Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Dldr.winsh.ac

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.06.2004, 20:28   #1
radiator1985
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



Habe mir o.g. Trojaner eingefangen, welcher immer u.a. die Startseite ändert.

Hab zwar schon viel versucht und in Foren geschaut aber nichts hat geklappt.

Bitte um Hilfe! Danke im vorraus!


Logfile of HijackThis v1.97.7
Scan saved at 20:58:02, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~2\WARN0190.EXE
C:\programme\quicktime\qttask.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\apize.exe
C:\Programme\Teledat\TelFon32.exe
C:\PROGRA~1\0190WA~2\w0svc.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\wamp\apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\netqc.exe
C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Simon L\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wdkbl.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wdkbl.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wdkbl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wdkbl.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wdkbl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wdkbl.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B5769D78-B754-5933-4551-D7BB1A2896C7} - C:\WINDOWS\syssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~2\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [apize.exe] C:\WINDOWS\system32\apize.exe
O4 - HKLM\..\RunOnce: [netqc.exe] C:\WINDOWS\netqc.exe
O4 - Startup: Internet.lnk = ?
O4 - Startup: winmysqladmin.lnk = C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/chm/files.chm::/file.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/05951e69a9c844e...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B6EBCAD-6CC7-441D-91FD-F04C22AC571B}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD0EDC2B-C0CD-4ABA-9B37-A3E832D6019F}: NameServer = 192.168.121.252,192.168.121.253

Alt 16.06.2004, 21:03   #2
Lutz
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



Hallo radiator und Willkommen an Board,

</font><blockquote>Zitat:</font><hr />Habe mir o.g. Trojaner eingefangen...</font>[/QUOTE]Wer -also welches Tool- sagt Dir das und wo -in welchem Pfad- wurde er gefunden?

</font><blockquote>Zitat:</font><hr />Hab zwar schon viel versucht</font>[/QUOTE]Was genau hast Du bereits versucht?

Überprüfe bitte die folgenden Dateien online bei
Kaspersky , oder mach noch besser einen Scan im abgesicherten Modus mit dem Free eScan Antivirus Toolkit Utility.

O4 - HKLM\..\Run: [apize.exe] C:\WINDOWS\system32\apize.exe
O4 - HKLM\..\RunOnce: [netqc.exe] C:\WINDOWS\netqc.exe


Allgemein sei ein Blick auf die verlinkte Seite in meiner Signatur empfohlen...
__________________

__________________

Alt 16.06.2004, 21:10   #3
radiator1985
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



Antivir zeigt mir an das eine dll im Windows ordner befallen wurde, diese dll hat aba schon 3mal den namen geändert (momentan: uezkb.dll (und als ich dies geschrieben hab kommt von antivir in Windows/system32/jvrle.dll mit dme selben trojaner))

was ich versucht habe:
einige datein gelöscht, mehrmals antivir und adware rüber. mit HijackThis einträge gefixt, apize.exe und netqc.exe mitlerweile gelöscht.

die aktuelle Logdatei schaut so aus:

Logfile of HijackThis v1.97.7
Scan saved at 21:55:19, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~2\w0svc.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\wamp\apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\syssc32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~2\WARN0190.EXE
C:\programme\quicktime\qttask.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\javawi32.exe
C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\Simon L\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uezkb.dll/index.html#96676
O2 - BHO: (no name) - {4CB8455B-D319-EAD4-A22C-23122C3C402C} - C:\WINDOWS\javawi32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~2\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [apize.exe] C:\WINDOWS\system32\apize.exe
O4 - HKLM\..\Run: [javawi32.exe] C:\WINDOWS\javawi32.exe
O4 - HKLM\..\RunOnce: [syssc32.exe] C:\WINDOWS\system32\syssc32.exe
O4 - Startup: winmysqladmin.lnk = C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/05951e69a9c844e...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B6EBCAD-6CC7-441D-91FD-F04C22AC571B}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD0EDC2B-C0CD-4ABA-9B37-A3E832D6019F}: NameServer = 192.168.121.252,192.168.121.253
__________________

