|
meine Startseite ändert immer auf folgende Seite res://vckbj.dll/index.html#96676 ich habe hier die Hijack Liste reinkopiert, kann mir jemand helfen welche ich löschen darf oder muss die mit der Endung 96676 habe ich gelöscht hat aber nicht geholfen, waren beim nächsten Start wieder da Besten Dank C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe C:\WINDOWS\Cpqdiag\Cpqdfwag.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\WINDOWS\system32\crtb.exe C:\OfficeScan NT\ofcdog.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\OfficeScan NT\pccntmon.exe C:\WINDOWS\system32\ipoz.exe C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe C:\Program Files\Palm\HOTSYNC.EXE C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\WINDOWS\System32\ctfmon.exe \CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = ftp://cww.delaval.com/projects/Aladin/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9 O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local O15 - Trusted Zone: cww.delaval.com O15 - Trusted Zone: http://cww.delaval.com O15 - Trusted Zone: cww.seso.delaval.com O15 - Trusted Zone: http://cww.seso.delaval.com O15 - Trusted Zone: cww.setu.delaval.com O15 - Trusted Zone: http://cww.setu.delaval.com O15 - Trusted Zone: setuagrint32.delaval.com O15 - Trusted Zone: http://setuagrint32.delaval.com O15 - Trusted Zone: setuagrint51.delaval.com O15 - Trusted Zone: setuagrint51.setu.delaval.com O15 - Trusted Zone: setuagrint66.sestu.delaval.com O15 - Trusted Zone: setuagrint66.setu.delaval.com O15 - Trusted Zone: cww.delaval.local O15 - Trusted Zone: intranet.delaval.local O15 - Trusted Zone: http://*.setuagrint32 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...685.4241319444 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\Software\..\Telephony: DomainName = delaval.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local |
hallo.. wie bitte kommt man zu einem solchen hijackthislog? ist dir der name delaval, der öfter darin vorkommt, bekannt? wenn nicht, ist ungefähr alles verseucht.. erstmal alle r0 und r1 einträge fixen.. dann bescheid geben ob dieses delaval bekannt bzw. gewollt ist.. neptune |
Hallo Besten Dank für die Antwort die r1 ro habe ich schon mermals gelöscht hat nicht geholfen, bei einem Neustart habe ich das selbe übel alles mit delaval ist mir bekannt das schliesse ich aus Gurss |
#96676 einfach forum danach durchsuchen hatten wir bisher schon einige male |
Hallo lubin, beende bitte im Taskmanager die folgenden Prozesse: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\ipoz.exe C:\WINDOWS\system32\crtb.exe </font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676 O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe </font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\d3zo32.dll C:\WINDOWS\system32\ipoz.exe </font>[/QUOTE]und überprüfe diese Datei C:\WINDOWS\system32\crtb.exe online bei Kaspersky. Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach crtb.old. Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es... Nachtrag: Eine englischsprachige Referenz findest du in diesem Forum. |
Ich habe fast die halbe Nacht damit verbracht diesen Wurm oder Hijacker zu eleminieren - leider ohne Erfolg. Abgesicherter Modus oder nach Anleitung Symnatec für den win32 wurm (NAV findet das Ding gar nicht) cw zeigt mir keinen Befall an und Hurra er ist auch schon wach und wieder da. Hat schon jemand einen Lösungsweg? Ich glaube er hat ja jetzt einen Namen #96676 Das scheint auch so ziemlich das Einzige zu sein was sich nicht ändert! Aktueller log file Logfile of HijackThis v1.97.7 Scan saved at 09:31:08, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\syswb32.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\addmq32.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
jetzt fängst du auch shcon damit an bitte leute lasst eure logs in euren threads pro thread nur einer der logs postet |
Sorry, ich habe versehentlich an der falschen Stelle auf antworten gedrückt :( P.S. Konnte bisher keine Software Trojan cleaner finden? |
