|
ständiger einwahlversuch zu ad-w-a-r-e hallo, ich bin neu hier und hoffe gleich auf hilfe. habe mir heute mittag irgendwas auf den rechner geholt (als ich seit zwei jahren mal wieder den internet explorer benutzt habe), das im hintergrund immer wieder meine dsl-verbindung öffnen will (wenn ich offline bin), um mit www.ad-w-a-r-e.com kontakt aufzunehmen. in der taskleiste steht dann was von einem "rasautou.exe"-prozess. hab die aktuellste version von lavasofts ad-aware personal se drüberlaufen lassen und ne menge müll von meinem rechner entfernt und jetzt auch diverse mal hijackthis. mein logfile ist wohl auch soweit okay... Logfile of HijackThis v1.99.1 Scan saved at 17:15:25, on 10.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\mgabg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\TotalRecorder\TotRecSched.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\lotus\organizer\organize\easyclip6.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Hijackthis\HijackThis.exe C:\Programme\mozilla\mozilla.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: Lotus Organizer EasyClip.lnk = ? O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organizer\organize\bandobjs.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4337CD-A1DD-41C9-A5A1-09836C92923D}: NameServer = 217.237.149.225 217.237.151.97 O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\k4pm0e71eh.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe ... bis auf den eintrag O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\k4pm0e71eh.dll ich glaube, der macht ärger. ich kann ihn nur vorübergehend fixen, nach einem neustart ist er wieder da (auch wenn ich ihn beim rebooten von hijackthis löschen lasse), heißt dann aber anders. wie kriege ich was auch immer da bei mir im hintergrund läuft und ständig meine dsl-verbindung aufmachen will (um auf ad-w-a-r-e.com zuzugreifen) wieder los. sitze jetzt schon seit 5 stunden genervt vor der kiste... besten dank für hinweise und fröhliche grüße! |
Hi, Haste mal diesen Eintrag gefixt? O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe Gruss |
jep, es ist der winlogon notify eintrag. lösche die datei k4pm0e71eh.dll im ordner c:\windows\system32 im abgesicherten modus. dann fixe (auch im abgesicherten modus) den eintrag mit winlogon notify. starte neu und poste ein neues hijackthis log. |
ich oute mich jetzt mal als absoluter neuling. 1. also, wenn ich den rechner runterfahre und dann im abgesicherten modus wieder starte (kann man denn auch anders in den abgesicherten modus wechseln?), dann gibt es das dll-file nicht mehr im ordner. es heißt plötzlich wieder anders, zur zeit steht in meinem hickjackthis-log: O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\enr6l19s1.dll 2. wie fixe ich denn den eintrag mit winlogon notify? was ist das? wo finde ich das? habe davon leider (bisher) keine ahnung, hoffe aber auf einfache erklärung! dankeschön schon mal! |
habe mit killbox.exe versucht, das dingen los zu kriegen... nix geholfen - jetzt findet hijackthis diesen eintrag O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\en6ql1j51.dll |
@Odo Im Windows-Explorer: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Zitat Haui45 diese datei C:\WINDOWS\system32\en6ql1j51.dll in den abgesicherten modus manuell löschen , eventuell mit amokdelay amokdelay chaosman |
Starte den PC im abgesicherten Modus. Scanne mit HjT. Merke dir den Namen des O20-Eintrags. Fixe den Eintrag und lösche die zugehörige Datei. Sie ändert ihren Namen nach jedem Neustart. |
leider kann ich die datei (auch im abgesicherten modus) nicht löschen, nachdem ich sie mit hjt identifiziert habe. wenn ich sie manuell löschen will, kommt immer die fehlermeldung: "diese datei kann nicht gelöscht werden. sie wird momentan von einem anderen programm genutzt. schließen sie alle programme und versuchen sie es erneut" (typische windows-fehlermeldung!) - und auch wenn alle anderen (offensichtlichen) programme geschlossen sind, kann ich sie nicht löschen. und ja, nach jedem neustart heißt die datei anders, das ist ja glaube ich eines der hauptprobleme! also löschen kann ich sie nicht im abgesicherten modus, killbox hilft auch nix. "alle dateien und ordner" anzeigen, ist bei mir längst eingestellt, "geschützte systemdateien ausblenden" ist ebenfalls deaktiviert. was nun? ich krieg den o20-eintrag nicht los. momentan heißt er: O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\l4p20e7oeh.dll |
