![]() |
So hallo, da bin ich wieder und habe haufenweise logs mitgebracht. Erstmal der escan log: File C:\WINDOWS\System32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken. File C:\WINDOWS\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken. Dann den hijckthis log: Logfile of HijackThis v1.98.2 Scan saved at 09:52:16, on 12.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local Wobei ich diesen: R3 - Default URLSearchHook is missing log nach dem scan gefixed habe. Und nun der FindnFix log: Teil1 Thu 12 Aug 04 10:37:02 »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» *System: Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600) *IE version: 6.0.2800.1106 SP1-Q832894-Q831167-Q837009-Q823353-Q867801 __________________________________ !!*Creating backups...!! The operation completed successfully __________________________________ *Local time: Donnerstag, 12. August 2004 (12.08.2004) 10:37, Westeuropäische Sommerzeit *Uptime: 10:37:04 up 0 days, 0:01:06 ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) User is a member of group CHEF1\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group \LOKAL. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! User: [CHEF1\Administrator], is a member of: VORDEFINIERT\Administratoren \Everyone »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder »»»»»»»»»»»»»»»»»»***LOG!***(*updated 8/11)»»»»»»»»»»»»»»»» »»»*»»»*Use at your own risk!»»»*»»»* Scanning for file(s)... »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Locked or 'Suspect' file(s) found... C:\WINDOWS\SYSTEM32\D3D.DLL +++ File read error \\?\C:\WINDOWS\System32\D3D.DLL +++ File read error »»»»» (*2*) »»»»»........ D3D.DLL Can't Open! DSOUND3D.DLL Can't Open! »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» ¯ Access denied ® ..................... D3D.DLL .....57344 07.07.2004 ¯ Access denied ® ..................... DSOUND3D.DLL ...1293824 18.08.2001 »»»»»(*6*)»»»»» fgrep: can't open input C:\WINDOWS\SYSTEM32\D3D.DLL fgrep: can't open input C:\WINDOWS\SYSTEM32\DSOUND3D.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... C:\WINDOWS\SYSTEM32\ d3d.dll Wed 7 Jul 2004 13:59:06 ..... 57.344 56,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 57.344 bytes 56,00 K No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\D3D.DLL SNiF 1.34 statistics Matching files : 1 Amount in bytes : 57344 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» |
Und den FindnFix log: Teil2 BHO search... fgrep: can't open input C:\WINDOWS\SYSTEM32\D3D.DLL fgrep: can't open input C:\WINDOWS\SYSTEM32\DSOUND3D.DLL **File C:\WINDOWS\SYSTEM32\LBMBMBA.DLL 00002004: A4 62 2A DF D5 7E 05 00 . 00 00 00 00 B6 31 03 80 ¤b*ßÕ~.. ....¶1.€ "C:\WINDOWS\system32\" lbmbmba.dll 12 Aug 2004 30720 "lbmbmba.dll" 1 item found: 1 file, 0 directories. Total of file sizes: 30.720 bytes 30,00 K »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value does not match ________________________________ »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***) DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (NI) ALLOW Read VORDEFINIERT\Benutzer (IO) ALLOW Read VORDEFINIERT\Benutzer (NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access VORDEFINIERT\Administratoren (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Read VORDEFINIERT\Hauptbenutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: ? 00001190: vk 8 f AppInit_ 000011D0:DLLs G C : \ W I N D O W S \ S y s t e m 3 2 \ d 3 d . d l 00001210:l vk P UDeviceNotSelectedTimeout 00001250: 1 5 _ 9 0 x, vk ' zGDIProce 00001290:ssHandleQuota" vk Spooler2 y e s h 000012D0: p vk =pswapdisk vk 00001310: ` R TransmissionRetryTimeout p 00001350: X vk ' bBUSERProcessHandleQuota x 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæGÀÿÿÿC -------------- -------------- $011C8: AppInit_DLLs $01237: UDeviceNotSelectedTimeout $01287: zGDIProcessHandleQuota $01320: TransmissionRetryTimeout $0136E: bBUSERProcessHandleQuota -------------- -------------- C:\WINDOWS\System32\d3d.dll -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 Ntdll.DLL at 77F40000 Kernel32.DLL at 77E40000 NtQueryInformationFile (Entry at 2AE6BA80) restored to 77F4BDA8 NtQuerySystemInformation (Entry at 2AE69267) restored to 77F4BF08 LdrUnloadDll (Entry at 2AE66289) restored to 77F50A4A LdrLoadDll (Entry at 2AE66F1F) restored to 77F46F1B RtlGetNativeSystemInformation (Entry at 2AE69BDC) restored to 77F4BF08 RtlQueryProcessDebugInformation (Entry at 2AE69966) restored to 77F5C470 .......... *Debug... -------------- -------------- A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 56 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "C:\WINDOWS\System32\d3d.dll" 0000 43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00 | C.:.\.W.I.N.D.O. 0010 57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00 | W.S.\.S.y.s.t.e. 0020 6d 00 33 00 32 00 5c 00 64 00 33 00 64 00 2e 00 | m.3.2.\.d.3.d... 0030 64 00 6c 00 6c 00 00 00 | d.l.l... ----------------------- »»»»»»Backups list...»»»»»» 10:40:51 up 0 days, 0:04:53 Thu 12 Aug 04 10:40:51 C:\FINDNFIX\ keyback.hiv Thu 12 Aug 2004 10:37:02 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Thu 12 Aug 2004 10:37:02 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\Administrator.CHEF1\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 9 Aug 2004 8192 "keyback2.hi_" winkey2.re_ 9 Aug 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K C:\FINDNFIX\ JUNKXXX Thu 12 Aug 2004 10:37:02 .D... <Dir> 1 item found: 0 files, 1 directory. -----END------ Thu 12 Aug 04 10:40:53 mfg aces |