Hallo and Welcome on Board Schau mal bitte hier : HijackThis Anleitung Browser Hijacking Entfernung Online Scan Cleaner Tools gegen versch. Würmer Security Check |
@willy beende bitte im Taskmanager die folgenden Prozesse: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\syswb32.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\addmq32.exe C:\WINDOWS\System32\wuauclt.exe </font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe</font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\zgxpq.dll C:\WINDOWS\system32\winet.dll C:\WINDOWS\system32\syswb32.exe C:\WINDOWS\addmq32.exe </font>[/QUOTE]und überprüfe diese Datei C:\WINDOWS\System32\hpoipm07.exe online bei Kaspersky. Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach hpoipm07.old. Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es... Nachtrag: Eine englischsprachige Referenz findest du in diesem Forum. |
Hallo Lutz, erstmal vielen Dank für deine Hilfe. Ich habe leider bevor Dein Tipp kam mit einem neuen Entfernungsversuch begonnen. Ich habe die selben Einträge die Du aufgeführt hast mit Hijack gefixt. Bin z.Z. mit dem "infizierten Rechner" im abgesichertem Modus und lasse eScan nochmal laufen (braucht fast eine Stunde). Hat auch schon 2 Files gefunden. Wenn er fertig ist werde ich die von dir aufgeführten dateien löschen und hier nochmal einen log file posten. Vorerst Danke :rolleyes: |
</font><blockquote>Zitat:</font><hr />und lasse eScan nochmal laufen... </font>[/QUOTE]Ein Komplett-Scan mit eScan ist nicht gerade besonders schnell, aber dafür imho gründlich. Es wäre gut -auch in Hinsicht auf andere User mit dem gleichen Problem-, wenn Du anschließend auch posten würdest, was (Datei und Fundstelle) eScan gefunden hat. |
@Hallo Lutz der e-scan hat folgendes gefunden: File C:\\WINDOWS\system32\dimoi.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted. File C:\\WINDOWS\zgxpq.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted File C:\Programme\iPAQ Download\CompaqDownloads\Jamdat Mobile Kasparov Chessmate\KasparovChess_PPC_EN_HEX_1.0.9.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Die ... system32\dimoi.dll soll ich die auch löschen? :confused: Gruss Willy |
</font><blockquote>Zitat:</font><hr />Die ... system32\dimoi.dll soll ich die auch löschen?</font>[/QUOTE]Definitiv JA! Bzw. eigentlich sollte eScan das schon getan haben. Falls Du diese Datei meinst: KasparovChess_PPC_EN_HEX_1.0.9.exe Die erscheint mir harmlos |
@ Hallo Lutz, im Windows\system32 ordner kann ich die syswb32 finden eine winet.dll exestiert nicht (oder nicht mehr) es gibt eine wininet.dll im windows ordner gibt es unzählige viele kleine Programme alle mit 5 oder 6 zufälligen Buchstabenkombinationen (erstellungsdatum mai bzw. Juni 2004) von ca. 9 bis 90 kB Grösse. z.B. bxhyl, cqgqzz usw. oder n_akgxfu, n_vvotun usw. bei google bekomme ich auf die keine Suchergebnisse?? Was mache ich mit denen? Da scheint doch ein Zufallsgenerator ständig neue Anwendungen zu ertellen? :confused: Willy |
</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy: im Windows\system32 ordner kann ich die syswb32 finden eine winet.dll exestiert nicht (oder nicht mehr) es gibt eine wininet.dll</font>[/QUOTE]wininet.dll ist eine Datei, die im Originalzustand zu Windows gehört. Aber natürlich kann diese Datei theoretisch auch (mittlerweile) infiziert sein. Halte ich aber im Moment für eher unwarscheinlich. Aber Du kannst sie ja trotzdem mal bei Kaspersky überprüfen. </font><blockquote>Zitat:</font><hr />im windows ordner gibt es unzählige viele kleine Programme alle mit 5 oder 6 zufälligen Buchstabenkombinationen (erstellungsdatum mai bzw. Juni 2004) von ca. 9 bis 90 kB Grösse. z.B. bxhyl, cqgqzz usw. oder n_akgxfu, n_vvotun usw. bei google bekomme ich auf die keine Suchergebnisse??</font>[/QUOTE]Was haben diese Dateien den für Endungen? Stehen in den Dateigenschaften nähere Informationen? Gruß, Lutz |
