Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Log-Analyse und Auswertung: HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.08.2004, 09:14   #1
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Ich habe mit allen Tools wie AdAware, Hijack this, CWShredder, Xclean, Spybot schon probiert: Immer wieder kommt diese Startseite. Ich bin am verzwifeln. Hat dies vielleicht mit den Programmen "Shopping Wizard" und Search Extender" zu tun, welche ich via Systemsteuerung/Software nicht entfernen kann (Fehlermeldung: http://looking-for.cc/uninstall/ShoppingWizard.html konnte nicht geöffnet werden.
Ich bin für jede Hilfe dankbar.

Alt 12.08.2004, 09:18   #2
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Da dürftest du ganz richtig vermuten.
Führe zunächst mal dies hier durch:

http://www.trojaner-board.de/42731-escan-anleitung.html

Danach poste bitte ein Hijackthis-Log.
__________________
Alt 12.08.2004, 10:36   #3
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Danke für den Input. Ich habe nun den E-Scan im abgesicherten Modus durchgeführt sowie anschliessend den Hijack This. Anbei das HIJACKTHIS-log:

Logfile of HijackThis v1.98.2
Scan saved at 11:34:14, on 12.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\lotus\notes\ntmulti.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINNT\System32\DSentry.exe
C:\WINNT\System32\pctspk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINNT\system32\atljy.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\Palm\HOTSYNC.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINNT\system32\winid32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Daten OR\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.ch/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8292B285-FC35-F04C-9687-30E3C5DCC646} - C:\WINNT\d3hm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [atljy.exe] C:\WINNT\system32\atljy.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...22384e480b9c0d
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)


Danke für die weitere Hilfe.
__________________
Alt 12.08.2004, 11:21   #4
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Windows per Update auf den neuesten Stand bringen (falls noch nicht geschehen). Dann fixen (offline und ohne den IE oder ein Explorer-Fenster geöffnet zu haben oder gleich im abgesicherten Modus):

C:\WINNT\system32\atljy.exe
C:\WINNT\system32\winid32.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8292B285-FC35-F04C-9687-30E3C5DCC646} - C:\WINNT\d3hm.dll
O4 - HKLM\..\Run: [atljy.exe] C:\WINNT\system32\atljy.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...022384e480
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

Nach dem Fixen die .exe und .dll-Dateien noch löschen, falls vorhanden.

Alt 12.08.2004, 12:39   #5
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Zitat:
Zitat von MountainKing
Windows per Update auf den neuesten Stand bringen (falls noch nicht geschehen). Dann fixen (offline und ohne den IE oder ein Explorer-Fenster geöffnet zu haben oder gleich im abgesicherten Modus):



Nach dem Fixen die .exe und .dll-Dateien noch löschen, falls vorhanden.

DANKE FUER DIE INFO. ABER WIE GEHT DAS FIXEN GENAU VOR SICH ANHAND DEINER LOG LISTE. KANNST DU MIR DETAIILIERTERE INFOS GEBEN. DANKE VIELMALS


Alt 12.08.2004, 13:20   #6
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Fixen bezieht sich auf die entsprechende Funktion bei Hijackthis. Du machst nach dem Scan ein Häkchen bei den angeführten Einträgen und klickst dann auf "Fix Checked". Danach wie gesagt die Datein suchen und löschen, nach dem Neustart ein erneutes Log machen und bitte hier posten.

Alt 12.08.2004, 14:11   #7
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Zitat:
Zitat von MountainKing
Fixen bezieht sich auf die entsprechende Funktion bei Hijackthis. Du machst nach dem Scan ein Häkchen bei den angeführten Einträgen und klickst dann auf "Fix Checked". Danach wie gesagt die Datein suchen und löschen, nach dem Neustart ein erneutes Log machen und bitte hier posten.
Also nun habe ich folgendes gemacht: Hijackthis im abgesicherten Modus und alle aufgelisteten Einträge gefixt bzw. gelöscht. Neuerlicher HijackThis mit untenstehendem Log. (NB: Pop Ups erscheinen immer wieder)

Logfile of HijackThis v1.98.2
Scan saved at 15:10:31, on 12.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\lotus\notes\ntmulti.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\WINNT\system32\winid32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINNT\System32\DSentry.exe
C:\Programme\IBM\Client Access\cwbckver.exe
C:\WINNT\System32\pctspk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\Palm\HOTSYNC.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Daten OR\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20

Alt 12.08.2004, 14:47   #8
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Sind immer noch unschöne Sachen drin:

O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll

Die dll auch löschen.

Gehst du über ein Netzwerk ins Internet bzw. sagen dir diese unidom.local-Einträge was?

Alt 13.08.2004, 09:37   #9
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Zitat:
Zitat von MountainKing
Sind immer noch unschöne Sachen drin:

O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll

Die dll auch löschen.

Gehst du über ein Netzwerk ins Internet bzw. sagen dir diese unidom.local-Einträge was?