Versuch's mal damit. Ich hab's aber noch nicht selbst getestet! |
leider kapiere ich nicht, wie das programm funktioniert. entpacke ich die .zip-datei und klicke auf die exe, steht da: "Usage: dellater.exe <filename>". mehr passiert nicht und ich habe keine ahnung, wie man das nun anwendet... |
Versuch mal, ob du die Datei jetzt löschen kannst. Also ausführen -> abgesicherter Modus-> löschen |
geht immer noch nicht... wie gesagt, irgendwie weiß ich nicht, wie dellater funktioniert... steht auch nicht in der readme... da heißt es nur: DESCRIPTION: DelLater allows you to mark files to be deleted the next time Windows starts. This is useful for times when a file can't be deleted because it's in use, and this is the method used by anti-virus scanners when they're unable to delete files for that reason. All efforts were made to ensure that DelLater adheres to the guidelines outlined in the MoveFileEx documents (Platform SDK - Microsoft Developer Network), including using two seperate methods as required (one for 95/98/ME, the other for NT/2K/XP/2003). http://msdn.microsoft.com/library/de...movefileex.asp This package contains three files: readme.txt (1140 bytes) - This file dellater.asm (3417 bytes) - Assembly source code dellater.exe (2560 bytes) - Program file For more security software, visit our website: http://www.diamondcs.com.au wie funzt es denn nun genau? gibts eventuell noch andere möglichkeiten? |
@ ODO Führe beide Tools aus und poste jeweils die Logs: -Lade DllCompare. Doppelklick auf DllCompare.exe -> Run locate.com -> wenn der Scan erfolgt ist 'Compare' klicken -> wenn auch dieser Scan fertig ist 'Make a Log of what was found' klicken -> Inhalt des Logs posten. - Lade FindItNt2000XP.zip und entpacke es auf Laufwerk C:. Öffne danach den Ordner 'Find It NT-2K-XP’ und führe die 'find.bat’ aus. Wenn der Scan abgeschlossen ist, wird ein Log-File (output.txt) ausgegeben. Dies solltest du abspeichern und den Inhalt hier posten. Wichtig: Führe kein Reboot aus! |
irgendwie schmieren mir beide programme immer ab. kann mit keinem ein logfile speichern. habe aber in einem ordner "find-it" folgende txt gefunden. ------------- Locate.com Results ------------- C:\WINDOWS\SYSTEM32\ smmpsnap.dll Sun 10 Apr 2005 13:31:12 ..S.R 233.843 228,36 K pdrfos.dll Sun 10 Apr 2005 12:29:34 ..S.R 233.248 227,78 K dtmsvinn.dll Sun 10 Apr 2005 12:33:48 ..S.R 233.248 227,78 K pkdgen.dll Sun 10 Apr 2005 17:11:26 ..S.R 235.085 229,57 K knrnel32.dll Sun 10 Apr 2005 18:24:34 ..S.R 233.004 227,54 K swdpsrv.dll Sun 10 Apr 2005 19:18:14 ..S.R 234.906 229,40 K mbvcrt20.dll Sun 10 Apr 2005 19:44:02 ..S.R 233.067 227,60 K hmpertrm.dll Sun 10 Apr 2005 21:42:16 ..S.R 235.108 229,60 K dxnet.dll Sun 10 Apr 2005 19:59:46 ..S.R 235.108 229,60 K diound.dll Sun 10 Apr 2005 21:38:16 ..S.R 233.067 227,60 K fn4021~1.dll Sun 10 Apr 2005 19:54:52 ..S.R 235.108 229,60 K u0ru0a~1.dll Sun 10 Apr 2005 12:33:48 ..S.R 234.238 228,75 K k6jslg~1.dll Sun 10 Apr 2005 19:44:02 ..S.R 234.783 229,28 K irp0l5~1.dll Sun 10 Apr 2005 21:41:16 ..S.R 233.067 227,60 K k0js0a~1.dll Sun 10 Apr 2005 19:58:54 ..S.R 233.067 227,60 K f6j2lg~1.dll Sun 10 Apr 2005 21:36:48 ..S.R 235.108 229,60 K 16 items found: 16 files, 0 directories. Total of file sizes: 3.745.055 bytes 3,57 M -------- Strings.exe Qoologic Results -------- und das sind haargenau die selben (ohne ausnahme) *.dll-files, die auch dllcompare gefunden hat, obwohl sich das programm wie gesagt immer aufhängt, wenn ich auf "make a log file" klicke. hilft das irgendwie? mein aktuelles hijackthis-logfile: Code: Logfile of HijackThis v1.99.1 |
Unter 'Strings.exe Qoologic Results' und 'Strings.exe Aspack Results' sind keine Einträge vorhanden?! Anschliessend diesen Eintrag fixen: Zitat:
[1] Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\f6j2lg1o16.dll -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die zwei folgenden Fragen mit JA und NEIN beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit JA und ein Reboot wird durchgeführt. Poste anschliessend ein neues HJT Log-File. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board