|
DYFUCA... und (fast) nix geht mehr! hi @ all! bin via google auf trojaner-board aufmerksam geworden und glaube, das hier einige leute mit viel köpfchen schreiben :) vielleicht kann mir jemand helfen?! habe anscheinend einen trojaner namens "DYFUCA" auf meinen pc. antivir bringt brav die meldung, bekommt ihn aber nicht gelöscht. jede menge ie-fenster (trotz standardeinstellung opera!) öffnen sich und nichts lädt mehr... 5 minuten ladezeit für eine ebayseite und sporadisch bin ich dann mal gar nicht mehr im netz. ad-aware und spybot kriegens ebenfalls nicht hin. cw-shredder: (wem´s vielleicht was sagt...) Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (847 bytes, A) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Found Win.ini file: C:\WINDOWS\win.ini (1031 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (451 bytes, A)cw-shredder hijackthis: (den ersten teil hab ich mir aus platzgründen gespart...) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;gopher=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080;https=www-proxy.netcologne.de:8080;socks=www-proxy.netcologne.de: O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zpyoktejbimd] C:\WINDOWS\System32\kloqyk.exe O4 - HKLM\..\Run: [rql] C:\WINDOWS\rql.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe O4 - HKLM\..\Run: [Microsoft Update Machine] servicz.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DivX Player] DivXPlayer.exe O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Daniel\del-me.exe O4 - HKLM\..\Run: [sysedit Win32] sysedit32.exe O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [winservit] cassl.exe O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] servicz.exe O4 - HKLM\..\RunServices: [DivX Player] DivXPlayer.exe O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe O4 - HKLM\..\RunServices: [sysedit Win32] sysedit32.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe O4 - HKLM\..\RunServices: [winservit] cassl.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\soht.exe O4 - HKCU\..\Run: [DivX Player] DivXPlayer.exe O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [sysedit Win32] sysedit32.exe O4 - HKCU\..\Run: [winservit] cassl.exe O4 - Global Startup: talk&surf 5.1 Monitor.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...140.3210648148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 213.168.112.60 194.8.194.60 hab keine ahnung, was davon gelöscht werden darf... ebenso mit escan im abgesicherten modus - 3 stunden laufzeit: 57 verdächtige dateien und die warnung, das man nix einfach so davon löschen sollte. also alles lieber so lassen... außerdem hab ich keine möglichkeit gehabt diese 57 dateien irgendwie zu speichern. ich glaub die frührere version war ein bisschen netter - da wurde gleich von escan alles bedenkliche gelöscht, oder? ansonsten weiß ich mir keinen rat mehr, kenne mich leider nicht übermäßig gut aus - aber ich versuche es wenigstens. wenn mir jemand einen tipp geben kann (bitte erklären, als wäre ich 6 jahre alt :heilig: ) DAAAAANNNKEEEE schonmal !!! |
Hallo, gerade der 'erste Bereich' mit den laufenden Prozessen wäre immens wichtig gewesen, aber der zweite Teil ist in deinem Fall, für eine Auswertung völlig ausreichend. Daran lässt sich erkennen, dass etliche Würmer/Trojaner mit Backdoor Funktionalität aktiv waren oder immer noch sind, wie z.B. Worm Rbot APR, W32/RBot-PI usw. Zitat:
|
danke für die schnelle antwort...! das hatte ich fast befürchtet :heulen: gibt´s echt keine möglichkeit die backdoors manuell zu entfernen?! bevor ich das system neu aufsetze (liest sich in deiner signatur leider nicht so, als wär das mal eben neben ner tasse kaffee zu bewältigen *seufz*), würde ich doch einige meiner dateien auf cd-roms sichern... besteht da nicht die möglichkeit, dass ich den dyfuca gleich "mitsichere"? dann wär ja alles umsonst gewesen... und die ganzen einstellungen, bis ich damals mal endlich ins internet konnte... da vergingen wochen, bis das gigaset mit dem aldi-pc harmonierte. falls es doch eine manuelle möglichkeit gibt, wie ich die biester loswerden kann... hier noch der "erste teil": Logfile of HijackThis v1.97.7 Scan saved at 21:20:26, on 14.