| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: sygate meldet rundll32 zugriff auf rightonadz.bizWindows 7 Hier gehören alle Fragen zum Thema Trojaner, Viren, Würmer, Dialer, Spyware und andere Plagegeister hinein. |
 |
20.10.2007, 20:21
| #11 (permalink) |
| Registriert seit: 18.10.2007
Beiträge: 7
|  AW: sygate meldet rundll32 zugriff auf rightonadz.biz thx! habe den scanner laufen lassen, mit folgendem ergebnis: Code: Look2Me-Destroyer V1.0.12 Scanning for infected files..... Scan started at 20.10.2007 17:58:04 Attempting to delete infected files... Making registry repairs. Restoring Windows certificates. Replaced hosts file with default windows hosts file Restoring SeDebugPrivilege for Administratoren - Succeeded |
|  |
|
20.10.2007, 20:52
| #12 (permalink) |
| Gast
Beiträge: n/a
| AW: sygate meldet rundll32 zugriff auf rightonadz.biz Ok. Mach mal ein Filelist, vllt. sehen wir dadurch noch weitere krumme Dateien: 1. Lade das filelist.zip auf deinen Desktop herunter.Falls noch vorhanden, werte diese Dateien bei Virustotal aus und poste die Ergebnisse: Code: C:\WINDOWS\yhl.dll C:\WINDOWS\lq.dll |
| |
|
21.10.2007, 17:04
| #13 (permalink) |
| Registriert seit: 18.10.2007
Beiträge: 7
| AW: sygate meldet rundll32 zugriff auf rightonadz.biz C:\WINDOWS\yhl.dll Result: 0/31 (0%) File size: 20480 bytes Im Hexeditor fand ich gegen Ende der Datei den String "Copyright (C) 1995,1996,1997 Realnetworks, Inc." Hatte den neuesten RealPlayer auch erst kuerzlich installiert, dann wieder deinstalliert. Dateidatum der letzten Aenderung ist jedoch 27.07.2003 (?), Erstellungsdatum 17.10.2007. C:\WINDOWS\lq.dll Result: 0/31 (0%) File size: 7168 bytes Dateidatum letzter Aenderung ist 09.06.2003, Erstellungsdatum wieder 17.10.2007. *kopfkratz* Im Hexeditor habe ich keinen entsprechenden String gefunden. Filelist Code: ----- Root -----------------------------
Verzeichnis von C:\
21.10.2007 13:35 1.006.030.848 hiberfil.sys
21.10.2007 13:35 1.560.281.088 pagefile.sys
19.10.2007 01:54 0 23990098.$$$
----- System32 -------------------------
Verzeichnis von C:\WINDOWS\system32
18.10.2007 19:33 5.686 jupdate-1.6.0_03-b05.log
18.10.2007 10:33 79.877 adssite-remove.exe
17.10.2007 20:06 40.733 rightonadz-uninst.exe
14.10.2007 19:35 1.158 wpa.dbl
01.10.2007 19:29 1.409 tmp19378.FOT
01.10.2007 19:29 1.409 tmp40378.FOT
01.10.2007 19:29 1.409 tmp87278.FOT
01.10.2007 19:29 1.409 tmpBE178.FOT
29.09.2007 16:24 1.409 tmpD0023.FOT
29.09.2007 16:24 1.409 tmp18F13.FOT
28.09.2007 07:19 18.089.592 MRT.exe
26.09.2007 19:50 75 ScreensaverManager.log
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
18.09.2007 18:37 5.214 jupdate-1.6.0_02-b06.log
----- Prefetch -------------------------
Verzeichnis von C:\WINDOWS\Prefetch
