hallo _anousha,

du solltest schon allein deswegen

Zitat:

-------\LEGACY_MSDIRECT
-------\msdirect
S4 dnlsvc;dnlsvc;"C:\DOKUME~1\Anousha\LOKALE~1\Temp\d nlsvc.exe

definitiv neuaufsetzen.
http://www.trojaner-board.de/12154-a...sicherung.html


Technische Kompromittierung - Wikipedia
Rootkit - Wikipedia
dnlsvc.exe - Program Information

Zitat:

Zitat von boston

hallo _anousha,

du solltest schon allein deswegen

definitiv neuaufsetzen.

Damit wollen wir doch bitte noch etwas warten.



@_anousha


Nun bitte folgendes:



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\mscorews.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
Poste ausserdem den Inhalt der C:\avenger.txt Datei.




Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
C:\WINDOWS\weqemita.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)







Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

hallo, sunny, deine kompetenz in allen ehren,
aber _anousha ist seit mehr als zwei wochen mit einem völlig versifften,
ungepatchten rechner im netz. rootkit, eine vielzahl bekannter, aber auch unbekannter
malware sollten doch grund genug zum Neuaufsetzen sein, oder?
ich halte da ein bereinigen für nicht angebracht.

Zitat:

Zitat von boston

ich halte da ein bereinigen für nicht angebracht.

Ansichtssache, meiner Meinung nach sollte man einem User immer die Wahl lassen ob er sein versifftes System weiternutzt, oder aber zu einer Neuinstallation rät, welche widerum ein "Freifahrtschein" ist für neue Infektionen (weil nicht gelernt aus der Situation/Denkzettel).

Also, überlassen wir es dem TO was für ihn das Beste ist.
Meistens soll eine Formatierung umgangen werden, was Angesichts der oft schweren Kompromittierungen unabdingbar wäre/ist.

Hoffe du verstehst was ich meine.

Hallo Sunny


deine Avenger-Anleitung ist von vorvorgestern
The Avenger

und nur die eine dll zu löschen ist ein bisschen mager .......................

Hallo anousha

man könnte das reinigen...jedoch:

das alles müsste raus !!!
wo bist du hingesurft am 2008-02-28 - 00:48 Uhr ????

Zitat:

C:\WINDOWS\system32\cmnocfg.xml
C:\WINDOWS\system32\comsatac.dll
C:\WINDOWS\system32\qviexio3.dat
C:\WINDOWS\system32\mscorews.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
C:\WINDOWS\vurugejyh.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\vafe.scr
C:\WINDOWS\system32\adov.inf
C:\WINDOWS\jizy.vbs
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wekades.reg
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\mebubeke.exe
C:\WINDOWS\micudoseh.dll
C:\WINDOWS\system32\esixehu.vbs
C:\WINDOWS\gazonisasa.dl
C:\WINDOWS\weqemita.dll
C:\WINDOWS\avofes.sys
C:\Programme\Gemeinsame Dateien\ezukezodob.vbs
C:\WINDOWS\dihihisoc.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\jehipo.exe
C:\Programme\Gemeinsame Dateien\uzyguri.com
C:\WINDOWS\uxyvanutu.sys

die Reinigung wird sehr aufwendig..und letztendlich bleibt das System kompromitiert.
Deshalb: formatieren !

Zitat:

Zitat von Sabina

Hallo Sunny


deine Avenger-Anleitung ist von vorvorgestern
The Avenger

Ooops, so dann und wann sollte man auch mal seine Clips erneuern und die Programme mal wieder alle durchtesten...

[Ironie]
Werde mich bei swandog beschweren einfach so, ohne mich darüber zu informieren, das Layout zu ändern.[/Ironie]
Ich will die Ampel zurück ... Aber wenigstens ist das Prozedre noch das gleiche.

Zitat:

Ansichtssache, meiner Meinung nach sollte man einem User immer die Wahl lassen ob er sein versifftes System weiternutzt, oder aber zu einer Neuinstallation rät, welche widerum ein "Freifahrtschein" ist für neue Infektionen (weil nicht gelernt aus der Situation/Denkzettel).

hi sunny, das verstehe ich nicht, eine Neuinstallation ist doch der beste denkzettel.
dazu noch eine anleitung, was man zukünftig vermeiden sollte.
die diskrepanz der verschiedenen av-foren in puncto Neuaufsetzen ist bemerkenswert.
bitte nicht falsch verstehen:
ich hab großen respekt vor bereinigungskünstlern wie dir und sabina.