@ Hallo Lutz, ich habe alle diese Anwendungen bei Kaspersky online prüfen lassen und er hat mir ca. 20 Treffer angezeigt. Es handelt sich dabei jeweils um Trojan Downloader win32.a oder z oder ai Ich habe mir ein Removal-Programm von kaspersky gezogen und die neuerste Version (16.06.04) über den Rechner laufen lassen (öffnet beim scan ein Dos-fenster). Der scan hat die vorher beim onlinescan als "verseucht" angezeigten Programme nicht gefunden. Soll ich die Anwendungen .dat Dateien löschen??? Zur Zeit habe ich wieder meine normale Startseite. :confused: Nachdem ich die Interneteinstellung nach Anweisung auf ziemlich "streng" eingestellt habe bleibt diese anscheinend auch (mal sehen). Dürfte aber das eigentliche Problem Trojaner nicht lösen? :( |
Hallo Willy, mach doch bitte mal einen Neustart des Rechners, wenn nicht erst kürzlich passiert, starte den Internet-Explorer und erstelle dann ein neues Log mit HijackThis. Ich hab ein bisserl den Überblick verloren... [img]graemlins/crazy.gif[/img] |
Hallo Lutz, ich habe meinen rechner zwischenzeitlich min 10 neugestartet und bisher bleibt die normale Startseite. Die befallenen Anwendungen unter windows gibt es natürlich immer noch! aLogfile of HijackThis v1.97.7 Scan saved at 19:02:23, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab ktueller log file |
Im Moment sieht das Log sauber aus, aber Du hast Recht, eine endgültige Lösung ist das sicherlich nicht... Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Diese Pfad teil ggf. mit. So langsam glaube ich kommen wir in Richtung einer Lösung. Der HiJacker besteht aus 4 Teilen 2 dll's + 2 exe'en Leider benennen die sich bei jedem Start um, so ist's ein bißchen schwierig. Die eine DLL steht unter R0 Die 2.te DLL steht unter O2 BHO Die eine exe steht unter O4 Die 2.te exe trägt sich als Dienst ein . Die sieht man nur in den Diensten. Was wir jetzt noch herausfinden müssen ist, wie die Dateien aktuell bei Dir heißen. Siehe auch hier: http://board.protecus.de/showtopic.p...2144b800f91de6 |
Bei einem Scan mit eScan bitte folgende Optionen auswählen: http://www.derbilk.de/escan.jpg Wenn Du nicht alle Einstellungen aktiv hattest, bitte mach noch mal einen neuen Scan. Auch wenn es wieder lange dauert. Der sollte das gleiche finden, wie ein OnlineScan bei Kaspersky. |
Hallo Lutz, vielen Dank erstmal für Deine Mühe. Ich habe den Dienst gefunden und deaktiviert. Es war ein Pfad eingetragen auf "C:\WINDOWS\addmq32.exe" /s soll ich den Pfad und die datei unter windows löschen? Ich mache "schnell" (ha ha 60 Minuten) einen e-scan und poste das Ergebnis. Bin zwischenzeitlich mit einem anderen PC online. Gruss Willy |
</font><blockquote>Zitat:</font><hr />Ich habe den Dienst gefunden und deaktiviert. Es war ein Pfad eingetragen auf "C:\WINDOWS\addmq32.exe" /s soll ich den Pfad und die datei unter windows löschen? </font>[/QUOTE]Offensichtlich sind wir auf dem richtigen Weg. [img]smile.gif[/img] Lass jetzt erstmal eScan durchlaufen (ich hoffe, Du hast an den abgesicherten Modus gedacht?!?). Ich bin mir eigentlich sicher, dass eScan noch einiges mehr findet, wenn er alle Verzeichnisse durchscannt. Die addmq32.exe muss auf jeden Fall gelöscht werden, aber bitte nicht den ganzen Pfad! BTW: eScan läßt sich mit einem 'kleinen Trick' sogar updaten. Habe ich gerade aber erst erfahren. Danke an 'raman'. [img]graemlins/daumenhoch.gif[/img] Mit Hilfe von Winzip, Winrar oder vergleichbar muss der Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpackt und dort dann die Datei kavupd.exe ausgeführt werden. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. Dann kann mit msavscan.com gescannt werden. So braucht man eScan nicht bei jedem Update komplett herunterladen. |
Hallo Lutz e-scan hat trotz aktueller Version nichts mehr gefunden (hatte allerdings 2xError Ergebnis). Die infizierten Dateien in windows gibt es noch, sind aber wohl z.Z. nicht aktiv??? Die gibt es nicht mehr "addmq32.exe" (war im Pfad des "Network Security Service"). Soll ich die infizierten dateien manuell löschen? Warum hat er bei mir den Hijacker nicht aus dem Netz nachgeladen? Sind ev. die Änderungen die ich am IE vorgenommen hab dafür verantwortlich! Was mache ich mit der regestry, da dürfte doch jede Menge Müll drin sein? Ach ja, wars das??? Gruss Willy |
