Hallo zusammen,

ich habe folgendes verzwickte Problem: Über den IE habe ich mir den oben genannten Trojaner eingefangen, dessen Bestandteile ich über AdAware, SpyBot und AntiVir weitestgehend entfernen konnte.

Einzig die Datei aklsp.dll in meinem Windows2000-System32-Ordner wird noch als infiziert angezeigt. Das Problem ist sie lässt sich nicht reparieren und wenn ich sie lösche bekomme ich keine Netzwerkverbindung mehr (Internet ist damit auch lahmgelegt). Auf der Windows-CD konnte ich die Datei genausowenig wie im Internet finden.

Auch zu meinem Trojaner gibt es scheinbar keine genaueren Infos? Was kann ich am besten tun?

Vielen Dank für die Hilfe,

John

Hallo,

am besten ist du postest mal eine Log mit Hilfe von diesem Programm: HijackThis

Ja, kein Problem, hier mein System-Striptease:

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 16:15:09, on 16.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Executive Software\Diskeeper\DkService.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\hidserv.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\SLEE503.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\rundll32.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\CTHELPER.EXE
D:\Programme\D-Link\Air USB Utility\AirCFG.exe
D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\SED\SED.exe
D:\WINNT\system32\internat.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Opera7\opera.exe
D:\Programme\ICQ\Icq.exe
D:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\Winamp\winamp.exe
D:\DOKUME~1\XYZ~1\LOKALE~1\Temp\7zO8E.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xx.xxx.xx:80
O1 - Hosts: xx.xx.xxx.xxx:80 user icqXXXXXXXX
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] D:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "D:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [SESync] "D:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [WinTools] D:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: d:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\aklsp.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1113.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{836CABEE-738F-495A-AE34-F5A6E9A6F977}: NameServer = 192.168.1.1

Wieso wird mir eigentlich dieser ICQ-User angezeigt?:
O1 - Hosts: xx.xx.xxx.xxx:80 orgel icqXXXXXXXX

Übrigens musste ich die rundll32 beenden, da das System SEHR langsam lief. Hat sich nicht weiter ausgewirkt als auf die Geschwindigkeit.

Thx!

Halllo,

das manuell löschen:

D:\Programme\SED\SED.exe

Das fixen:

O1 - Hosts: 62.75.250.128 orgel icqXXXXXXXX

O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)

O3 - Toolbar: (no name) - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - (no file)

O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "D:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB

O4 - HKLM\..\Run: [SESync] "D:\Programme\SED\SED.exe"

O4 - HKLM\..\Run: [WinTools] D:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Hol dir vor dem fixen noch dieses Programm: LSP Fix

Wende auch dieses Programm. Poste dann nochmal eine Log.

Das erste ist erledigt, danke! Aber wie fixe ich diese O-Punkte? LSP fix ist auch so ne Sache, "I don't know what I'm doing" . Jedenfalls taucht dort die aklsp.dll auf...

Du musst vor den genannten Einträgen einen Haken setzten und dann "Fix Checked" klicken.

Ah, hatte ich übersehen danke .

Sorry, bin sicher diese Fragen werden dauernd gestellt! Danke jedenfalls für die schnelle und kompetente Hilfe, hast sehr geholfen.

Wie kommt es denn dazu dass dieser ICQ-User da drin steht? Wurde da irgendwie manipuliert und wenn ja welche Konsequenzen könnte das haben?

Ach ja, soll ich die aklsp.dll mit lsp-fix entfernen? Werden insgesamt fünf Dateien angezeigt: rnr20.dll, winrnr.dll, aklsp.dll, msafd.dll, rsvpsp.dll

Grüße & thx nochmal,

John

Warte lieber mit dem entfernen. Das weiß ich leider ned. Schau mal was die anderen sagen.

http://www.cexx.org/lspfix.htm LSP reparieren