21.10.2007 14:14 13.116 FIND.EXE-0EC32F1E.pf
21.10.2007 14:13 16.398 CMD.EXE-087B4001.pf
21.10.2007 14:11 16.916 NOTEPAD.EXE-336351A9.pf
21.10.2007 14:11 69.774 WINRAR.EXE-3588DFE8.pf
21.10.2007 14:11 16.342 VERCLSID.EXE-3667BD89.pf
21.10.2007 13:58 54.914 PSPAD.EXE-1D63659A.pf
21.10.2007 13:51 18.116 SNDVOL32.EXE-383480B7.pf
21.10.2007 13:47 71.152 TRILLIAN.EXE-302642F0.pf
21.10.2007 13:46 19.664 NOTEPAD.EXE-189578DA.pf
21.10.2007 13:44 94.824 FIREFOX.EXE-046A72A5.pf
21.10.2007 13:44 43.868 FIREFOXPORTABLE.EXE-34E83F69.pf
21.10.2007 13:36 37.948 WUAUCLT.EXE-399A8E72.pf
21.10.2007 13:36 26.954 TOR.EXE-07E0527E.pf
21.10.2007 13:36 32.068 WMIPRVSE.EXE-28F301A9.pf
21.10.2007 13:36 13.790 LOCATOR.EXE-2C8326B1.pf
21.10.2007 13:36 11.466 HID2HCI.EXE-0869C6B5.pf
21.10.2007 13:36 1.135.804 NTOSBOOT-B00DFAAD.pf
21.10.2007 06:11 17.876 LOGONUI.EXE-0AF22957.pf
20.10.2007 20:32 52.950 FOOBAR2000.EXE-1D515AA1.pf
20.10.2007 20:30 26.070 LASTFMHELPER.EXE-398ECA4E.pf
20.10.2007 20:30 43.724 LASTFM.EXE-2B09628D.pf
20.10.2007 20:24 21.028 RUNDLL32.EXE-12E27DD0.pf
20.10.2007 18:05 20.000 REGSVR32.EXE-25EEFE2F.pf
20.10.2007 18:05 12.544 REGEDIT.EXE-1B606482.pf
20.10.2007 17:58 17.972 LOOK2ME-DESTROYER.EXE-06A8334A.pf
20.10.2007 17:57 14.338 AT.EXE-2770DD18.pf
20.10.2007 17:57 43.068 AVGINET.EXE-035BBB37.pf
20.10.2007 17:30 75.242 ACRORD32.EXE-153330F0.pf
20.10.2007 17:30 77.490 ACRORD32INFO.EXE-19D979CC.pf
20.10.2007 15:07 75.470 THUNDERBIRD.EXE-031A6371.pf
20.10.2007 13:30 20.996 DRWTSN32.EXE-2B4B52AC.pf
20.10.2007 13:30 62.434 DWWIN.EXE-30875ADC.pf
20.10.2007 13:28 18.858 TASKMGR.EXE-20256C55.pf
20.10.2007 12:51 71.406 VCEXPRESS.EXE-088FECEA.pf
19.10.2007 20:37 27.702 ENGINE.EXE-15393964.pf
19.10.2007 20:37 82.664 IEXPLORE.EXE-2CA9778D.pf
19.10.2007 17:15 43.850 SYSTEMOPTIMIZER.EXE-191231CF.pf
19.10.2007 17:15 81.530 REGISTRYCLEANER.EXE-2ACFEEF7.pf
19.10.2007 15:21 15.426 CALC.EXE-02CD573A.pf
19.10.2007 14:16 52.776 AUDACITY.EXE-23DBBCC2.pf
19.10.2007 13:52 51.268 DFRGNTFS.EXE-269967DF.pf
19.10.2007 13:52 23.320 DEFRAG.EXE-273F131E.pf
19.10.2007 13:52 362.938 Layout.ini
19.10.2007 13:34 28.390 GUILDFTPD.EXE-091FA379.pf
19.10.2007 13:34 26.530 WSCRIPT.EXE-32960AB9.pf
19.10.2007 13:32 54.896 PING.EXE-31216D26.pf
19.10.2007 11:02 7.170 CHCP.COM-18156052.pf
19.10.2007 11:02 14.192 IS-NAK5P.TMP-359348CC.pf
19.10.2007 11:02 14.582 HITMANPRO26.EXE-07459FB3.pf
19.10.2007 10:59 11.882 VBRPCCHYJYK.EXE-15E2157F.pf
19.10.2007 10:59 12.302 ROOTKITREVEALER.EXE-301CB48B.pf
19.10.2007 10:00 74.474 SPYBOTSD.EXE-1D495A65.pf
19.10.2007 09:36 16.898 HELPER.EXE-36449B49.pf
19.10.2007 09:35 62.006 UPDATER.EXE-35A8DB8E.pf
19.10.2007 09:08 30.370 AVGW.EXE-2A7BF89D.pf
18.10.2007 22:13 7.810 GREP.CFEXE-20443039.pf
18.10.2007 22:12 6.974 SED.CFEXE-268D7E58.pf
18.10.2007 20:52 25.070 SCRNSAVE.SCR-017F06EB.pf
18.10.2007 19:36 44.238 SMARTFTP.EXE-28770AA4.pf
18.10.2007 19:31 184.238 CIDAEMON.EXE-27AE97A4.pf
60 Datei(en) 3.728.076 Bytes
----- Windows --------------------------
Verzeichnis von C:\WINDOWS
21.10.2007 13:37 1.217.972 WindowsUpdate.log
21.10.2007 13:35 6.104 ModemLog_Bluetooth DUN Modem.txt
21.10.2007 13:35 6.098 ModemLog_Bluetooth Fax Modem.txt
21.10.2007 13:35 0 0.log
21.10.2007 13:35 5.142 ModemLog_Smart Link 56K Modem.txt
21.10.2007 13:35 159 wiadebug.log
21.10.2007 13:35 50 wiaservc.log
21.10.2007 13:35 2.048 bootstat.dat
21.10.2007 06:11 32.614 SchedLgU.Txt
21.10.2007 05:21 758.171 setupapi.log
19.10.2007 02:27 26 Lic.xxx
19.10.2007 01:34 214.742 ntbtlog.txt
18.10.2007 22:43 969 win.ini
16.10.2007 23:29 116 NeroDigital.ini
15.10.2007 19:06 249.856 Setup1.exe
15.10.2007 19:06 73.216 ST6UNST.EXE
12.10.2007 15:35 2.024 ModemLog_Bluetooth LAP Modem #2.txt
12.10.2007 15:35 2.024 ModemLog_Bluetooth LAP Modem.txt
10.10.2007 19:02 169.233 ntdtcsetup.log
10.10.2007 19:02 317.325 tsoc.log
10.10.2007 19:02 278.985 comsetup.log
10.10.2007 19:02 127.919 iis6.log
10.10.2007 19:02 1.393 imsins.log
10.10.2007 19:02 45.063 ocmsn.log
10.10.2007 19:02 14.124 KB933729.log
10.10.2007 19:02 404.851 ocgen.log
10.10.2007 19:02 40.941 msgsocm.log
10.10.2007 19:02 819.305 FaxSetup.log
10.10.2007 19:02 60.470 updspapi.log
10.10.2007 19:02 1.393 imsins.BAK
10.10.2007 19:02 42.381 KB939653.log
10.10.2007 18:59 15.870 KB941202.log
02.10.2007 22:01 213.639 setupact.log
28.09.2007 09:06 135.168 catchme.exe
29.08.2007 16:32 27.249 KB933360.log
----- Tasks ----------------------------
Verzeichnis von C:\WINDOWS\tasks
21.10.2007 13:35 6 SA.DAT
19.10.2007 17:16 390 1-Klick-Wartung.job
04.08.2004 14:00 65 desktop.ini
3 Datei(en) 461 Bytes
----- Wintemp --------------------------
Verzeichnis von C:\WINDOWS\temp
20.10.2007 17:58 16.384 ~DF64F7.tmp
18.10.2007 22:37 0 T30DebugLogFile.txt
2 Datei(en) 16.384 Bytes
----- Temp -----------------------------
Verzeichnis von C:\WINTEMP
21.10.2007 14:14 136.169 filelist.txt
21.10.2007 13:50 25.014.993 fla5.tmp
21.10.2007 13:40 1.557 jusched.log
19.10.2007 02:33 518.824 sfdb.dat
19.10.2007 02:33 28.784.614 MWAV.LOG
19.10.2007 02:27 80.921 mwXface.log
18.10.2007 22:48 385 EUpdate.ini
18.10.2007 22:48 12.012 Download.log
18.10.2007 22:43 5.886 filelist.lst
18.10.2007 22:43 0 download.lck
18.10.2007 22:42 626.688 msvcr80.dll
18.10.2007 22:42 548.864 msvcp80.dll
18.10.2007 22:42 241.664 MYDB.DLL
----- UserTemp -------------------------
Verzeichnis von C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp
Datei nicht gefunden
Result: 1/31 (3.23%) Rising 19.45.62.00 2007.10.21 Trojan.DL.Win32.Zlob.dbi C:\WINDOWS\system32\adssite-remove.exe ergab ebenfalls: Result: 1/32 (3.13%) Rising 19.45.62.00 2007.10.21 Trojan.DL.Win32.Zlob.dbi C:\WINDOWS\ST6UNST.EXE ergab: Result: 0/32 (0%) C:\WINDOWS\catchme.exe ergab: Result: 4/32 (12.5%) CAT-QuickHeal 9.00 2007.10.20 (Suspicious) - DNAScan eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm Prevx1 V2 2007.10.21 Heuristic: Suspicious File With Code Injection Technology Sunbelt 2.2.907.0 2007.10.20 VIPRE.Suspicious File size: 135168 bytes Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Ich bekomm ferner die letzten Tage unerwartet Werbe-Popups im Firefox oder Meldungen "NOTICE: If your computer has been running slower than normal, it may be infected with Viruses, Adware or Spyware. MalwareAlarm will perform a quick and completely FREE scan of your system for malicious programs. Download MalwareAlarm for FREE now!" die ich mit ALT+F4 schliesse. Danke für deine bisherige Mühe! |
|
| |
|
21.10.2007, 20:27
| #14 (permalink) |
| Gast
Beiträge: n/a
| AW: sygate meldet rundll32 zugriff auf rightonadz.biz Die catchme.exe wird m.W. vom Rootkitscanner GMER verwendet, der ist ja auch in der combofix.exe mit drin. Die anderen ausgewerteten Dateien würde ich an deiner Stelle löschen, denn die sehen allein schon vom Dateinamen her sehr merkwürdig aus. Löschen diese und andere Dateien wir folgt: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: c:\windows\system32\adssite-remove.exe c:\windows\system32\rightonadz-uninst.exe C:\WINDOWS\yhl.dll C:\WINDOWS\lq.dll c:\windows\system32\tmp19378.FOT c:\windows\system32\tmp40378.FOT c:\windows\system32\tmp87278.FOT c:\windows\system32\tmpBE178.FOT c:\windows\system32\tmpD0023.FOT c:\windows\system32\tmp18F13.FOT 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Hattest du schon die Zlob-Entfernung in Angriff genommen? Wenn nicht, klcik hier für die Anleitung. |
| |
|
| Stichworte |
| .dll, ad-aware, adobe, alert, bho, dll, explorer, firewall, frage, ftp, hijack, hilfe, home, internet, internet explorer, mozilla, pdf, programme, rundll, sicherheit, software, system, virus, windows, windows xp |
Sygate PFW meldet Hijacking
Hijacker / HiJackThis Logs posten - Antworten: 7, 22.03.2009, 14:34
Rightonadz/Adssite löschen[Guide]
Plagegeister aller Art und deren Bekämpfung - Antworten: 0, 24.07.2008, 09:14
system32\rundll32.exe verweigert Zugriff!
Plagegeister aller Art und deren Bekämpfung - Antworten: 6, 05.03.2008, 19:13
rightonadz, unerwünschte pop-ups, was tun?
Hijacker / HiJackThis Logs posten - Antworten: 4, 06.02.2008, 00:49
C:\WINDOWS\system32\gzmrotate.dll rightonadz browser optimizer
Hijacker / HiJackThis Logs posten - Antworten: 0, 29.10.2007, 15:06