Der Hijacker kann imho nicht mehr nachgeladen werden, da der dafür verantwortliche Prozess nicht mehr vorhanden ist. Im 'großen und ganzen' denke ich, war es das, ja. </font><blockquote>Zitat:</font><hr />Soll ich die infizierten dateien manuell löschen?</font>[/QUOTE]Ja, lösche sie manuell. Du solltest noch die Registry durchsuchen nach den infrage kommenden Dateien aus Deinem ersten Log, also </font><blockquote>Zitat:</font><hr />C:\WINDOWS\zgxpq.dll C:\WINDOWS\addmq32.exe C:\WINDOWS\system32\winet.dll </font>[/QUOTE]Wenn es in der Registry verweise hierzu gibt, lösche diese. Nachtrag: Suche in der Registry auch noch hiernach: addmq32.exe [ 17. Juni 2004, 22:10: Beitrag editiert von: Lutz ] |
@ Hallo Lutz und auch alle anderen - Vielen Dank für die Hilfe - tolles Forum. Werde öfter mal reinschauen. Ich hoffe es gibt bald ein removal tool. Ich Habe jede Menge infizierter Dateien gefunden (lt. online scan kapersky) aber ob ich alle erwischt habe? Der Pfad der im Network Service (dienstprogramm) eingetragen ist, den finde ich auch in der regestry. Ich habe eine kopie der regestry erstellt, aber mit dem entfernen des Pfades habe ich so meine Probleme! Kann man das ganze Dienstprogramm entfernen, wenn ja wie? oder nur den Pfad, wenn ja wie? Gruss Willy |
</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy: ...Kann man das ganze Dienstprogramm entfernen, wenn ja wie? oder nur den Pfad, wenn ja wie?</font>[/QUOTE]Das Programm selbst ist ja ganz offensichtlich schon entfernt. Also musst Du in der Registry noch die entsprechenden Aufrufe entfernen. Der Registrierungs-Editor ähnelt ja optisch dem Datei-Explorer von Windows. Rechts hast Du eine Verzeichnis-Struktur und links stehen die einzelnen Werte. Wenn Du jetzt bei der Suche einen passenden Wert (auf der rechten Seite) angezeigt bekommst, kannst Du diesen mit einem Rechtsklick entfernen. Ein Backup der Registry hast Du ja schon gemacht. Die würde ich an Deiner Stelle ein paar Tage 'aufbewahren' und wenn Du dann feststellst, dass alles rund läuft, kannst Du diese löschen. Aber vorsicht, diese *.reg-Datei wird ausgeführt bei einem Doppelklick. Also mit ruhiger Hand an die Datei gehen... ;) |
Danke mal an alle die mir hier geantwortet haben, aber dieser TrojanDownloader.Win32.Agent.z ist ein spezielles Ding, unser PC Spezialist in unserer Firma hat es auch nicht geschafft ihn zu entfernen, ich werden meinen PC komplett neu insalliern Frage: oder hat es hier irgend jemand geschafft dieses Ding mit erfolg zu entfernen?? Grüsse an alle |
Hallo lubin, ich gehe immer noch davon aus, dass es der gleiche Hijacker ist, der so viele andere auch getroffen hat in den letzten Tagen! Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Nenne uns diese Datei und deaktiviere den Dienst. Anschließend mach ein aktuelles Log mit HijackThis und poste es hier. Schließe im Moment nicht den InternetExplorer, sondern warte auf weitere Anweisungen. ;) . Beim nächsten Start des IE heißen die in Frage kommenden Dateien u.U. anders. |
Danke Lutz ich versuchs nochmal Die Datei unter Network Security heisst "C:\WINDOWS\sysqs.exe" /s die Aktuelle Hijack Liste schliesse den Explorer im Moment nicht Gruss Logfile of HijackThis v1.97.7 Scan saved at 20:34:33, on 18.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Windows\SRVANY.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe C:\WINDOWS\Cpqdiag\Cpqdfwag.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\NMSSvc.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\WINDOWS\sysqs.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\OfficeScan NT\ofcdog.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE C:\OfficeScan NT\pccntmon.exe C:\WINDOWS\system32\winel32.exe C:\Program Files\Palm\HOTSYNC.EXE C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\mmc.exe \CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 O2 - BHO: (no name) - {079FC989-AC41-02CB-5596-5A02A41BB70E} - C:\WINDOWS\addnj32.