|
Eines deiner Probleme ist das: **nq=rundll32 C:\WINDOWS\SYSTJM.INI,DllGetClassObject Es waere nett, wenn du die Datei C:\WINDOWS\SYSTJM.INI an virus@rokop-security.de oder an Lutz schicken koenntest. Vieleicht musst du die Datei erst packen(im abgesicherten Modus). Falls das nicht funktionieren sollte, muessen wir es mit Killbox versuchen. BTW: Welches Dateidatum hat die Datei? |
Hallo Feierfox, ich hab die in diesem Thread empfohlene Vorgehensweise auch ausprobiert, leider ohne Erfolg. Den Eintrag unter UninstallString habe ich gefunden und notiert, konnte ihn dann aber komischerweise unter Windows sofort löschen, in der Registry hab ich zu dieser DLL dann auch noch 1 Eintrag gefunden und gelöscht, aber wie gesagt ohne bleibenden Erfolg. Ich werd`s nachher aber nochmal probieren, mehr als die Hoffnung bleibt mir ja momentan eh nicht übrig. @ raman Ich habe die Datei C:\WINDOWS\SYSTJM.INI im Windows-Explorer nicht gefunden (auch dessen Suchfunktion hat kein Ergebnis gebracht), aber bei der Suche in der Registry wurde unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\DocFindSpecMRU diese Datei angezeigt - eine se.dll befindet sich übrigens auch in diesem Verzeichnis. Wie kann ich nun feststellen, welches Datum diese Datei hat bzw. wie kann ich sie euch schicken? |
poste mal den uninstallstring. eigentlich ist der uninstallstring was gutes, denn er ist ja dazu da, ihn zu entfernen. |
Versuche es bitte mal mit Killbox: Lade es hier herunter: http://www.downloads.subratam.org/KillBox.zip entpacke es und starte die killbox.exe In das weisse Feld bitte C:\WINDOWS\SYSTJM.INI eintragen "end Exporer Shell..." anhaken und das weisse Kreuz auf rotem Kreis druecken und das ganze mit Ja bestaetigen. Dann solltest du die Datei in c:\!submit finden, packen und schiken koennen. Ein anderen ansatz kannst du hier finden: http://www.hijackthis.de/forum/showt...=9546#post9546 Kennst du dich mit PEbuilder aus? http://pcfreaks.big-clan.net/bartpe/index.shtml Das wuerde das ganz erheblich vereinfachen. |
@ chris 14: Unter UninstallString steht "regsvr32 /s /u C:\WINDOWS\SYSTEM\NIJOE.DLL" @ raman: Beim Ausführen der Killbox kam ein File Error: "This file does not seem to exist". Bei Standard File Kill war ein Punkt - und im Feld rechts unten, in dem man einige (zumeist EXE-) Dateien anklicken kann, stand KERNEL32.DLL. Hätte ich da noch etwas verändern müssen? Mit dem PEbuilder kenn ich mich leider nicht aus (um ehrlich zu sein habe ich davon auch noch nie gehört), aber ich bin hoffentlich lernfähig, mußt mir nur sagen, was ich tun soll. |
Das ist eine Bootcd, um diese allerdings erstellen zu koennen, braucht man allerdings WindowsXP!:) Versuchen wir mal was anderes. Kopiere bitte alles zwischen ---cut--- in Notepad und speichere die Datei in c:\windows mit dem Namen test25.bat dann fahre den Rechner im MS-dosmodus herunter. Du solltest dann am Dosprompt landen. Sieht ungefaehr so aus: C:\> dort test25 eingeben und ENTER druecken, dann den Rechner neu starten. und den Erzeugten Ordner c:\test25 packen und schicken. ---cut--- md c:\test25 ren C:\WINDOWS\SYSTJM.INI SYSTJM.xxx copy C:\WINDOWS\SYSTJM.xxx c:\test25\ dir c:\windows\ /a:s /od >c:\test25\system.txt dir c:\windows\ /a:h /od >c:\test25\hidden.txt dir c:\windows\ /a:r /od >c:\test25\read.txt ---cut--- Ich weiss nicht, ob das so funtioniert, wie ich mir das erhoffe, aber mal schauen. :) Kontrolliere bitte vorher noch, ob sich der name beim Startdreck Log noc der gleiche ist. |
Ich glaub, wir haben kein Glück. Ich habe Alles wie beschrieben durchgeführt, nach der Eingabe von test25 im Dos-Modus kam dann folgendes: C:\WINDOWS>md C:\test25 C:\WINDOWS>ren C:WINDOWS\SYSTJM. SYSTJM.xxx C:\WINDOWS>copy C:\WINDWS\SYSTJM.xxx C:\test25\ Ungültiges Verzeichnis C:\WINDOWS>dir C:\windows\ /a:s /od >c:\test25\system.txt Ungültiges Verzeichnis C:\WINDOWS>dir C:\windows\ /a:h /od >c:\test25\hidden.txt Ungültiges Verzeichnis C:\WINDOWS>dir C:\windows\ /a:r /od >c:\test25\read.txt Ungültiges Verzeichnis C:\WINDWS> Beim Neustarten des PCs kam dann folgende Fehlermeldung: RUND DLL Fehler beim Laden von C:\WINDOWS\SYSTJM.INI Die angegebene Datei wurde nicht gefunden. Im Ordner C:\Test25 befinden sich jetzt lediglich 3 Textdateien (Hidden, Read, System), die alle 3 den gleichen Inhalt vorweisen, nämlich Datentr„ger in Laufwerk C: WIN98SE Seriennummer des Datentr„gers: 3D20-18EE Das hilft uns nicht weiter, oder? |
Doch, das ist gar nicht so schlecht. Jetzt packe den Ordner test25 mit winrar oder winzip und schicke es an virus@rokop-security.de mal schauen, was dabei herauskommt. Bitte den Ordner packen, nicht einfach nur die Dateien! |
Sorry, ich habe gerade 'unsichtbar' mitgelesen... ;) Schick bitte ausnahmsweise mir auch die Datei an badfiles@bul-online.de So wie es aussieht, stand das Prompt-Zeichen, als Du im DOS-Modus gebootet hast nicht auf C:\, sondern auf C:\Windows, deswegen die Fehlermeldungen. Aber offensichtlich hast Du es geschafft, die Datei SYSTJM.INI umzubenennen, nach SYSTJM.XXX. Das sieht man an der Fehlermeldung... 'Traumhaft' wäre es, wenn Du die Datei SYSTJM.XXX jetzt sehen könntest... |
Hm, vieleicht musst du die Batch fuer Win98 etwas abaendern: ---cut--- copy C:\WINDOWS\SYSTJM.xxx c:\test25 dir c:\windows\*.* /a:s /od >c:\test25\system.txt dir c:\windows\*.* /a:h /od >c:\test25\hidden.txt dir c:\windows\*.* /a:r /od >c:\test25\read.txt ---cut--- einfach wieder als test25.bat speichern und ueberschreiben |
Mach ich gleich, ich hab den ersten Test25-Ordner gerade an dich und an Lutz geschickt. @ Lutz: Ich kann die Datei SYSTJM.XXX jetzt sehen, sie befindet sich unter C:\WINDOWS, ist 31 KB groß und vom 19. Februar 2005. Das könnte mit dem Zeitpunkt der Infizierung hinkommen. |
Also die Datei bitte auch schicken. Du kannst im Explorer auch den Windows und den windows\system Ordner nach Datum sortieren lassen ueber Ansicht/Details und Ansicht/Symbole anordnen nach/Aenderungsdatum. Werden zu diesem Datum (19. Februar 2005) noch andere Dateien angezeigt? Es ist ueber die Batch im Dowmodus abeer genauer, a dort keine Windowsmalware dazwischen funken kann. BTW: Funktioniert nun Escan? |
Supe, die Datei ist nun da, mit allem was ich wollte. Nun will ich noch das :) D3IH32 DLL 93.184 17.11.04 17:26 OTRJQ LOG 11.388 17.11.04 17:26 JVNHO TXT 3.362 17.11.04 17:26 APIFF32 EXE 26.624 17.11.04 17:26 IEYY DLL 98.926 03.02.05 19:30 XFDDZ DAT 7.305 03.02.05 19:30 BZZBQ LOG 3.567 03.02.05 19:30 D3EJ32 EXE 29.256 03.02.05 19:30 Alles bitte packen und schicken!:) BTW: Koenntest du auch noh das mal laufen lassen, bitte? ---cut--- dir c:\windows\system\*.* /a:s /od >c:\test25\system2.txt dir c:\windows\system\*.* /a:h /od >c:\test25\hidden2.txt dir c:\windows\system\*.* /a:r /od >c:\test25\read2.txt ---cut--- |
Ich hab euch den "neuen" test25-Ordner auch geschickt - und diesmal ist auch die SYSTJM.XXX-Datei drin. Die Systjm.xxx-Datei stammt vom 18. Februar (da hab ich mich verschrieben), zu diesem Datum finde ich bei der Explorer-Suchfunktion noch einige backup-Einträge unter HjackThis sowie einige Datein unter C:\WINDOWS\Profiles wie z.B. Checks.050218-1744 (LOG-Datei) oder einigen Spyware exclude files wie FileExt oder CookiesNS. E-scan hab ich grad nochmal probiert, jetzt kommt eine Fehlermeldung "Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen". Unter Details steht dann "MWAVSCAN verursachte einen Fehler durch eine ungültige Seite". Na immerhin bewegt sich nach dem Anklicken schon mal was, bisher kam da noch nie eine Reaktion. Vielleicht läuft das Ding ja irgendwann doch noch. Die gewünschten Dateien kriegst du sofort im Anschluß an dieses Mail. |
Schicke die se.dll bitte auch noch und poste danach ein neues Hijackthis log |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board