1. Anbei der aktuellste Log Save
2. Alle dll löschen?
3. Ja, ich gehe übers Netzwerk und Unidom ist unser Server.

Aber die Werbepop Ups kommen noch immer und die beiden Programme
Search Extender und Shopping Wizard sind immer noch im menü Systemsteuerung/Software drin, jedoch nicht zu entfernen und auch sonstwo nicht zu finden.

Es ist bald zum Kinderkriegen......


Logfile of HijackThis v1.98.2
Scan saved at 10:28:29, on 13.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Daten OR\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [netav.exe] C:\WINNT\netav.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20

Alt 13.08.2004, 09:47   #10
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Bei dem log fehlen aber eine Menge laufender Prozesse?

Du bist nach wie vor infiziert, der scheint aber neu zu sein:

http://securityresponse.symantec.com...etav.worm.html

Fixen und löschen:

O4 - HKLM\..\Run: [netav.exe] C:\WINNT\netav.exe

Deaktviviere die Systemwiederherstellung vor dem Löschen, dann rebooten und wieder aktivieren:
http://www.systemwiederherstellung-d...indows-xp.html

Alt 13.08.2004, 09:59   #11
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Danke für den Tip, jedoch funktioniert die Systemwiederherstellungsdeaktivierung bei Windows 2000 nicht so wie beschrieben. Wo kann dies in diesem System geändert werden?

Alt 13.08.2004, 10:03   #12
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Ups, sorry, der falsche Link, hier ist der richtige:

http://www.bsi.de/av/texte/wiederher_95982000.htm

Alt 13.08.2004, 10:15   #13
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Sorry für die erneute Nachfrage: Also im normalen Modus fixen und löschen und dann in den abgesicherten Modus gehen oder im abges. Modus fixen und löschen und dann wieder rebooten?

Alt 13.08.2004, 10:49   #14
oronner
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


So, nun habe ich im abgesicherten Modus nochmals einen Scan durchgeführt und nach dem Fixen das folgende Log erhalten:

Logfile of HijackThis v1.98.2
Scan saved at 11:47:18, on 13.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Daten OR\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunOnce: [yhsxgb.txt] C:\WINNT\yhsxgb.txt
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20


Jetzt werde ich den PC runterfahren und ins Wochenende gehen. Vielleicht erholt er sich dann. Ansonsten Danke für die Tips und hoffentlich muss ich mich am Montag nicht wieder melden.

Ciao

Alt 13.08.2004, 12:18   #15
MountainKing
 
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Standard

HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


Wieder was Neues drin:

O4 - HKLM\..\RunOnce: [yhsxgb.txt] C:\WINNT\yhsxgb.txt

auch fixen und löschen. Wenn es im abgesicherten Modus zu fixen geht, ist das im Zweifelsfall besser, manche der Schädlinge tauchen dann aber nicht im Log auf. Irgendwie scheint sich da noch etwas versteckt zu haben.

Antwort

Themen zu HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676
adaware, confused, cwshredder, entferne, entfernen, extender, fehlermeldung, hijack, hijack this, hilfe, immer wieder, konnte, probiert, programme, programmen, search, shopping, spybot, systems, this, tools, win, winnt, wizard


« Backdoor Agent B - Bitte um Hilfe! | win32.agent.bq und ttdeuxxa.exe in kaspersky-quarantäne »


Ähnliche Themen: HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676


  1. Google + FB öffnen nicht über Firefox. Neuer Tab Meldung chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (9)
  2. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 02.10.2014 (6)
  3. chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 04.09.2014 (2)
  4. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (17)
  5. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 18.07.2014 (15)
  6. Windows Vista / Firefox / chrome://quick_start/content/index.html
    Log-Analyse und Auswertung - 14.07.2014 (15)
  7. Trojaner chrome://quick_start/content/index.html -
    Log-Analyse und Auswertung - 03.06.2014 (1)
  8. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 19.05.2014 (9)
  9. Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (4)
  10. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 09.08.2007 (2)
  11. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.05.2007 (12)
  12. Trojaner ? res://msaps.dll/index.html
    Log-Analyse und Auswertung - 13.01.2005 (11)
  13. Wie krieg ich das weg ? html#96676
    Log-Analyse und Auswertung - 10.09.2004 (5)
  14. res://rewmu.dll/index.html#37794
    Plagegeister aller Art und deren Bekämpfung - 27.07.2004 (5)
  15. Hilfe: res://lyzcp.dll/index.html#37049
    Log-Analyse und Auswertung - 15.07.2004 (1)
  16. res://mshp.dll/index.html
    Plagegeister aller Art und deren Bekämpfung - 28.05.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 - Ich habe mit allen Tools wie AdAware, Hijack this, CWShredder, Xclean, Spybot schon probiert: Immer wieder kommt diese Startseite. Ich bin am verzwifeln. Hat dies vielleicht mit den Programmen "Shopping - HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676...
Archiv
Du betrachtest: HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129