Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   C:\Windows\System32\d3dyk36mn.dll (https://www.trojaner-board.de/123401-c-windows-system32-d3dyk36mn-dll.html)

EinBenutzer1 03.09.2012 15:30
C:\Windows\System32\d3dyk36mn.dll
 
Guten Tag meine Damen und Herren vom Trojaner Board.

Eines Tages startete ich meine Laptop und bemerkte das mein WLan nicht funktionierte, obwohl der Regler auf Empfang eingestellt war, noch konnte ich irgendwelche Dateien/Programme öffnen/ausführen.

Danach "fragte" ich Google und bekamm einige Vorschläge die mir nicht geholfen haben.

Im laufe des Tages scannte ich meinen Laptop mit dem im Forum empfohlenen Viren-/Malware Scannern (Scan Logs im Anhang) und bekamm dann eine seltsame DLL- Datei (siehe Überschrift) die ich in Google eingab, fand aber nichts, dies dieses Problem beheben könnte.

Darum würde ich mich sehr freuen wenn jemand mir helfen könnte.
MFG EinBenutzer1

markusg 03.09.2012 16:42
hi
unser kolege aht wird diesen pc übernemen, nichts mehr bereinigen bitte, keine scans mehr.

AHT 03.09.2012 17:17
Der 64Bit IE dürfte noch gehen - probiere den aus.
Tue das:
  • Von hier Lanmancheck.exe herunterladen und ausführen.
  • Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.

Danach das tun:
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.

Dann das:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.reg
END->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.


Zur Info: Du hast dir einen Mediyes Trojaner eingefangen. Der Trojaner läuft auf deinem System unter Umständen bereits sehr lange. Mediyes kann sich nachladen, wenn der Trojaner nicht komplett beseitigt wird. Bleibe, nachdem du die Scanergebnisse gepostet hast, online. Es wird recht schnell eine Antwort von mir geben.

EinBenutzer1 03.09.2012 22:23
Vielen Dank für diese schnelle Hilfe.
Wie besagt habe ich den Lanmancheck scan hier:

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptwxrw90.dll
Geladene DLL: C:\Windows\System32\aptwxrw90.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 0ADB6EB3DFF248D3AB97A4D10EA38EE0

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 85CF424C74A1D5EC33533E1DBFF9920A

Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!
Die im Dnscache Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten!

EinBenutzer1 03.09.2012 22:56
Hier sind die PPFSscan Files:

AHT 04.09.2012 06:42
Probleme hast du scheinbar bereits seit September 2011 mit dem Trojaner.
Spätestens seit Janaur 2012 lief dein kompletter Internetverkehr über die DLLs des Trojaner.
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPFS_Sicherung\NameSpace_Catalog5.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPFS_Sicherung\Telephony.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.reg
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->Opera.exe
KILL_PROCESS->svchost.exe

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2

SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
->Num_Catalog_Entries
->6
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
->000000000007

REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4


KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->Opera.exe
KILL_PROCESS->svchost.exe

MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt0wdt2.tsp>C:\PPFS_Sicherung\xpt0wdt2.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\aptwxrw90.dll>C:\PPFS_Sicherung\aptwxrw90.dll
DELETE_FILE_ON_REBOOT->C:\Windows\system32\d3dyk36mn.dll

REBOOT->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu. Melden, ob der Rechner sich neu gestartet hat!

Danach noch einmal das tun:
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.

Ich das erledigt, sind wir noch nicht fertig!

PS: Den, der deinen Druckertreiber geschrieben hat, sollte man erschießen.

Irrtum - hab mich versehen. Seit Dezember 2011 infiziert.

EinBenutzer1 04.09.2012 09:57
Wie sie sagten, habe ich den Code eingegeben und der Laptop hat sich Neugestartet.
Im Anhang finden sie die Scanfiles.

AHT 04.09.2012 10:13
Das Ding ist erst mal deaktiviert.
Folgendes tun:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPFS_Scan2
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111210,20120130,20120201
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf
->CompanyName

COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.
  • Der Scan kann mehrere Stunden dauern - kannst nebenbei am Rechner weiterarbeiten.

Nicht erschrecken, Virenscanner kann sich zwischendurch melden.

EinBenutzer1 04.09.2012 11:18
Wie sie im nächsten Schritt angegeben haben sind hier die Dateien:

AHT 04.09.2012 11:39
Ist deine Systemwiederherstellung deaktiviert oder ist die aktiv?
  • Startleiste
  • Systemsteuerung
  • System und WartungSystem
  • Erweiterte Systemeinstellungen
  • Registrierkarte Computerschutz
  • Screenshot machen

###################################

Auf deinem Rechner befindet sich ein Ordner C:\PPFS_Sicherung.
Lade sämtliche Dateien, die sich in dem Ordner befinden, hier hoch: Trojaner-Board Upload Channel
Lösche danach den Ordner und leere den Papierkorb.

####################################

Dann das tun:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPF_Scan3
COPY_FILE->C:\Users\Viktor\AppData\Local\Microsoft\Internet Explorer\Recovery\Active\{88A5BF11-234A-11E1-BF72-002622EEFED8}.dat>C:\PPF_Scan3\1.dat
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\PTP9I1S4.txt>C:\PPF_Scan3\2.txt
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\HHCF3HUB.txt>C:\PPF_Scan3\3.txt
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\FWD0AF5Z.txt>C:\PPF_Scan3\4.txt
END->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.

EinBenutzer1 04.09.2012 14:37
Liste der Anhänge anzeigen (Anzahl: 1)
Hier ist ein Screenshot (Hoffentlich ist es das Bild was sie benötigen).

EinBenutzer1 04.09.2012 15:26
Bitte dieses Kommentar löschen!

AHT 04.09.2012 16:26
Mein Fehler - geht unter 7 anders:
  • Startleiste
  • Systemsteuerung
  • System und Wartung
  • System
  • Computerschutz
  • Registrierkarte Computerschutz
  • Screenshot machen

#######################################

Wenn die anderen Sachen durchgeführt wurden, befindet sich jetzt ein Ordner C:\PPF_Scan3 auf dem Rechner.
Dieser Ordner enthält einige Dateien die mir unter Umständen Aufschluss darüber geben könnten, was an einem bestimmten Tag passiert ist, an dem Sie sich das wohl eingefangen haben.
Was Sie an dem Tag getan haben, geht niemandem im Internet etwas an. Ich möchte deshalb nicht, dass das hier hochgeladen wird.
Wenn Sie damit einverstanden sind, das ich mir diese Dateien ansehe, machen Sie folgendes (ansonsten überspringen Sie den Schritt):
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
SEND_MESSAGE->92.252.12.119
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->92.252.12.119
->84
->C:\PPF_Scan3
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
  • Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

EinBenutzer1 04.09.2012 17:06
Liste der Anhänge anzeigen (Anzahl: 1)
Hier das Screenshot
Der PPFScan Ordner habe ich ihnen gesendet.

AHT 04.09.2012 17:12
Bitte einmal in den Postkasten schauen und PM lesen.

Das jetzt tun:
Lade die TDSSKiller.exe herunter und speicher sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze zusätzlich einen Haken bei Loaded modules
Bestätige die Meldung "Reboot is required" mit Reboot now
Das System wird ein Neustart durchführen
Nach dem Neustart öffnet sich der TDSSKiller automatisch
Klicke erneut auf Change parameters
Setze zusätzlich bei Verify file digital signatures und Detect TDLFS file system einen Haken.
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.x.x.x_Tag.Monat.Jahr_Datum_log bitte hier als Anhang hoch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:19 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131