPG.Multiplayer.Client.exe"= "C:\\games\\Defcon\\defcon.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-08 13:29] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-08 13:29] S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-20 18:39:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OMSCAN] "ImagePath"="\Sys" . Zeit der Fertigstellung: 2008-06-20 18:46:16 ComboFix-quarantined-files.txt 2008-06-20 16:46:14 13 Verzeichnis(se), 6,671,446,016 Bytes frei 16 Verzeichnis(se), 6,660,730,880 Bytes frei 139 Von Wegen funzen... ! Merkwürdigerweise kann ich manche Sachen aus dem Netz aufrufen und andere nicht. (Hat nichts mit Cache zu tun) Zum Beispeil kann ich diese Seite aufrufen und komme bis zur Forenübersicht und threadübersicht aber wenn ich den thread auswählen will passiert nichts... (Wer sich fragt wie ich dann hier posten kann : Zweitrechner) ebenso bei google : Googleaufruf wunderbar , aber mit Suchbegriff tut sich auch nichts...Ebenso auch auf anderen Seiten: Manche Links gehen, manche nicht. DIe direkt URL-EIngabe geht meistens. Hab ich was inner Registry zerschleudert oder so ? Hab schon versucht die Winlogon gegen ne funktionierende version zu tauschen. Dabei schmiert das System sofort weg. Hat wer ne Idee ? Danke im Voraus Dieser Beitrag wurde am 20.06.2008 um 20:59 Uhr von omeganexus editiert.
|
|
|
||
20.06.2008, 23:02
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo omeganexus
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden --------- 2. lade sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
TR/Dldr.Ag.24576.TA in der Datei System32/hgGaaYQK.dll gefunden wurde.
Logischerweise lies sich diese ob laufender Prozesse nicht löschen. Meine Versuche die Datei mit Unlocker 1.8.7 im abgesicherten Modus zu löschen führten zu Abstürzen von Winlogon und Explorer. Killbox weigert sich die Datei zu löschen. Was kann ich noch machen ausser plattmachen und neuaufsetzen?
Danke im Vorraus.