Windows: Eintrag in der sys.dll - Trojaner, Dialer, Virus? |
||
---|---|---|
#0
| ||
26.01.2004, 15:48
Member
Beiträge: 20 |
||
|
||
26.01.2004, 16:01
Moderator
Beiträge: 7805 |
#2
Teste einige der Dateien mal hier:
http://www.kaspersky.com/remoteviruschk.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 16:12
Member
Themenstarter Beiträge: 20 |
#3
Danke, aber das kann ich erst am FR machen, da ich erst dann Internet am anderen PC zu Verfügung haben werde. Vielleicht fällt ja jemandem bis dahin irgendwas anderes ein. Würde es was bringen in den geischerten Modus zu gehen und die Dateien rauszuwerfen?
Gruß Chris |
|
|
||
26.01.2004, 16:34
Moderator
Beiträge: 7805 |
#4
Ja, wuerde es, wenn du genau weisst, was fuer welche!
Vieleicht kopiere sie doch auf CD oder Disk und mache den Test auf einem anderen PC. Poste ein Hijackthis log, wenn du es auf dem Rechner hast, vieleicht koennten wir den Virus zumindest aus den Startups kicken. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 17:03
Member
Themenstarter Beiträge: 20 |
#5
Hier ist die Log-Datei:
Logfile of HijackThis v1.97.7 Scan saved at 16:55:17, on 26.01.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\TASKMGR.COM C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.germany.aol.com/b4000.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\SYSTEM\SHDOCLC.DLL/dnserror.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1 |
|
|
||
26.01.2004, 17:12
Moderator
Beiträge: 7805 |
#6
So sieht das fuer mich nicht nach einem Virus aus. Hast du in letzter Zeit irgendwas deinstalliert? Google mal ein wenig nach "res://C:\WINDOWS\SYSTEM\SHDOCLC.DLL/dnserror.htm"
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 17:19
Member
Beiträge: 1095 |
#7
Also die Datei
O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com kommt mir sehr verdächtig vor. Habe hier einen Link gefunden Gib mal den Dateinamen bei Google ein, allerdings bei "Groups" suchen Hier findest du einiges __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
26.01.2004, 17:31
Moderator
Beiträge: 7805 |
#8
Danke fuer den Hinweis. Ich sollte doch wohl etwas gruendlicher die Logs duchsehen.
taskmanager X taskmgr.com Added as a result of the BEREB VIRUS http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.bereb.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 18:07
Member
Themenstarter Beiträge: 20 |
#9
Hallo,
Soll ich die Löschen? Nebenbei ein anderes Problem: Ich hab den RAV-Virenscan gemacht und SpyBot alles durchchecken lassen, und zwar an diesem PC (also an einem anderen als den oben beschriebenem) Dies ist der PC meines Vaters, also sollte ich vorsichtig damit umgehen. Hab 3 Viren gefunden und zahlreiche Spyware. wärst du so nett auch den Hijack-Log hier durchzuschauen? Logfile of HijackThis v1.97.7 Scan saved at 17:59:15, on 26.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\NoPopUp 2001\nopopup.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\WinSweep\WSMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Internet Explorer\iexplore.exe C:\Bruno\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/w/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/w/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/w/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/w/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Bruno\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Bruno\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Bruno\LeechGet 2002\\Parser.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: Translator (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/190e8ce7e6686ffac606/netzip/RdxIE601_de.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{39D8F3AD-C3F8-4934-B2CB-461EE48911D6}: NameServer = 62.104.191.241 62.104.196.134 Vielen Dank, Ich werden den anderen Tipp gleich ausprobieren. PS: Hab mich durch andere Beiträge von dir durchgelesen, muss sagen dass du wirklich kompetent bist, danke! (der RAV Antivirenscanner ist echt gut) Hallo, Vielen Dank! Mein PC ist wieder in Ordnung, super! Nun stellt sich mir noch ne Frage: Wieso hat der Antivir-Scanner nichts entdeckt? Hab die neueste Version draufgemacht, der hat nichts erkannt. Gruß Chris Dieser Beitrag wurde am 26.01.2004 um 18:18 Uhr von TobyMac editiert.
|
|
|
||
26.01.2004, 18:29
Moderator
Beiträge: 7805 |
#10
Ja RAV ist gut, aber leider wird die Entwicklung wohl eingestellt, bzw von Microsoft. Wenn Kaspersky einen Onlinescanner anbieten wuerde, wuerde ich den empfehlen, aber die machen es ja nicht!
Du musst auf dem PC deines Vaters noch cwShredder laufen lassen: http://merijn.org/files/CWShredder.exe und er muss sein Windows updaten!! Poste danach bitte noch ein aktuelles log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 18:41
Member
Themenstarter Beiträge: 20 |
#11
Logfile of HijackThis v1.97.7
Scan saved at 18:33:49, on 26.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\WINDOWS\System32\SysUpd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\NoPopUp 2001\nopopup.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\WinSweep\WSMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Bruno\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Bruno\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Bruno\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Bruno\LeechGet 2002\\Parser.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: Translator (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/190e8ce7e6686ffac606/netzip/RdxIE601_de.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Hoff nun ist alles ok. Da ich zukünftig nicht mehr an diesem PC online sein werde und mein Vater selten ins Internet geht (nur um mails zu checken) hab ich das Update unterlassen. Kann ich nämlich aus naheliegenden Gründen wohl nicht machen. ;-) MfG Chris |
|
|
||
26.01.2004, 19:19
Moderator
Beiträge: 7805 |
#12
Das muss auch noch weg:
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe Die Einstellung ist aber nicht sehr "toll". Gerade wenn eine unerfahrene Person am Rechner arbeitet, muss alles auf den neusten Stand sein. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.01.2004, 19:25
Member
Themenstarter Beiträge: 20 |
||
|
||
Neulich hab ich eine Datei aus dem Internet auf meinem PC installiert. War ein Cheater für ein Spiel, hab ihn mit Antivir gescannt, der hat nix gefunden (neustes update). Es war eine exe.datei allerdings mit einem Winzip-Icon dargestellt. Nun hat dieses Cheatprogramm nicht funktioniert, habe es wieder gelöscht. Allerdings scheint es nun, das im Windows-Ordner in der Sys.dll etwa 442 Dateien sind, von denen ich noch nie was gehört hab. Auch alles exe-Dateien mit Winzip-Icon. Hab sie alle gelöscht, bei einem Neustart sind sie jedoch immer wieder da. Virenscanner und Torojanersuche zeigt nichts an. Dateien wie Crack.exe, WinXP.exe, XXX.exe habe ich jedoch nie auf dem Computer gehabt oder installiert. Wie bekomme ich die weg?
Gruß Chris