Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   flkig.dll was ist das? (https://www.trojaner-board.de/6143-flkig-dll.html)

Goddchen 02.07.2004 07:44
flkig.dll was ist das?
 
moin, also ich hab hier nen rechner. da ist in c:/winnt/ ne flkig.dll und nach jedem reboot wird die startseite suchseite usw geändert in res://flkig.dll blabla. adaware findet nix. hijackthis kann zwar die einträge löschen aba die sind nach nem reboot wieda da :( wenn ich die flkig.dll lösche ist sie nach nem reboot auch wieda da :( hat irgendwer ne idee?

Gr33tz Goddchen

Radja 02.07.2004 07:51
Hallo Goddchen und wilkommen on board!

Zitat:
Hijackthis kann zwar die einträge löschen aba die sind nach nem reboot wieda da
Zitat:
wenn ich die flkig.dll lösche ist sie nach nem reboot auch wieda da
Stimmt!
Du gekämpfst die Auswirkungen aber nicht die Ursache, deshalb bitte mal das Log posten. Um zu sehen wer der Verantwortliche für Dein Problem ist.

Goddchen 02.07.2004 07:54
Logfile of HijackThis v1.97.7
Scan saved at 08:52:48, on 02.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\WINNT\System32\NMSSvc.exe
c:\norman\nvc\bin\zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3jo.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\Promon.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CHKADMIN.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\ntcl.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\service\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\flkig.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://flkig.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://flkig.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\flkig.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://flkig.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\flkig.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.194.44.31:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {418D601F-94BB-8BD3-8B39-22D9ED6BEDCC} - C:\WINNT\system32\ierr32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~2\CHKADMIN.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ntcl.exe] C:\WINNT\ntcl.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {130F89DC-B772-4E02-AEFA-1BDDD8BD4E96} (MitraInstallAX Control) - http://10.194.45.122/MPEGComponents/MPEGComponents.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - http://10.194.45.122/jre/j2re-1_4_1_...ows-i586-i.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF657C2-4F3E-49CF-8B80-5111076C95ED}: NameServer = 10.190.20.31,10.190.20.32

Radja 02.07.2004 08:09
Geh mal auf diese Seite. Dort kannst Du Dein Logfile Auswerten lassen.

Habe das auch gerade gemacht und einige unbekannte Prozesse gefunden.

Aus diesem Grund auf jeden Fall Dein System mit eScan prüfen lassen

Zitat:
1.escan runterladen:
http://www.mwti.net/antivirus/free_utilities.asp
(Datei dann entpacken in einen von dir erstellten ordner namens c:\bases)

2. escan updaten (kavupd.exe in dem Verzeichnis c:\bases ausführen)

3. Das Programm aus 1. ausführen (kvss.exe)
Dabei die Einstellungen vornehmen wie hier beschrieben
Anschließend bei den Einträgen wie Empfohln vorgehen.

Berichte im Anschluß mal bitte Dein Ergebnis!!

Goddchen 02.07.2004 08:32
gib ma bitte nen anderen link für die einstellungen, oda sag wonach ich suchen muss, der link von dir geht nicht da komm ich auf die seite wo steht dass die page nach .com umgezogen ist :(

Radja 02.07.2004 08:37
opps sorry ist noch alt richtig!

hier ist der richtige Link

Radja 02.07.2004 08:46
Vor allem solltest Du folgende Einträge bei Kaspersky prüfen lassen die scheinen mir verdächtig!!

Zitat:
d3jo.exe
ntcl.exe
Poste mal die Ergebnisse!

Goddchen 02.07.2004 09:19
ob dus glaubst oda net... ich find die 2 files nicht :( die müssen doch im c:/winnt/ sein

Radja 02.07.2004 09:22
hattest du eScan schon ausgeführt? Dann kann es sein , dass sie gelöscht sind!

Goddchen 02.07.2004 09:25
jaja es läuft noch. läuft mittlerweile schon 50 minuten *g* hat 21 viren gefunden, norman hatte gar nichts mehr gefunden und adaware wie gesagt auch nicht, cooles prog, mal abwarten, ich poste später das ergebnis sobald es fertig ist

Goddchen 02.07.2004 09:26
achso die 2 files die du mir gesagt hast wurden wirklich von escan als TrojanDownloader erkannt . also bis später

Goddchen 02.07.2004 10:13
also das teil hat 28 viren gefunden, restart, alles beim alten, und dann nochmal gescannt und schon wieda 13 viren drauf, das hat keinen zweck so, wir machen das teil platt... aba thx für die hilfe :)

Radja 02.07.2004 10:34
Halt!

Hatte vorhin noch etwas übesehen
C:\WINNT\system32\ierr32.dll
scheint mir auch fragwürdig! Bevor Du neu aufsetzt poste nochmal Dein logfile.

Goddchen 05.07.2004 12:53
naja, also das problem ist nun doch noch gelöst. wir haben escan noch 2 oda 3 mal drüberlaufen lassen, immer wieder wurde das gefunden. irgendwann war die flkig.dll weg aba ne neue dll da nur mit anderem namen, jetzt ist es aba irgendwie auf einmal ganz weg... sehr komische sache... naja microsoft, was will man machen ;)

also vielen dank nochmal für deine hilfe

CU G0ddch3n


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131