Alt 16.06.2004, 21:18   #4
Lutz
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



Dann führ mal bitte das o.g. Utility im abgesicherten Modus! aus...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 16.06.2004, 21:18   #5
Olo
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\syssc32.exe </font>[/QUOTE]such doch bitte mal diesen eintrag hier im forum

wenn ich mich nich täusche hat ich dne heut schon mal gesehn

__________________
Die Suchfunktion des Boards

Alt 16.06.2004, 21:35   #6
radiator1985
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



@ Lutz:
Das hat das Utility gefunden:
File C:\WINDOWS\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Donn.r" Virus. Action Taken: File Deleted.

@ Olo
Mein Beitrag is der einzige, den ich auf diesem Board mit syssc32.exe finde.

Danke schonmal euch beiden.
aber der Trojaner ist immer noch drauf

Alt 16.06.2004, 21:50   #7
Olo
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



sorry hab mich verlesen kann mal passiern :\


</font><blockquote>Zitat:</font><hr /> C:\WINDOWS\system32\syssc32.exe
C:\WINDOWS\javawi32.exe

O4 - HKLM\..\Run: [apize.exe] C:\WINDOWS\system32\apize.exe
O4 - HKLM\..\Run: [javawi32.exe] C:\WINDOWS\javawi32.exe
O4 - HKLM\..\RunOnce: [syssc32.exe] C:\WINDOWS\system32\syssc32.exe
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe </font>[/QUOTE]so haste erst mal n paar wahrscheinliche malware sachen


</font><blockquote>Zitat:</font><hr /> C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe </font>[/QUOTE]wenn nicht gewollt mir sagts nix
__________________
Die Suchfunktion des Boards

Alt 16.06.2004, 22:01   #8
radiator1985
 
Dldr.winsh.ac - Icon22

Dldr.winsh.ac



</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:
sorry hab mich verlesen kann mal passiern :\


</font><blockquote>Zitat:</font><hr /> C:\WINDOWS\system32\syssc32.exe
C:\WINDOWS\javawi32.exe

O4 - HKLM\..\Run: [apize.exe] C:\WINDOWS\system32\apize.exe
O4 - HKLM\..\Run: [javawi32.exe] C:\WINDOWS\javawi32.exe
O4 - HKLM\..\RunOnce: [syssc32.exe] C:\WINDOWS\system32\syssc32.exe
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe </font>[/QUOTE]so haste erst mal n paar wahrscheinliche malware sachen


</font><blockquote>Zitat:</font><hr /> C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe </font>[/QUOTE]wenn nicht gewollt mir sagts nix
</font>[/QUOTE]KLar kann man sich mal verlesen

wow, es scheint zu klappen =)

hab die beiden datein gelöscht, die ungewollten Einträge hat ich schon vorher schon gelöscht

winmysqladmin ist gewollt und für datenbanken zuständig (nur so zur info)

DANKE DANKE DANKE, für die hilfe =)

hier nochmal die Aktuelle Loffile:


Logfile of HijackThis v1.97.7
Scan saved at 22:59:23, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~2\WARN0190.EXE
C:\programme\quicktime\qttask.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
C:\PROGRA~1\0190WA~2\w0svc.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\wamp\apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\Simon L\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~2\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - Startup: winmysqladmin.lnk = C:\Programme\wamp\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/05951e69a9c844e...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B6EBCAD-6CC7-441D-91FD-F04C22AC571B}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD0EDC2B-C0CD-4ABA-9B37-A3E832D6019F}: NameServer = 192.168.121.252,192.168.121.253

Alt 16.06.2004, 22:33   #9
Olo
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



nitro deine nummer [img]smile.gif[/img] #96676

und zum ersten mal anscheind erfolg gehabt puh [img]smile.gif[/img]

sollte in den nächsten tagen wahrscheinlich dann auch ein remove tool für autauchen bzw ein bestehendes ein update erhalten
__________________
Die Suchfunktion des Boards

Alt 16.06.2004, 22:50   #10
radiator1985
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:
nitro deine nummer [img]smile.gif[/img] #96676</font>[/QUOTE]was meinste damit???

