Win 2000 bootet nicht mehr (TR Densmail.2 )

#0
07.04.2004, 11:42
...neu hier

Beiträge: 8
#1 hallo!Also ich habe folgendes Problem:Habe Win 2000 und es bootet nicht mehr ausser im abgesichtertem Modus (bin jetzt gerade auf D:\ mit BS Win me*g sonst wuerde ich nicht mal ins Inet kommen)
Ja also habe Virenscan auf 2000 mit abgesichtertem modus gemacht der zeigte mir in C:\WINN\comct1_32.exe (TR Densmail.2)an habe ihn aber da geloescht sagt zumindest antivir:Trotzdem komm ich nicht auf mein betriebssystem ausser einem blauen bildschirm.
Mein Bruder war am Weekend auf sexseiten (habe aber durch Telekom auch 0190er gesperrt)er hatt diesen trojaner auch gefunden und angeblich geloescht.naja und ich war spaeter dann online ohne am pc zu sitzn kein ie auf oder sonstwas da oeffneten sich die ganzen pornoseiten von allein.naechsten tag dasselbe spiel nur sah ich die seiten nicht also kein IE ging auf ,hab es im taskmanager(strg alt entf) bei anwendungen gesehn das sich IE immer pornoseiten lud hmm wer kann mirn helfen?waer echt nett ;)
Mache gleich nochmal im abgesichtertem modus in win 2000 nen logfile dauert aber laenger muss sehn wie ich den auf win me bekomme und dann hier posten kann.lieben gruss und schoenen tag an alle mona
Seitenanfang Seitenende
07.04.2004, 12:30
Moderator

Beiträge: 7805
#2 Das scheint wohl "Nur" Adware zu sein: http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=Densmail.2&product=0


SChwer zu sagen, warum dein Win2000 nicht mehr bootet, vieleicht hilft das Log ja wirklich weiter...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.04.2004, 13:14
...neu hier

Beiträge: 9
#3 Hallo monchen,
so ein Schlingel, dein Bruder!
<Stirnrunzel>: Auf meiner Win2k-Kiste gibts gar keine comctl_32.exe, aber comctl32.dll (529680 byte) und comctl32.ocx (140488 byte).
Die comctl32.dll gibts übrigens hier zum download:
http://www.dll-files.com/search.php?s=comctl32

Bei:
http://www.pestpatrol.com/PestInfo/t/trojan_win32_densmail.asp#Detection%20and%20Removal
findest du Info zu densmail.

Weiss nicht ob dir das wirklich hilft, insbesondere wg. des streikenden Win2k. <grübel>. Bitte meld dich wieder.
-fpf

PS: Wenn dein Win2k auf einer NTFS-Partition ist, wirst du unter ME das auf dieser Partition) gespeicherte log nicht "sehen", Ausweg z.B.: unter 2k auf Diskette speichern und in ME einlesen. Viel Erfolg!
Dieser Beitrag wurde am 07.04.2004 um 13:26 Uhr von fpf editiert.
Seitenanfang Seitenende
07.04.2004, 13:40
...neu hier

Themenstarter

Beiträge: 8
#4 hallo raman und fpf;) danke hier erstmal der logfile puhh war des kompliziert*g


Code

Logfile of HijackThis v1.97.7
Scan saved at 13:33:05, on 07.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINDOWS\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://kbhkee.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\deinst_qfe001.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Search - C:\WINNT\ex.htm
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download/ToolBand.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} - http://dvdmoviescorp.com/dp5000.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38068.9737268519
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_GB.cab
hoffe ihr koennt mir weiterhelfen,aber ich probier erstmal eure tips aus!melde mich wieder;)gruss mona
Seitenanfang Seitenende
07.04.2004, 15:45
Member

Beiträge: 1095
#5 Hi

Fixe bitte das in Hijackthis
Alles mit R0, R1

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\deinst_qfe001.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Web Search - C:\WINNT\ex.htm
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download/ToolBand.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} - http://dvdmoviescorp.com/dp5000.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_GB.cab

Danach neustart

Dann mal dies alles machen
http://board.protecus.de/t9373.htm

Dann nochmal logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.04.2004, 16:21
...neu hier

Themenstarter

Beiträge: 8
#6 hallo paff!
ich hab des gefixt auf win 2000 und danach der logfile hier

Logfile of HijackThis v1.97.7
Scan saved at 16:02:07, on 07.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINDOWS\Desktop\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_GB.cab

so nun bin ich auf D:\ Bs Me sonst komm ich nicht online*g hmm aber nun aufm Desktop von Me so komische Backupdatein glaube die ich gerade auf C:\ Win 2000 gefixt habe! hmm merkwuerdig ! Trotzdem kann ich mein 2000 immer noch nicht normal hochfahren nur im abgesichertem Modus und nun?;(((
Seitenanfang Seitenende
07.04.2004, 22:54
Member

Beiträge: 1095
#7 Hi monchen

Was meldet den das Win2000 wenn du ganz normal hochfährts

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
08.04.2004, 11:16
...neu hier

Beiträge: 9
#8 Hallo monchen,
zu deinem streikenden Win2k:
Hast du schon mal in die "Ereignisanzeige" geschaut? ( Arbeitsplatz > Systemsteuerung >Verwaltung > Ereignisanzeige >(Anwendungsprotokoll; Systemprotokoll)?
Hast du beim Booten in den Normalmodus einen bluescreen? stop error message? welche? oder einfach nur einen schwarz bleibenden Bildschirm? So ganz ohne weitere Info 'kannste nicht geholfen werden', also lass mal wissen.
bis dann und liebe Grüße
-fpf
Seitenanfang Seitenende
09.04.2004, 19:32
...neu hier

Themenstarter

Beiträge: 8
#9 hallo paff! wenn ich win 2000 hochfahre im normalen modus passiert nichts keine fehlermeldung und ist auch kein bluescreen im eigentl.sinne sondern nur der desktophintergrund ich kann std warten nix andres passiert .wenn ich strg alt entf. druecke steht auch nichts in anwendungen drin.komme in win 2000 nur im abgesichertem modus!vllt hast du ja ne ahnung.frohe ostern wuensch ich dir;)
Seitenanfang Seitenende
09.04.2004, 19:36
Moderator

Beiträge: 7805
#10 Aha! Dann druecke mal auf "neuer Task" und gebe dort explorer ein und siehe was passiert. Vieleicht ist ja "nur" deine Explorer.exe weg!?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2004, 19:59
...neu hier

Themenstarter

Beiträge: 8
#11 aehm ja´gute idee raman *g ich probiers mal ! frohe ostern
Seitenanfang Seitenende
10.04.2004, 14:01
...neu hier

Beiträge: 9
#12 Schau mal,
1) ob in \WINNT die Datei explorer.exe die Größe 245008 byte hat und

2)mit regedit, ob im Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
bei "Shell" der Wert "explorer.exe" eingetragen ist.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: