Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\WINNT\SYSTEM32\pptp32.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2006, 14:48   #1
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Guten Tag Trojaner-Board,

jetzt muss ich leider doch ein Problem posten, zu dem ich hier noch nichts (wie sonst immer) gefunden habe.

Ich habe gestern versehentlich eine "postcard-email" kurz geöffnet (von post@postcard.com - betreff: You have received a postcard) und die war wohl besonders böse. Jedenfalls gingen gleich zwei, drei Fenster auf mit ActiveX-Fehlermeldung etc. . Jetzt startet Excel nicht mehr, ich komme bei Eingabe bestimmter Adressen im IE (zB www.mcafee.com) auf eine microsoft-Seite, die mir allerdings auch dubios erscheint (Englisch und Deutsch gemixt), einige Bildschirmschoner funktionieren nicht mehr etc. Im HJT-log kommt mir insbesondere folgendes seltsam vor:

O20 - Winlogon Notify: pptp32 - C:\WINNT\SYSTEM32\pptp32.dll

Alles andere konnte ich fixen. Kennt jmd pptp32.dll? Die Suche bei Google ist eher dürftig und der Hinweis auf den Look2Me-Trojan hat mich auch nicht weiter gebracht.

Über Hilfe wäre ich dankbar!

Alt 14.02.2006, 15:12   #2
Wildone
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo,
bin mir nicht sicher ob es look2me ist, kannst du mal dein HijackThis Log posten? Überprüfe die Datei mal hier und poste das Ergebnis.
Außerdem könntest du mal noch zusätzlich Escan über dein System jagen und das Log mit Hilfe der datfind.bat posten.



Grüße Wildone
__________________


Alt 14.02.2006, 16:17   #3
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo Wildone,

zunächst mal vielen Dank für die schnelle Reaktion.
Ich habe das HJT-Log zur Überprüfung gerade abgeschickt.
Escan wollte ich auch durchführen. Leider war meine vorhandene
Version wohl zu alt. Funktionierte jedenfalls nicht. Jetzt habe ich
die aktuelle heruntergeladen und werde sie mal auf dem "befallenen
Rechner" laufen lassen.

Ich melde mich mit den Ergebnissen.

grüße
jezi
__________________

Alt 14.02.2006, 18:22   #4
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Kurze Zwischenmeldung:

escan hat Backdoor.Win32.Haxdoor.gt gefunden und ist noch bei der Arbeit.
Ich freunde mich gerade mit dem Gedanken an, die Kiste neu
aufzusetzen, da ich zu dieser Haxdoor-Variante keine Infos
finden kann. Die Symptome sind jedenfalls extrem, zB wird im
HJK-Log mein IE in einer 5er Version angezeigt. Ist aber 6.0 SP1.

jezi

Alt 14.02.2006, 18:35   #5
Wildone
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo,
Zitat:
Ich freunde mich gerade mit dem Gedanken an, die Kiste neu
aufzusetzen,
Ja das wird wohl unumgänglich sein. Hier eine Anleitung wie du dabei vorgehen solltest. Das du dich zukünftig von unbekannten Mailanhängen fernhalten solltest brauche ich wohl nicht zu erwähnen.
Kannst du zum Test noch mal Rootkitrevealer drüberlaufen lassen und das Log posten (File>>Save), und achte darauf während dem Scan nichts anderes zu machen.


Grüße Wildone


Alt 14.02.2006, 19:13   #6
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hier zunächst die "Infektionen", die eScan gefunden hat. Vielleicht hat ja noch jemand Lust, mich vom Neuaufsetzen abzuhalten. Ich werde erst morgen damit anfangen.
Wildone: Werde "Rootkitrevealer", wie Du empfielst mal anwenden. Ansonsten nochmal der Hinweis, dass ich keinesfalls einen Anhang geöffnet habe. Es genügte schon das versehentliche Öffnen der Mail von post@postcard.com (zukünftig verzichte ich dann wohl beim eMail-Verkehr auf html )

File C:\WINNT\SYSTEM32\PPTP64.SYS infected by "Backdoor.Win32.Haxdoor.gt" Virus!
System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Offending file found: C:\WINNT\system32\tmpf00.exe
System found infected with cws.loadadv.400 Browser Hijacker (tmpf00.exe)! Action taken: No Action Taken.
File C:\WINNT\ckilfxh.exe infected by "Backdoor.Win32.Haxdoor.gh" Virus! Action Taken: No Action Taken
File C:\WINNT\system32\qz.dll infected by "Backdoor.Win32.Haxdoor.gh" Virus! Action Tak
C:\WINNT\system32\rapilib.dx possibly infected and removed by background antivirus package!
File C:\WINNT\system32\rapilib.dx infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\tmpf00.exe infected by "Backdoor.Win32.Haxdoor.gt" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\tmpf01.exe infected by "Backdoor.Win32.Haxdoor.gt" Virus! Action Taken: No A

Alt 14.02.2006, 19:19   #7
Wildone
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo,
das sieht wirklich ordentlich fies aus, du wirst auf keinen Fall um ein Neuaufsetzen herum kommen. Da ist wohl auch ein Rootkit im Spiel.
Das sich das ganze über Html ausbreitet kann ich eigentlich kaum glauben, benutzt du Outlook Express? Könnte sein das er durch die Vorschau ausgeführt wird. In der Anleitung ist übrigens auch beschrieben wie man Outlook absichert, da ist html abschalten mit Sicherheit auch Bestandteil von.


Grüße Wildone

Alt 14.02.2006, 19:29   #8
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo Wildone,
nochmal DANKE für Deine Hilfe (auch wenn sie mich einen Arbeitstag kosten wird).
Ich benutze Outlook2000 ohne Vorschaufenster. Bin aber versehentlich beim Durchsehen einiger log-Mails von unserem Mailserver auf der bösen Mail gelandet und habe sie wirklich nur kurz geöffnet. Da ging das Theater schon los.
Gruß
jezi

Alt 14.02.2006, 20:17   #9
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Mit dem Rootkitrevealer komme ich nicht zurecht (oder er mit mir nicht). Würde gern auf diesen weiteren Scan verzichten und mit dem Formatieren starten. Wie gesagt, fange ich morgen damit an. Wenn Du, Wildone, oder sonst jemand hier, bis morgen früh starkes Interesse bekundet, dass ich diesen Rootkitrevealer vorher nochmal drüberlaufen lasse, würde ich mir die Mühe machen. Sonst ... format c:

gruß
jezi

Alt 14.02.2006, 20:18   #10
Wildone
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo,
mach dir keinen Stress, wenn es nicht klappt, klappts eben nicht.


Grüße Wildone

Alt 15.02.2006, 14:48   #11
jezi
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Ich hab zu Rootkits noch ein wenig gegoogelt und als kleinen Tipp Folgendes gefunden:

"Ein gutes Programm gegen Rootkits scheint F-Secure Blacklight (Blacklight Rootkit Revealer) zu finden unter w*w.f-secure.de/blacklight/

Blacklight (gibts als Demoversion) hat bei mir gut funktioniert. Alles geht wieder. Trotzdem setze ich neu auf.

Gruß
jezi

Alt 15.02.2006, 14:53   #12
Wildone
 
C:\WINNT\SYSTEM32\pptp32.dll - Standard

C:\WINNT\SYSTEM32\pptp32.dll



Hallo,
ja Blacklight ist auch ganz gut. Aber RootkitRevealer hat eine höhere Erkennungsrate, da es mit einer anderen Technik arbeitet.
Zitat:
Trotzdem setze ich neu auf.
Einzig richtige Entscheidung.


Grüße Wildone

Antwort

Themen zu C:\WINNT\SYSTEM32\pptp32.dll
.dll, adresse, bildschirmschoner, deutsch, dubios, englisch, excel, fenster, folge, funktionieren, funktionieren nicht, gen, google, guten, hinweis, hjt-log, nicht mehr, nichts, problem, seltsam, startet, suche, system, system32, trojaner-board, win, winlogon



Ähnliche Themen: C:\WINNT\SYSTEM32\pptp32.dll


  1. Trojan:WinNT/Bubnix.gen!A - wie werde ich den los??
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (1)
  2. WinNT/Mediyes.A
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (4)
  3. Antivir meldet bds/agent.anrj.1 in C:\winnt\system32\curslib.dll
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (5)
  4. Trojaner on Board / WinNt-Anmeldung
    Log-Analyse und Auswertung - 14.07.2009 (3)
  5. Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 02.04.2009 (7)
  6. c:\winnt\system32\drivers\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  7. c:\winnt\system32\drivers\svchost.exe
    Mülltonne - 17.09.2008 (0)
  8. TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE
    Mülltonne - 12.06.2008 (19)
  9. Virtool.WinNT/FURootkit.gen entfernen?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2008 (13)
  10. Systemprozess WINNT/system32/services.exe unerwartet abgebrochen
    Plagegeister aller Art und deren Bekämpfung - 18.12.2006 (11)
  11. Rameh.A in WINNT einfach löschen ?
    Plagegeister aller Art und deren Bekämpfung - 25.08.2006 (1)
  12. Merkwürdige Datei in C:\WINNT\TEMP
    Plagegeister aller Art und deren Bekämpfung - 20.06.2005 (13)
  13. C:\WINNT\nsdb\hosts fixen?
    Log-Analyse und Auswertung - 30.07.2004 (7)
  14. C:\WINNT\System32\winupd.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2004 (3)
  15. winnt benutzernamen
    Alles rund um Windows - 06.06.2004 (4)
  16. InoculatelT for WinNT
    Alles rund um Windows - 25.05.2004 (3)
  17. WinNT Einrichtung - Konfiguration
    Alles rund um Windows - 02.05.2004 (14)

Zum Thema C:\WINNT\SYSTEM32\pptp32.dll - Guten Tag Trojaner-Board, jetzt muss ich leider doch ein Problem posten, zu dem ich hier noch nichts (wie sonst immer) gefunden habe. Ich habe gestern versehentlich eine "postcard-email" kurz geöffnet - C:\WINNT\SYSTEM32\pptp32.dll...
Archiv
Du betrachtest: C:\WINNT\SYSTEM32\pptp32.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.