Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: DYFUCA... und (fast) nix geht mehr!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.03.2005, 20:32   #1
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



hi @ all!
bin via google auf trojaner-board aufmerksam geworden und glaube, das hier einige leute mit viel köpfchen schreiben
vielleicht kann mir jemand helfen?!

habe anscheinend einen trojaner namens "DYFUCA" auf meinen pc.
antivir bringt brav die meldung, bekommt ihn aber nicht gelöscht.
jede menge ie-fenster (trotz standardeinstellung opera!) öffnen sich und nichts lädt mehr... 5 minuten ladezeit für eine ebayseite und sporadisch bin ich dann mal gar nicht mehr im netz.
ad-aware und spybot kriegens ebenfalls nicht hin.

cw-shredder: (wem´s vielleicht was sagt...)
Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (847 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (1031 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (451 bytes, A)cw-shredder

hijackthis: (den ersten teil hab ich mir aus platzgründen gespart...)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;gopher=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080;https=www-proxy.netcologne.de:8080;socks=www-proxy.netcologne.de:
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zpyoktejbimd] C:\WINDOWS\System32\kloqyk.exe
O4 - HKLM\..\Run: [rql] C:\WINDOWS\rql.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] servicz.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Daniel\del-me.exe
O4 - HKLM\..\Run: [sysedit Win32] sysedit32.exe
O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winservit] cassl.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] servicz.exe
O4 - HKLM\..\RunServices: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [sysedit Win32] sysedit32.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\RunServices: [winservit] cassl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [sysedit Win32] sysedit32.exe
O4 - HKCU\..\Run: [winservit] cassl.exe
O4 - Global Startup: talk&surf 5.1 Monitor.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...140.3210648148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 213.168.112.60 194.8.194.60

hab keine ahnung, was davon gelöscht werden darf...
ebenso mit escan im abgesicherten modus - 3 stunden laufzeit: 57 verdächtige dateien und die warnung, das man nix einfach so davon löschen sollte. also alles lieber so lassen... außerdem hab ich keine möglichkeit gehabt diese 57 dateien irgendwie zu speichern. ich glaub die frührere version war ein bisschen netter - da wurde gleich von escan alles bedenkliche gelöscht, oder?

ansonsten weiß ich mir keinen rat mehr, kenne mich leider nicht übermäßig gut aus - aber ich versuche es wenigstens.

wenn mir jemand einen tipp geben kann (bitte erklären, als wäre ich 6 jahre alt ) DAAAAANNNKEEEE schonmal !!!

Alt 14.03.2005, 20:51   #2
Cidre
Administrator, a.D.
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



Hallo,

gerade der 'erste Bereich' mit den laufenden Prozessen wäre immens wichtig gewesen, aber der zweite Teil ist in deinem Fall, für eine Auswertung völlig ausreichend.
Daran lässt sich erkennen, dass etliche Würmer/Trojaner mit Backdoor Funktionalität aktiv waren oder immer noch sind, wie z.B. Worm Rbot APR, W32/RBot-PI usw.
Zitat:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Verändert Kennwörter
# Speichert Tastenfolgen
Setze dein System daher zur deiner eigenen Sicherheit neu auf, siehe Signatur.
__________________

__________________

Alt 14.03.2005, 21:19   #3
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



danke für die schnelle antwort...!

das hatte ich fast befürchtet
gibt´s echt keine möglichkeit die backdoors manuell zu entfernen?!

bevor ich das system neu aufsetze (liest sich in deiner signatur leider nicht so, als wär das mal eben neben ner tasse kaffee zu bewältigen *seufz*), würde ich doch einige meiner dateien auf cd-roms sichern... besteht da nicht die möglichkeit, dass ich den dyfuca gleich "mitsichere"? dann wär ja alles umsonst gewesen... und die ganzen einstellungen, bis ich damals mal endlich ins internet konnte... da vergingen wochen, bis das gigaset mit dem aldi-pc harmonierte.

falls es doch eine manuelle möglichkeit gibt, wie ich die biester loswerden kann... hier noch der "erste teil":

Logfile of HijackThis v1.97.7
Scan saved at 21:20:26, on 14.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Daniel\del-me.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe
C:\Program Files\Preview AdService\PrevAdKeep.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe
C:\WINDOWS\ISW\netcol\signup\ncdial.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\msmq2inst.exe
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

ich hab früher schon zwei mal würmchen gekillt


lieben gruß -
klemi
__________________

Alt 14.03.2005, 21:34   #4
Cidre
Administrator, a.D.
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



Zitat:
gibt´s echt keine möglichkeit die backdoors manuell zu entfernen?!
Nein, zumindest keine vertrauenswürdige.
Zitat:
als wär das mal eben neben ner tasse kaffee zu bewältigen
Yepp, so ist es, aber danach kannst mit ruhigen Gewissen wieder mit deinem, ich betone deinem, vertrauenswürdigen System arbeiten.
Die Zeit einer Bereinigung wäre imo gleich oder sogar grösser, aber Zeitfaktor sollte gegenüber deiner und anderer I-net User Sicherheit keine Rolle spielen.
Letztendlich musst du dich dann auf die Meldung, bezüglich Sauberkeit, deiner verwendeten Sicherheitssoftware verlassen bzw. darauf vertrauen, aber eine Garantie ob dein System tatsächlich sauber ist...
Ich wage es zu bezweifeln.
Zitat:
besteht da nicht die möglichkeit, dass ich den dyfuca gleich "mitsichere"? dann wär ja alles umsonst gewesen
Diese Thematik wird im zweiten Link abgehandelt.

Zitat:
ich hab früher schon zwei mal würmchen gekillt
Das nicht vertrauenswürdige Resultat durch Scheinsicherheitssoftware kann man sehen.
__________________
Gruß, Cidre


Alt 14.03.2005, 21:40   #5
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



oki-doki...! du hast ja recht

dann werd ich morgen mal alles auf cds sichern und hoffen, dass mein bester kumpel am mittwoch zeit für mich findet, um mir seelischen/fachlichen beistand zu leisten... so ganz allein trau ich mich da dann auch wieder nicht ran...

ich dank dir vielmals!

klemi

ps: wenn ich nach mittwoch je wieder ins internet kann, dann schreib ich nochmal...


Alt 14.03.2005, 21:45   #6
Cidre
Administrator, a.D.
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



Normalerweise schaffst du dies auch alleine.
Hinter jedem Link befindet sich eine detailierte Anleitung die teilweise noch bebildert ist.

Ein Feedback wäre deinerseits nicht schlecht. Ebenso sollte man das System nochmals, nach getaner Arbeit, überprüfen.
__________________
--> DYFUCA... und (fast) nix geht mehr!

Alt 15.03.2005, 07:34   #7
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



naja, hab mir fast die komplette anleitung zum Neuaufsetzen des systems ausgedruckt... (problem: wenn die kiste erstma platt ist, kann ich ja für den moment nix mehr im internet nachlesen).
dennoch immer besser, da ist jemand der ALLES versteht und ich mich nicht bei irgendeinem wichtigen punkt "verklicke"...

werde also in den nächsten stunden mal sichern und mich dann nach "getaner arbeit" melden.

so long -
klemi

Alt 17.03.2005, 18:26   #8
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



hi, da bin ich wieder...
mein freund hat ganze arbeit geleistet - auch wenn´s irgendwie recht easy aussah: ich hätte ganz bestimmt die falschen klicks irgendwo gemacht!!!

mit service pack 2 sieht das ganze sicherheitstechnisch schon anders aus... allerdings tut sich wahrscheinlich genau durch diese installation ein neues problem auf:
ich fliege - anscheinend nur beim aufrufen bestimmter internetseiten "ksk-koeln" - raus und bekomme einen bluescreen angezeigt *pitsch*
da kommt dann eine meldung, dass was mit "irql" nicht stimmt - wir gehen davon aus, dass das was mit der grafikkarte zu tun hat. eben kam dann noch ne meldung zwecks "capi" auf den schirm...
also, falls jemand zur lösung dieses problems beitragen kann, könnte ich mal wieder richtig ruhig schlafen

Alt 17.03.2005, 18:59   #9
chaosman
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



@klemi

wie lauten die genaue fehlermeldungen?

chaosman
__________________
Bonus vir semper tiro

Alt 17.03.2005, 19:54   #10
klemi
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



also - ich hab mir da heute so einiges notiert...

wenn ich den bluescreen bekomme, dann steht da ungefähr das:

