tmpf00.exe und ein hartnäckiger trojaner
 

hallo alle,
musste mich hier anmelden, weil ich seit 3 tagen einen hijacker
oder trojaner auf meinem W2000 system habe.

zur analyse benutze ich filemonitor;antiVir;spyBot;adaware;spywareBlaster ...

es läuft: avg Free (virus gard) ; zoneAlarm; antiVirus.

grund: abschaltung von zonealarm und ausführen eines js :-( bin selber schuld.
was passiert:
im taskm. steht ab und an eine datei mit dem namen tmpf00.exe oder
tmpf01.exe d.h die zahl hinten zählt hoch.

im WINNT folder eine datei tmpf00.exe anzulegen und diese schreibzuschützen bringt nix. er macht dann eben eine tmpf01.exe

ist die tmpfnm.exe aktiv zeigt der filemonitor zugriffe von dort auf verschiedenste dateien an. auch dll dateien.

weiterhin sind scheinbar beteiligt:
EPLRR3.DLL und wtwirl.dll

inzwischen ist glaube ich auch mein guter mozilla infiziert :-(

verschiedene anti-trojaner/virus/hicjacker programme zeigen
verschiedene probleme an und BEHEBEN SIE JEDESMAL !
die ursache allen übes wird scheinbar nicht gefunden :-(
daher ist er noch auf meinem system.

auch das starten der antiprogramme im abgesicherten modus hat nix gebracht.

bitte helft mir,
sonst mache ich C: platt und muss die software alle neu installieren.

viele grüsse,
elo

Hi,
poste bitte mal ein HiJackThis Logfile.
Dann sehen wir weiter.
cacatoa

hi cacatoa, hier die daten:

:::::::::::::::::::::::::::::::::::::::::::::::::::.
Logfile of HijackThis v1.99.0
Scan saved at 15:18:53, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\anwender\VIRUS_~1\avgamsvr.exe
E:\anwender\VIRUS_~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
E:\anwender\VIRUS_~1\avgcc.exe
E:\anwender\antivirus\AVGNT.EXE
E:\anwender\zoneAlarm\zapro.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
E:\anwender\filemonitor_gut\Filemon.exe
E:\anwender\firefox\firefox\firefox.exe
D:\burnAnwender_29_12_03\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP
O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8478D3D0-26FF-4589-8242-04BB58C94445}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
::::::::::::::::::::::::::::::::::::::::::.

vielen dank,
elo

Hallo,
folgende im abgesicherten Modus mit HiJackThis fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1

Dann normal booten.
Diese Datei:
C:\WINNT\system32\eplrr3.dll bitte mal online bei Jotti scannen lassen.
Bitte berichte über das Ergebnis und poste ein neues Logfile.
cacatoa

hallo ,

der im abgesichtern M. durchgeführte scan:
::::::::::::::::::::::::::::
Logfile of HijackThis v1.99.0
Scan saved at 15:53:49, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
D:\burnAnwender_29_12_03\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP
O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe
O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
:::::::::::::::::::::::

(die dll datei konnte erst nicht hochgeladen werden.
filemonitor sagt "FILE_LOCK_Conflict"
habe die datei nach c: kopiert und dann von dort hochgeladen!
jotti ergebniss:

*******************************

File: eplrr3.dll
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
TR/Proxy.Small.AH.1 (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Trojan.Proxy.Small.AH (0.65 seconds taken)
ClamAV
No viruses found (0.83 seconds taken)
Dr.Web
Trojan.Proxy.164 (1.05 seconds taken)
F-Prot Antivirus
No viruses found (0.11 seconds taken)
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Small.ah (0.73 seconds taken)
mks_vir
Trojan.Proxy.Small.Ah.Gen (0.72 seconds taken)
NOD32
No viruses found (1.07 seconds taken)
Norman Virus Control
No viruses found (0.46 seconds taken)

Statistics
Last piece of malware found was Win32/Padodor.NAQ in x.chm, detected by:

Scanner Malware name Time taken
AntiVir X 0.14 seconds
Avast X 1.51 seconds
BitDefender Exploit.Html.Codebase.Exec.Gen 0.32 seconds
ClamAV Exploit.CodeBaseExec 0.35 seconds
Dr.Web X 0.52 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.WinShow.aq 0.66 seconds
mks_vir X 0.20 seconds
NOD32 Win32/Padodor.NAQ 0.42 seconds
Norman Virus Control X 0.13 seconds
*********************


danke ,
daniel

Also;
im abgesicherten Modus sollst Du die von mir genannten Dateien fixen, nicht nochmal scannen.
Außerdem die bei Jotti gesacannte auch fixen und manuell (ebenfalls noch im abgesicherten Modus) löschen.
Dann neues Logfile im normalen Modus erstellen und posten.
Bin jezt mal zwei Stunden weg; aber die anderen helfen dir sicher auch gleich weiter.
cacatoa

diese eplrr3.dll,

wurde von meinen programmen schon erkannt und des öfteren gelöscht.
irrgendwann taucht sie dann wieder auf :-(

mfg,
daniel

Wechsle in den abgesicherten Modus, fixe die von cacatoa genannten Einträge (mit HjT scannen, Häkchen setzen und "fix checked" klicken), lösche die besagte Datei manuell. Dann im normalen Modus neues Logfile erstellen. Falls keine Besserung eintritt, das ganze im abgesicherten Modus bei deaktivierter Systemwiederherstellung wiederholen.

