Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   InternetExplorer Addon jkhfd.dll entfernen? (https://www.trojaner-board.de/30000-internetexplorer-addon-jkhfd-dll-entfernen.html)

OKratzer 16.06.2006 13:54
InternetExplorer Addon jkhfd.dll entfernen?
 
Hallo. Ich habe mir ein InternetExplorer Addon namens jkhfd.dll eingefangen, das andauernd Werbung einblendet. Es befindet sich in C:\WINDOWS\Sytem32aber es lässt sich nicht löschen, kann mir jemand helfen?

Danke schonmal

Sunny 16.06.2006 14:00
Hallo,

dann lass mal die Datei bei Virustotal auswerten, poste dann anschliessend das Ergebnis!

C:\windows\system32\jkhfd.dll

Gruß
Daniel

Markus1234 16.06.2006 14:01
Das könnte mehr sein ...
Poste bitte ein vollständiges HJT-Logfile, Anleitung.

mfg,
Markus

Edit: Moin nochmal, Sunny

OKratzer 16.06.2006 14:11
Zur 1. Antwort: Was soll das bringen?
Zur 2. :

Logfile of HijackThis v1.99.1
Scan saved at 15:09:13, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Zur 1. Antwort: Was soll das bringen?
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nico\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKCU\..\Run: [CPU] C:\Dokumente und Einstellungen\Nico\Eigene Dateien\Nicolas\PC\Sonstiges\CPU.bat
O4 - HKCU\..\Run: [Antivirus On-Access File Guard] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O15 - Trusted Zone: www.computerbild.de
O15 - Trusted Zone: www.f1total.com
O15 - Trusted Zone: www.godlike-gamers.eu
O15 - Trusted Zone: www.kaspersky.com
O15 - Trusted Zone: www.mircosoft.com
O15 - Trusted Zone: www.pandasoftware.com
O15 - Trusted Zone: www.t-online.de
O15 - Trusted Zone: http://www.webstats4u.com
O15 - Trusted IP range: http://80.86.92.78
O15 - Trusted IP range: http://192.168.1.1
O15 - Trusted IP range: http://192.168.0.1
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

*Edit* Die Datei um die es hier geht is nich dabei weil ich sie unter extras> addons verwalten im internetexplorer deaktiviert haben, ist diese nach jedem systemstart wieder aktiviert. ich bin mir aber ziemlich sicher dass es an dem addon liegt un möchte eigentlich nur wissen wie ich es runterkrieg, mit killbox funktionierts übrigens nicht

Sunny 16.06.2006 14:17
Zitat:
Zur 1. Antwort: Was soll das bringen?
dann weiß man womit man es zu tun hat...;) bzw. um welchen (z.B.) Trojaner es sich handelt!
1.) Also lass die Datei auswerten und poste das Ergebnis!

2.) Dann mit HijackThis folgende Zeilen fixen:
Zitat:
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O8 - Extra context menu item: Artikel hinzufügen - file://c:\add.htm
O15 - Trusted Zone: www.computerbild.de
O15 - Trusted Zone: www.f1total.com
O15 - Trusted Zone: www.godlike-gamers.eu
O15 - Trusted Zone: www.kaspersky.com
O15 - Trusted Zone: www.mircosoft.com
O15 - Trusted Zone: www.pandasoftware.com
O15 - Trusted Zone: www.t-online.de
O15 - Trusted Zone: http://www.webstats4u.com
O15 - Trusted IP range: http://80.86.92.78
O15 - Trusted IP range: http://192.168.1.1
O15 - Trusted IP range: http://192.168.0.1
3.) Mach einen eScan, Anleitung ist in meiner Signatur verlinkt!

Gruß
Daniel

Sunny 16.06.2006 14:26
schon wieder Doppelpost, :(
@Shadow, mal wieder was für Dich! Sorry :kloppen:

OKratzer 16.06.2006 14:57
Also, des Fixen hat nichts gebracht, dein escan hat leider auch nichts gefunden und bei dem Virustotal kam nach einer Minute immer: status queued. Was nun?

Sunny 16.06.2006 15:00
Zitat:
status queued. Was nun?
Nochmal mit Virustotal versuchen und abwarten! Kann bis zu 2 Minuten dauern bis die Datei ausgewertet wird... :dummguck:

queued = angestanden bzw. in der Schlange
:rolleyes:

OKratzer 16.06.2006 15:13
OK, jetzt gehts, hier das Ergebnis: Das "Virtumod", siehe Dr. Web, findet adaware auch, allerdings lässt es sich nicht entfernen.
Antivirus Version Update Result
AntiVir 6.35.0.13 06.16.2006 no virus found
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 no virus found
ClamAV devel-20060426 06.16.2006 no virus found
DrWeb 4.33 06.16.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 Win32/Vundo
Ewido 3.5 06.16.2006 no virus found
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 no virus found
McAfee 4785 06.15.2006 Vundo
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 Suspicious file
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.15.2006 no virus found
VBA32 3.11.0 06.16.2006 no virus found
VirusBuster 4.3.7:9 06.16.2006 no virus found

Sunny 16.06.2006 15:19
Versuch es mal hiermit:

http://www.symantec.com/region/de/te...oval.tool.html

Melde dich danach nochmal ob immer noch Werbung kommt!

weiß nicht genau ob das alles so richtig ist, aber CA-Deutschland meint dazu:
Zitat:
Backdoor Functionality

Vundo attempts to download and execute files from the virtumonde.com domain, however some variants have also attempted to use remote servers on ports within the 62.4.84.* IP range.

Vundo opens up a backdoor which takes commands from a remote host. Current variants afford their controllers the following capabilities:

* Block user access to particular sites by modifying the Windows hosts file
* Show popups
* Add/set/get cookies
* Redirect URLs
* Download files
* Search browsed pages for keywords
* Modify registry keys and values
* Change controlling host address
* Record and send browsing statistics
* Log user input/alter user input
Gruß
Daniel

OKratzer 16.06.2006 15:38
Hallo, der Symantac Remover läuft geraden, aber ich hab noch was was ich nicht loskrieg, Panda Active Scan hats gefunden:
1.
Adware/YazzleThreat Level:
Damage:
Distribution:

Wo sich die Datei befindet steht leider nicht dabei

2. Dialer.SU
Ort: hkey_local_maschine\software\microsoft\windows\currentversion\unistall\switch

OKratzer 16.06.2006 15:39
Ähm und des Symantec hat nichts gefunden....:mad:

Sunny 16.06.2006 15:43
Zitat:
Zitat von OKratzer
Ähm und des Symantec hat nichts gefunden....:mad:
Sehr komisch das Ganze!

Zitat:
1.
Adware/YazzleThreat Level:
Lade dir Ad-Aware und Spybot S&D scanne damit dein System, immunisiere mit Spybot zusätzlich!

Gruß
Daniel

OKratzer 16.06.2006 15:58
adaware findet leider nix ausser den trojaner den es ja nicht entfernen kann und spybot findet garnix:headbang:

Sunny 16.06.2006 16:05
Versuch nochmal die manuelle Entfernung von folgender Seite, steht ganz unten!

http://www.symantec.com/region/de/te...jan.vundo.html

da steht auch was du aus der Registry löschen musst, also alles lesen und VERSTEHEN! ;)

Gruß
Daniel


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:58 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131