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\Medion\PowerVCR II\Agent.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Dokumente und Einstellungen\Daniel\del-me.exe C:\Program Files\Preview AdService\PrevAdServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe C:\Program Files\Preview AdService\PrevAdKeep.exe C:\Programme\Logitech\iTouch\kbdtray.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe C:\WINDOWS\ISW\netcol\signup\ncdial.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\msmq2inst.exe C:\Programme\Opera7\Opera.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe ich hab früher schon zwei mal würmchen gekillt :huepp: lieben gruß - klemi |
Zitat:
Zitat:
Die Zeit einer Bereinigung wäre imo gleich oder sogar grösser, aber Zeitfaktor sollte gegenüber deiner und anderer I-net User Sicherheit keine Rolle spielen. Letztendlich musst du dich dann auf die Meldung, bezüglich Sauberkeit, deiner verwendeten Sicherheitssoftware verlassen bzw. darauf vertrauen, aber eine Garantie ob dein System tatsächlich sauber ist... Ich wage es zu bezweifeln. Zitat:
Zitat:
|
oki-doki...! du hast ja recht ;) dann werd ich morgen mal alles auf cds sichern und hoffen, dass mein bester kumpel am mittwoch zeit für mich findet, um mir seelischen/fachlichen beistand zu leisten... so ganz allein trau ich mich da dann auch wieder nicht ran... ich dank dir vielmals! klemi ps: wenn ich nach mittwoch je wieder ins internet kann, dann schreib ich nochmal... |
Normalerweise schaffst du dies auch alleine.;) Hinter jedem Link befindet sich eine detailierte Anleitung die teilweise noch bebildert ist. Ein Feedback wäre deinerseits nicht schlecht. Ebenso sollte man das System nochmals, nach getaner Arbeit, überprüfen. |
naja, hab mir fast die komplette anleitung zum neuaufsetzen des systems ausgedruckt... (problem: wenn die kiste erstma platt ist, kann ich ja für den moment nix mehr im internet nachlesen). dennoch immer besser, da ist jemand der ALLES versteht und ich mich nicht bei irgendeinem wichtigen punkt "verklicke"... werde also in den nächsten stunden mal sichern und mich dann nach "getaner arbeit" melden. so long - klemi |
hi, da bin ich wieder... mein freund hat ganze arbeit geleistet - auch wenn´s irgendwie recht easy aussah: ich hätte ganz bestimmt die falschen klicks irgendwo gemacht!!! mit service pack 2 sieht das ganze sicherheitstechnisch schon anders aus... allerdings tut sich wahrscheinlich genau durch diese installation ein neues problem auf: ich fliege - anscheinend nur beim aufrufen bestimmter internetseiten "ksk-koeln" - raus und bekomme einen bluescreen angezeigt *pitsch* da kommt dann eine meldung, dass was mit "irql" nicht stimmt - wir gehen davon aus, dass das was mit der grafikkarte zu tun hat. eben kam dann noch ne meldung zwecks "capi" auf den schirm... also, falls jemand zur lösung dieses problems beitragen kann, könnte ich mal wieder richtig ruhig schlafen :crazy: |
@klemi wie lauten die genaue fehlermeldungen? chaosman |
also - ich hab mir da heute so einiges notiert... wenn ich den bluescreen bekomme, dann steht da ungefähr das: IRQL is not less or equal NDIS.SYS - adress F98B6FFE base at F9897000 date stamp 41107ec3 problemsignatur bccode: 100000d1 bcp1: 0000000c bcp2: 00000002 bcp3: 00000001 bcpß4: 00000001 bcp4: F98B6FFE osver: 5_1_2600 sp: 2_0 product: 768_1 nach dem hochfahren kommt dann "problembericht senden..." = system wurde nach schwerwiegendem fehler ausgeführt die andere problemberichtsenden-meldung bezog ich auf capi call monitor (calltray.exe) hilft das weiter?! lieben gruß - klemi |
@klemi CAPI problem, wahrscheinlich fehlt der treiber von siemens CALLTRAY.exe Programme Siemens (Gigaset) ISDN Utilities müßtest du neuinstallieren das andere problem kommt wohl öfters vor http://www.pcwelt.de/forum/archive/i.../t-151313.html http://www.hardwareanalysis.com/content/topic/5695/ http://board.protecus.de/showtopic.php?threadid=1636 liegt wohl an der treiber der kein xp2 mag. müßt dich mal durchgooglen chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board