im AG modus waren die scanne wie zuletzt im normal modus:

:::::::::::::.
Logfile of HijackThis v1.99.0
Scan saved at 16:30:49, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\anwender\VIRUS_~1\avgamsvr.exe
E:\anwender\VIRUS_~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
E:\anwender\VIRUS_~1\avgcc.exe
E:\anwender\antivirus\AVGNT.EXE
E:\anwender\zoneAlarm\zapro.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
E:\anwender\filemonitor_gut\Filemon.exe
D:\burnAnwender_29_12_03\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP
O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe
O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll (file missing)
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

:::::::::::::::::::::

es fehlen also die gefixten einträge.
zapro.exe
und hijack This.exe
wollen gleich nach systemstart auf die eplrr3.dll zugreifen
aber es kommt FILE_NOT_FOUND.

der taskM. ist sauber.
ich habe noch angst vor der mozilla.exe die analys. ich nochmal.
wenn nicht wird mozilla neu installiert.

so, mal sehen ob der trojaner sich nochmal zeigt.

vorerst vielen vielen dank !,
daniel

ok, da ist er wieder !!!!

mozilla hatte ich deinstalliert und komlpettes verzeichniss gelöscht !!

danach 1.7.5 installiert

warum waren da auf einmal alle bookmarks drin ?
hat der die irrgendwo noch gefunden (aus firefox vielleicht)

oder gibt es irgendwo einen folder, wo daten des
mozillas gespeichert werden und vielleicht auch der trojaner ?

filemonitor sagt:

mozilla.exe irp_mj_create ....system32/tmpf00.exe
usw.
tmpf00 greift auf verzeichniss zu von mozilla.
auf:

system32/inst.exe
mozilla_175/inst.exe
system32/Wbem/inst.exe
system32/mtwcnl.dll
system32/nthsc32.dll
system32/mtwirl.dll
system32/icnfe.dll
auf die dectop.ini
jscript.dll

und etliche mehr.

ich wiederhole nun erstmal den vorgang von vorhin!
melde mich gleich,
daniel

also, nun ...
nach start im AG. modus konnte das hijack programm nichts mehr finden.
auch läufe von antivirus u.ä ergaben nichts.

die eprr.dll konnte ich wieder von hand löschen
habe mal die regestrie durchsucht:
:::::::::::::::::::::::


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}

dort stehen sie alle drin: tmpf...;eprr*.dll usw.

habe ich gelöscht !

HKEY_USERS\S-1-5-21-725345543-963894560-839522115-500\Software\Classes\CLSID\{DABB03E9-AC0D-3740-E3E5-4B37C80837E5}\InProcServer32
und
HKEY_USERS\S-1-5-21-725345543-963894560-839522115-500_Classes\CLSID\{DABB03E9-AC0D-3740-E3E5-4B37C80837E5}\InProcServer32

da steht die datei ...mtwirl.dll

:::::::::::
warum gab es von ad aware keinen anschlag wegen der regestrie.
kann es sein, das dieser trojaner das komplette system , sprich alle
anti-trojaner-programme verändert.

habe mozilla nochmal gelöscht.
wo um alles in der welt kann man firefox deinstallierne.
unter "software" stand kein eitrag drin.

daher habe ich den folder gelöscht
und unter C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
den folder mozilla.

wo könnte der trojaner sich den noch verstecken ?

viele grüsse,
daniel

Um etwas Licht ins Dunkel zu bringen ->
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

so hier die ergebnisse:
::::::::::::::::::::::.

File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\B0Cwg.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\gE0Cw.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\xAsBf.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-725345543-963894560-839522115-500\Dc2.exe infected by "Trojan-Proxy.Win32.Small.ah" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-725345543-963894560-839522115-500\Dc5.dll infected by "Trojan-Proxy.Win32.Small.ah" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\B0Cwg.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\gE0Cw.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\xAsBf.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken.
File D:\burnAnwender_29_12_03\2004_11_20_babylon_translator\Babylon Pro 5.0 Translator Corporate tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
::::::::::::::::::::::

was soll ich machen ?

grüsse,
daniel

Danke an cidre!
Jetzt schauts schon anders aus.
Hier die Beschreibung zu Deinem Backdoor-Troj
Dann hast Dunoch den da drauf und den:
Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Daten , auch Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden.
Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird.
lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten:
'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold',
'pecunix', 'moneybookers.com'.
Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet.
lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten.
Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\eplrr =
<HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll
(wobei <CLSID> variabel ist.)
Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
usw.
eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter.
Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden.
Diese Erklärung kommt von board.protecus.de
Deshalb rate ich Dir nun, das System neu aufzusetzen.
halte dich an alle Anweisungen im Link.
Sorry
cacatoa

ich frage nochmal nach:

1) was heisst system?
es geht sicher um meine c partition.

ok, kann ich machen, ist halt arbeit alle programm neu zu installieren :-(
warum gibt es hierzu keine lösung.

wieso gibt es keinen virenscanner der das kann.
was ist mit escan 2003, der hat den virus schlieslich gefunden?

grüsse,
daniel