HI, habe jetzt mal mit pestpatrol gescannt, leider ist es nur eine testversion, und ich kann nicht ausprobieren ob es wirklich abhilfe schaffen würde. Hier ist auch mal der log zu dem scan: OS: Windows XP Product Edition: Evaluation PestPatrol version: 07.06.2004 4.4.3.24 PPServer.dll version: 26.01.2003 PPMemCheck version: 02.04.2004 PestPatrolCL version: 07.06.2004 4.4.3.19 PPUpdater version: 03.05.2004 4.4.3.36 PPfile.dat version: 29.05.2004 PPInfo.dat version: 29.05.2004 Spyware.dat version: 29.05.2004 Pests found: BargainBuddy,HKEY_LOCAL_MACHINE\software\classes\interface\{9388907f-82f5-434d-a941-bb802c6dd7c1},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU CWS.GoogleMS.3,HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com,na,na,12.08.2004,00-04-76-DC-6D-BE,DEU EGroup Directory,C:\Programme\instant access,na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{014da6c9-189f-421a-88cd-07cfe51cff10},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d2-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d3-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d5-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d7-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0db-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown BHO,HKEY_LOCAL_MACHINE\software\classes\clsid\{014da6c9-189f-421a-88cd-07cfe51cff10},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Unknown Hijacker,HKEY_CLASSES_ROOT\clsid\{0494d0de-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU Vielleicht hilft das ja weiter, ich weiß wirklich nicht mehr was ich machen soll. mfg acesulfam |
Hallo, hier haben wir vermutlich die Übeltäter: Zitat:
regsvr32 /u c:\windows\system32\D3D.DLL regsvr32 /u c:\windows\system32\DSOUND3D.DLL regsvr32 /u c:\windows\system32\LBMBMBA.DLL Anschließend solltest Du die 3 Dateien auffinden und löschen können. Scanne dann noch einmal mit einem (aktualisierten!) eScan im abgesicherten Modus, boote neu und erstelle ein neues Log mit HijackThis. |
Werde ich mal wieder tuen, der escan ist immer vorher geuppt, man will ja sicher gehen^^ , den lambada.dll eintrag, werde ich leider nicht mehr finden, da dies die datei ist die von den ganzen antivirenprogs gefunden wird. Da sich aber ja immer sehr schnell eine neue einstellt, gibts sicher keine probleme einen adaquaten ersatz zu finden. eine frage zum escan hätte ich aber noch: Installiert ist er in c:\bases , nach einem update wird allerdings ein weiterer ordner erstellt, in dem die ganzen (glaube .vcr dateien liegen), ist er trotzdem auf dem neusten stand? mfg aces |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
|
Hmm, folgende probleme: bei der eingabe den regsvr32-befehls, kommt bei beiden folgende fehlermeldung: c:\windows\system32\d3d.dll wurde geladen, aber der DllUnregisterServer-Eingangspunkt wurde nicht gefunden. Diese Datei kann nicht registriert werden. Außerdem ist die \system32\d3d.dll nicht aufzufinden, jeglich die dsound3d.dll, befindet sich noch im ordner. So was nun? mfg aces |
Zitat:
|
Hallo, hatte heute leider nur begrenzt zugriff auf den pc und konnte daher die ganze escan/hijackthis prozedur nicht nochmal laufen lassen. Habe aber mal eine vollversion von pestpatrol drüberlaufen lassen, die hat dann noch einiges mehr gefunden und ich hab mal wild drauflosgelöscht :D Und ich muß sagen, der rechner läuft jetzt erstmals mehrere stunden und internetbesuche ohne virenmeldung. Daher werde ich die escan//.. logs erst wieder am montag posten, damit der rechner und mein vater zeit haben sich was neues einzufangen :D Die restore.bat hab ich mal gestartet und dort kam dann eigentlich immer nur die meldung, dass die datei nicht gefunden wird. Sollte der pc jetzt endlich wieder funzen, danke ich euch aus tiefsten herzen :knuddel: werde ich auf dem laufen halten, bis dann aces Edit: mein dad hats wieder geschafft, der rechner lief stundenlang problemlos, er geht ran und zack isser wieder da :headbang: :headbang: :headbang: :headbang: Komme jetzt nicht mehr an ihn ran, alle neuen logs gibts dann morgen oder am montag -> will dieses wochenende glaube ich nix mehr von dem hören. bis dann |
JA hallo, da bin ich wieder, also hatte wirklich keine lust das we lang irgendwas von ihm zu hören :D Hab noch ein paar mal alle scanner laufen lassen, allerdings taucht er in unregelmäßigen abständen immer mal wieder auf. Da nun aber die entscheidung gefallen ist diesem pc ein jungfräuliches grundgerüst zu geben bin ich glaube ich soweit meinen freund trojan.win32 zum sieger durch technisches K.O. zu erklären. Falls jemanden auf die schnelle noch was einfällt, kann er das gerne posten, schließlich kann ich nun ja etwas risikobereiter an die sache rangehen :D Wenn nicht ist auch gut und ich bedanke mich bei euch allen für die hilfe. mfg aces |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board