Winlogon infiziert von TR/Dldr.Ag.24576.TA

#1 Heute kam mir nichts dir nichts von Antivir die Meldung das
TR/Dldr.Ag.24576.TA in der Datei System32/hgGaaYQK.dll gefunden wurde.
Logischerweise lies sich diese ob laufender Prozesse nicht löschen. Meine Versuche die Datei mit Unlocker 1.8.7 im abgesicherten Modus zu löschen führten zu Abstürzen von Winlogon und Explorer. Killbox weigert sich die Datei zu löschen. Was kann ich noch machen ausser plattmachen und neuaufsetzen?
Danke im Vorraus.

#2 Hallo omeganexus

löschen kann man die dll mit
http://virus-protect.org/artikel/tools/undll.html

allerdings scheint es nicht die einzige dll zu sein (Antivirus erkennt nicht alles)

deshalb..
«
entferne alle temporären Dateien mit cleaner
http://www.ccleaner.de/?protecus.de
«
wende combofix an (klicke die warnmeldung weg) + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 bin die dll in der Zwischenzeit durch umbennen nach reboot losgeworden. Und hab auch gleich alle Regediteinträge mit dem Dateinamen gelöscht. Zumindest scheint sich der Rechner jetzt nicht mehr dauernd mit dem Internet verbinden zu wollen und Avira konnte auch nichts mehr finden. CCleaner hab ich durchlaufen lassen und die dll hat sich auch nicht wieder eingefunden.

Ist Combofix noch nötig ? "1/100 der Rechner kommt nicht heile durch den desinfizierungsprozess" klingt doch ein wenig abschreckend...

#4 keine Angst, es geht nix schief mit Combofix, du kannst auch vorher Windows Recovery Console erstellen (als Sicherheit)
http://virus-protect.org/artikel/tools/combofix-konsole.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 SO.... scheint alles wieder zu funzen.

Hier abschließend der Bericht von Combofix:

ComboFix 08-06-19.4 - Administrator 2008-06-20 18:34:54.3 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.

2008-06-20 17:32 . 2008-06-20 17:32 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-20 15:46 . 2008-06-20 15:46 <DIR> d-------- C:\Programme\CCleaner
2008-06-20 15:39 . 2008-06-20 15:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-20 14:29 . 2008-06-20 14:58 <DIR> d-------- C:\!KillBox
2008-06-20 14:11 . 2008-06-20 14:11 <DIR> d-------- C:\Programme\Unlocker
2008-06-20 11:12 . 2008-06-20 11:12 90,112 --a------ C:\WINDOWS\system32\dxbjhwsr.dll
2008-06-20 11:12 . 2008-06-20 11:12 79,360 --a------ C:\WINDOWS\system32\rahdmxaf.dll
2008-06-12 12:40 . 2008-06-20 17:46 <DIR> d-------- C:\Programme\Google
2008-06-09 09:39 . 2003-06-20 10:07 188,416 --a------ C:\WINDOWS\system32\AMCButton.ocx
2008-06-09 09:39 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-06-09 09:39 . 2002-11-10 08:57 86,016 --a------ C:\WINDOWS\system32\SBList30.ocx
2008-06-09 09:39 . 2005-08-09 18:21 65,536 --a------ C:\WINDOWS\system32\WinRas32.ocx
2008-05-20 19:24 . 2008-05-20 19:24 98,304 --a------ C:\WINDOWS\system32CmdLineExt.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 16:01 --------- d-----w C:\Programme\lg_fwupdate
2008-06-17 11:42 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-17 11:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-27 13:52 --------- d-----w C:\Programme\Lx_cats
2008-05-20 19:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-05-20 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-05-19 04:33 4,445,184 ----a-w C:\WINDOWS\system32\msi.dll
2008-05-19 04:33 332,800 ----a-w C:\WINDOWS\system32\msihnd.dll
2008-05-19 04:33 18,944 ----a-w C:\WINDOWS\system32\msisip.dll
2008-05-18 23:57 95,744 ----a-w C:\WINDOWS\system32\msiexec.exe
2008-04-30 21:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-04-30 21:49 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-04-28 20:35 --------- d-----w C:\Dokumente und Einstellungen\omega.nexus\Anwendungsdaten\River Past G5
2008-04-28 20:17 --------- d-----w C:\Programme\Haali
2008-04-28 20:09 --------- d-----w C:\Programme\Windows Media Components
2008-04-28 20:05 --------- d-----w C:\Programme\Mediachase
2008-04-28 12:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs
2008-04-16 23:43 2,560 ----a-w C:\WINDOWS\system32\msimsg.dll
2008-03-25 19:34 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-03-25 19:34 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-02-11 19:25 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-20_18.26.56.21 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-20 16:14:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-20 16:33:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-03-17 17:59 2289664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 13:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"C-Media Mixer"="Mixer.exe" [2001-09-12 23:09 1134592 C:\WINDOWS\mixer.exe]
"LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-07-20 15:44 73728]
"lxccmon.exe"="C:\Programme\Lexmark 3300 Series\lxccmon.exe" [2005-07-21 02:16 192512]
"FaxCenterServer"="C:\Programme\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 11:36 299008]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07 49263]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-08 13:29 262401]
"RecSche"="C:\Programme\LifeView TVR\RecSche.exe" [ ]
"WinDVRCtrl"="C:\WINDOWS\WDVRCtrl.exe" [ ]
"Windows Config System"="config.exe" []
"WinDVR SchSvr"="C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [2004-11-22 01:23 106496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-25 21:34 185896]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2008-04-30 23:41 249856]
"6c799cd0"="C:\WINDOWS\system32\rahdmxaf.dll" [2008-06-20 11:12 79360]
"BM6f4aaf4c"="C:\WINDOWS\system32\dxbjhwsr.dll" [2008-06-20 11:12 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Config System"="config.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"= shdocvw.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"vidc.yv12"= yv12vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\games\\hg\\Launcher.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\games\\Hearts of Iron 2 - Doomsday\\HoI2.exe"=
"C:\\games\\SC\\Supreme Commander\\bin\\SupremeCommander.exe"=
"C:\\games\\SC\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\games\\Defcon\\defcon.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-08 13:29]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-08 13:29]
S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 18:39:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
Zeit der Fertigstellung: 2008-06-20 18:46:16
ComboFix-quarantined-files.txt 2008-06-20 16:46:14

13 Verzeichnis(se), 6,671,446,016 Bytes frei
16 Verzeichnis(se), 6,660,730,880 Bytes frei

139




Von Wegen funzen... ! Merkwürdigerweise kann ich manche Sachen aus dem Netz aufrufen und andere nicht. (Hat nichts mit Cache zu tun) Zum Beispeil kann ich diese Seite aufrufen und komme bis zur Forenübersicht und threadübersicht aber wenn ich den thread auswählen will passiert nichts... (Wer sich fragt wie ich dann hier posten kann : Zweitrechner) ebenso bei google : Googleaufruf wunderbar , aber mit Suchbegriff tut sich auch nichts...Ebenso auch auf anderen Seiten: Manche Links gehen, manche nicht. DIe direkt URL-EIngabe geht meistens. Hab ich was inner Registry zerschleudert oder so ? Hab schon versucht die Winlogon gegen ne funktionierende version zu tauschen. Dabei schmiert das System sofort weg. Hat wer ne Idee ? Danke im Voraus

#6 Hallo omeganexus

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Config System"=-
"BM6f4aaf4c"=-
"6c799cd0"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Config System"=-

File::
C:\WINDOWS\system32\dxbjhwsr.dll
C:\WINDOWS\system32\rahdmxaf.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

---------

2.
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit