Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe: res://lyzcp.dll/index.html#37049

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.07.2004, 10:06   #1
Bernie
 
Hilfe: res://lyzcp.dll/index.html#37049 - Standard

Hilfe: res://lyzcp.dll/index.html#37049



Hallöchen,

bräuchte mal Eure Hilfe bzw. Rat.

Habe mir offensichtlich einen hartnäckigen hijacker eingefangen, der
hartnäckig auf die Seite res://lyzcp.dll/index.html#37049 zugreifen will.

Habe den hijackthis.log-file sowohl manuell, als auch automatisch
(auf der entsprechenden web-Seite) ausgewertet.
Die Einträge, die verdächtig sind lauten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lyzcp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lyzcp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lyzcp.dll/index.html#37049

O2 - BHO: (no name) - {11D7CE2C-3C7E-172D-9EE7-2407FBE0C0CF} - C:\WINDOWS\system32\sdkmr.dll


Wenn ich die Einträge mit HijackThis fixe, tauchen sie einfach wieder auf (wenn ich online gehe, bzw. gegangen bin; im offline Modus tut sich nix)

CWShredder findet nichts.

Spybot meldet '5 DSO Eploit':

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-1\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-11802597-2209122452-3790020587-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-2\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

(ALs Erklärung für die Einträge gibt Spybot an, daß es sich um Sicherheitslücken im IE6 handelt, durch die fremde Webseiten Code ausführen können). Wenn ich die Einträge fixe, tauchen sie ebenfalls wieder auf.

ADAware findet nichts.

EScan (im abgesciherten Modus, wie auch im normalen Modus) meldet dann die (zu obigen Einträgen unter R0/R1 gehörenden) Trojaner:

lyzcp.dll infected "TrojanDownloader.Win32.Winshow.u"
uwofv.dll infected "TrojanDownloader.Win32.Winshow.u"

...und löscht natürlich die entsprechenden Dateien.

So...und wenn ich glaube, jetzt sei alles in Ordnung, dann ist es das nicht. Denn kurze Zeit im Internet, und obiges wiederholt sich. Allerdings mit anderen dll-file-Namen und einer anderen Startseite.

D.h., es muss irgendwo eine dll geben, die die gelöschten Dateien (bis 26 kB gross) immer wieder neu generiert und ihnen stets neue Namen gibt.

Als Windowssystem habe ich XP homeedition, Firewall von MCAfee, IE6 (jaja, werde auf Opera umstellen).

Wenn jetzt jemand von Euch eine Idee hat, wie ich den Virus/Wurm/Hijacker wieder entferne, ohne gleich das System neu aufzuspielen, bitte melden.

Dank im Voraus
Bernie

Alt 15.07.2004, 16:08   #2
*Christian*
Gast
 
Hilfe: res://lyzcp.dll/index.html#37049 - Standard

Hilfe: res://lyzcp.dll/index.html#37049



Bezüglich des DSO Exploit: Das ist ein Bug von Spybot. Wird in kürze mit einem Update behoben.

Bitte poste doch mal das HijackThis-Log.
__________________


Antwort

Themen zu Hilfe: res://lyzcp.dll/index.html#37049
bho, code, explorer, firewall, handel, hijacker, hilfe, immer wieder, infected, internet, internet explorer, mcafee, microsoft, neu, neue, object, online, opera, registry, seite, software, start, system, system neu, system32, trojaner, träge, unter, wiederholt, windows, windowssystem



Ähnliche Themen: Hilfe: res://lyzcp.dll/index.html#37049


  1. Hilfe ich habe mir was gefangen:chrome-extension://flliilndjeohchalpbbcdekjklbdgfkk/html/blocked.html
    Log-Analyse und Auswertung - 16.01.2015 (17)
  2. Google + FB öffnen nicht über Firefox. Neuer Tab Meldung chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (9)
  3. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 02.10.2014 (6)
  4. chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 04.09.2014 (2)
  5. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (17)
  6. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 18.07.2014 (15)
  7. Windows Vista / Firefox / chrome://quick_start/content/index.html
    Log-Analyse und Auswertung - 14.07.2014 (15)
  8. Trojaner chrome://quick_start/content/index.html -
    Log-Analyse und Auswertung - 03.06.2014 (1)
  9. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 19.05.2014 (9)
  10. Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (4)
  11. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 09.08.2007 (2)
  12. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.05.2007 (12)
  13. Trojaner ? res://msaps.dll/index.html
    Log-Analyse und Auswertung - 13.01.2005 (11)
  14. Bekomm das nicht weg "res://msaps.dll/index.html"
    Plagegeister aller Art und deren Bekämpfung - 08.10.2004 (12)
  15. HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676
    Log-Analyse und Auswertung - 13.08.2004 (14)
  16. res://rewmu.dll/index.html#37794
    Plagegeister aller Art und deren Bekämpfung - 27.07.2004 (5)
  17. res://mshp.dll/index.html
    Plagegeister aller Art und deren Bekämpfung - 28.05.2004 (1)

Zum Thema Hilfe: res://lyzcp.dll/index.html#37049 - Hallöchen, bräuchte mal Eure Hilfe bzw. Rat. Habe mir offensichtlich einen hartnäckigen hijacker eingefangen, der hartnäckig auf die Seite res://lyzcp.dll/index.html#37049 zugreifen will. Habe den hijackthis.log-file sowohl manuell, als auch automatisch - Hilfe: res://lyzcp.dll/index.html#37049...
Archiv
Du betrachtest: Hilfe: res://lyzcp.dll/index.html#37049 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.