Alt 17.06.2004, 07:31   #11
Olo
 

Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



</font><blockquote>Zitat:</font><hr /> man kann ihn finden und löschen mit wenigen antispy progs aber es bringt nix er kommt immer wieder. es müsste schon ein internet explorer oder windowsupdate geben. könnte sein das es eine lücke im sicherheitssystem ist. ich kann mir nicht erklären warum er sonst immer wieder kommen sollte nach dem man alles gründlich gereinigt hat.
mfg nitro </font>[/QUOTE]bene das zeichnet hijacker im moment noch aus
es gibt keinen fix von M$
es sind sicherheitslücken im internet explorer
lutz bericht beschreibt das problem ganz gut
atm kann nur ein browserwechsel abhilfe schaffen ein kleiner thread über einen dieser hijacker und die sicherheitslücke die er benutzt
(übrigens der der mich zu dem board gebracht hat [img]smile.gif[/img] )
__________________
Die Suchfunktion des Boards

Alt 17.06.2004, 11:20   #12
nitro
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



hab jetzt in vielen threaden oder so mehrzahl halt ^^ geschrieben das diese nummer bei einer bestimmten art von wurm auftaucht.
hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wdkbl.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wdkbl.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wdkbl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wdkbl.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wdkbl.dll/index.html#96676

da steht auch sp.html oder sowas das SP ist wichtig. es gibt schon remove tools für diese SP scheisse, aber eben kein tool das diesen Wurm (ich identifiziere ihn einfach an #96676) wegmacht. man kann ihn finden und löschen mit wenigen antispy progs aber es bringt nix er kommt immer wieder. es müsste schon ein internet explorer oder windowsupdate geben. könnte sein das es eine lücke im sicherheitssystem ist. ich kann mir nicht erklären warum er sonst immer wieder kommen sollte nach dem man alles gründlich gereinigt hat.
mfg nitro

Alt 17.06.2004, 11:50   #13
radiator1985
 
Dldr.winsh.ac - Beitrag

Dldr.winsh.ac



danke für die info

Antwort

Themen zu Dldr.winsh.ac
adobe, antivir, avg, bho, danke, dateien, drivers, einstellungen, excel, explorer, foren, hijack, hijackthis, hilfe, icq, internet, internet explorer, microsoft, monitor, nvcpl.dll, object, programme, rundll, shockwave, software, sun java, system, tcpip, trojaner, trojaner eingefangen, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Dldr.winsh.ac


  1. Java-Virus JAVA/Dldr.Dermit.C, JAVA/Dldr.Kara.AB.1, JAVA/Dldr.Karame.AI
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  2. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  3. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  4. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  6. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  7. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  8. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  9. TR/Dldr.Calac.dmg und Dldr.Elly.L gefunden. Und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (25)
  10. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  11. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  12. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  13. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  14. C:\WINDOWS\QMMQE.DAT - Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
    Log-Analyse und Auswertung - 11.09.2004 (27)
  15. Dldr.WinSh.AC.02 + Spy.Tofger.BI.2
    Log-Analyse und Auswertung - 11.08.2004 (2)
  16. Ärger mit TR/Dldr.Agent.Z.2 und Winsh.AC.05
    Log-Analyse und Auswertung - 30.06.2004 (5)
  17. Trojanische Pferd TR/Dldr.WinSh.AC.02
    Plagegeister aller Art und deren Bekämpfung - 19.06.2004 (6)

Zum Thema Dldr.winsh.ac - Habe mir o.g. Trojaner eingefangen, welcher immer u.a. die Startseite ändert. Hab zwar schon viel versucht und in Foren geschaut aber nichts hat geklappt. Bitte um Hilfe! Danke im vorraus! - Dldr.winsh.ac...
Archiv
Du betrachtest: Dldr.winsh.ac auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.