IRQL is not less or equal

NDIS.SYS - adress F98B6FFE base at F9897000
date stamp 41107ec3

problemsignatur
bccode: 100000d1
bcp1: 0000000c
bcp2: 00000002
bcp3: 00000001
bcpß4: 00000001
bcp4: F98B6FFE
osver: 5_1_2600
sp: 2_0
product: 768_1

nach dem hochfahren kommt dann "problembericht senden..."
= system wurde nach schwerwiegendem fehler ausgeführt

die andere problemberichtsenden-meldung bezog ich auf capi call monitor (calltray.exe)

hilft das weiter?!

lieben gruß -
klemi

Alt 17.03.2005, 20:07   #11
chaosman
 
DYFUCA... und (fast) nix geht mehr! - Standard

DYFUCA... und (fast) nix geht mehr!



@klemi
CAPI problem, wahrscheinlich fehlt der treiber von siemens
CALLTRAY.exe Programme Siemens (Gigaset) ISDN Utilities
müßtest du neuinstallieren

das andere problem kommt wohl öfters vor
http://www.pcwelt.de/forum/archive/i.../t-151313.html
http://www.hardwareanalysis.com/content/topic/5695/
http://board.protecus.de/showtopic.php?threadid=1636

liegt wohl an der treiber der kein xp2 mag.

müßt dich mal durchgooglen

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu DYFUCA... und (fast) nix geht mehr!
.pdf, 5 minuten, abgesicherten modus, avgnt.exe, bho, dateien, dll, drivers, einstellungen, ellung, escan, file, ftp, google, internet, internet explorer, keine ahnung, laufzeit, lädt, löschen, messenger, microsoft, object, opera, programme, registry, registry value, rundll, shockwave, software, sun java, system, trojaner-board, userinit.exe, virus, warnung, windows, windows\system32\drivers, winlogon



Ähnliche Themen: DYFUCA... und (fast) nix geht mehr!


  1. Bei fast jedem Klick geht eine neue Seite mit Werbung auf
    Log-Analyse und Auswertung - 12.02.2015 (23)
  2. es geht fast gar nichts mehr
    Plagegeister aller Art und deren Bekämpfung - 19.08.2013 (1)
  3. Polizei-Startseite DZ3RO.JS Virus - fast nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 29.06.2013 (11)
  4. Pc fast nicht mehr bedienbar, gpj.exe, Gqepia.exe
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (6)
  5. Plötzlicher "Absturz" - Nun geht fast nix mehr
    Log-Analyse und Auswertung - 26.01.2010 (15)
  6. Fast nichts geht mehr
    Mülltonne - 21.12.2008 (0)
  7. FAST nichts geht mehr...
    Log-Analyse und Auswertung - 25.09.2008 (2)
  8. FAST nichts geht mehr...
    Mülltonne - 25.09.2008 (0)
  9. Check fast pls es geht um passwörter!
    Log-Analyse und Auswertung - 09.09.2008 (10)
  10. Internet geht auf einem PC nicht mehr, Laptop (am gleichen Router angeschlossen) geht
    Plagegeister aller Art und deren Bekämpfung - 04.12.2007 (0)
  11. (fast)nix geht mehr!
    Log-Analyse und Auswertung - 03.05.2007 (3)
  12. Bitte um Hilfe! Log-File....es geht "fast" nichts mehr
    Log-Analyse und Auswertung - 27.10.2006 (2)
  13. es geht fast nix mehr!
    Log-Analyse und Auswertung - 07.02.2006 (2)
  14. DyFuca und evt. mehr
    Log-Analyse und Auswertung - 21.03.2005 (5)
  15. Sobald das Internet an ist geht fast garnix mehr
    Plagegeister aller Art und deren Bekämpfung - 19.02.2005 (14)
  16. es laufen fast keine systemprozesse mehr...
    Alles rund um Windows - 10.10.2004 (7)
  17. Fast nix geht mehr und es wird immer schlimmer!!!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2004 (19)

Zum Thema DYFUCA... und (fast) nix geht mehr! - hi @ all! bin via google auf trojaner-board aufmerksam geworden und glaube, das hier einige leute mit viel köpfchen schreiben vielleicht kann mir jemand helfen?! habe anscheinend einen trojaner namens - DYFUCA... und (fast) nix geht mehr!...
Archiv
Du betrachtest: DYFUCA... und (fast) nix geht mehr! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.