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [winel32.exe] C:\WINDOWS\system32\winel32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: cww.delaval.com O15 - Trusted Zone: http://cww.delaval.com O15 - Trusted Zone: cww.seso.delaval.com O15 - Trusted Zone: http://cww.seso.delaval.com O15 - Trusted Zone: cww.setu.delaval.com O15 - Trusted Zone: http://cww.setu.delaval.com O15 - Trusted Zone: setuagrint32.delaval.com O15 - Trusted Zone: http://setuagrint32.delaval.com O15 - Trusted Zone: setuagrint51.delaval.com O15 - Trusted Zone: setuagrint51.setu.delaval.com O15 - Trusted Zone: setuagrint66.sestu.delaval.com O15 - Trusted Zone: setuagrint66.setu.delaval.com O15 - Trusted Zone: cww.delaval.local O15 - Trusted Zone: intranet.delaval.local O15 - Trusted Zone: http://*.setuagrint32 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\Software\..\Telephony: DomainName = delaval.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local |
Am besten, Du druckst dir das folgende aus!! Wenn Du Dir noch Links anschauen willst/musst, tu das bitte als erstes! Beende den Dienst Network Security, wenn nicht schon bereits geschehen und ändere die Startart auf deaktiviert. Wenn nicht schon geschehen lade Dir eScan herunter (siehe meine Signatur). Starte dann Deinen Rechner neu im abgesicherten Modus -> http://www.trojaner-board.de/63335-w...s-starten.html Lösche folgende Dateien: C:\WINDOWS\sysqs.exe C:\WINDOWS\system32\winel32.exe C:\WINDOWS\jwtkb.dll C:\WINDOWS\addnj32.dll Starte HijackThis, markiere folgende Einträge: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 O2 - BHO: (no name) - {079FC989-AC41-02CB-5596-5A02A41BB70E} - C:\WINDOWS\addnj32.dll O4 - HKLM\..\Run: [winel32.exe] C:\WINDOWS\system32\winel32.exe </font>[/QUOTE]Anschließend klicke auf 'Fix checked' Lass Escan deinen kompletten Rechner scannen. Das sollte es gewesen sein. Starte den Rechner wieder im normalen Modus. Bitte berichte uns anschließend, ob es erfolgreich war und was eScan evtl noch gefunden hat. Viel Erfolg! ;) |
Hi, Bin neu hier im Forum, hab die Diskussion aufmerksam verfolgt, weil mich betriffst auch, ich bekomm den Mist einfach nicht weg!!! Tja ich hoffe das hier ne Lösung gefunden wird, wenn das sie jemand zusammen fast so das man sie Schritt für Schritt machen kann! Also ich hoffe auf ne Lösung weil das nervt echt...! MfG Alex |
Hallo Lutz das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss Danke |
Hallo Alex und Willkommen an Board, mach bitte für Deine Frage einen eigenen Thread auf, sonst kommen wir hier heillos durcheinander. Danke! |
</font><blockquote>Zitat:</font><hr />Original erstellt von lubin: Hallo Lutz das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss Danke </font>[/QUOTE]Wenn Du das im abgesicherten Modus machst (s. oben) dann muss sie sich löschen lassen. Zumal dann, wenn du besagten Dienst beendet und deaktiviert hast und dann im abgesicherten Modus startest. |
Hallo and Welcome on Board Bitte aufmerksam lesen Info HJT Entfernung HJT Anleitung Erste Hilfe bei unbekannten Hijacker Scan im abgesicherten Modus |
Hallo! Ich bin Gabor aus Unganr, und ich habe auch diese problem, mit sp.html, was soll ich machen? |
Hallo Gabor und Willkommen an Board, bitte eröffne für Dein Problem einen eigenen Thread und poste dort ein Log von HijackThis. Danke! |
Hallo Lutz! Bitte schreib mir step by step, was soll ich machen, ich bin sehr neu hier. Ich haben den log file mit hijackthis, das ist ok. |
Hallo Gabor, mit der Angabe 'ich habe auch diese problem, mit sp.html' kann ich Dir nicht helfen. Um Dir helfen zu können, muss ich das Log von HijackThis sehen. Bitte poste es. Aber eröffne dafür ein neues Thema -> http://www.trojaner-board.de/forum/szneu.gif Sonst wird das zu unübersichtlich, wenn alle in diesem einem Thema ihre Logs posten. |
Ich habe eine neue Thema "about:blank SearchForTheNet" geöffnet, und dort ist mein log file. Dort können wir uns treffen. Danke schön. |
http://www.trojaner-board.de/forum/u...c;f=6;t=005614 hab doch die lösung schon gepostet [img]smile.gif[/img] cYa nitro |
Hallo Lutz hab deine Anweisungen befolgt leider mit wenig erfolg Escan hat ca 20 Dateien gelöscht 3 File C:\WINDOWS\Code\_1-top-0-0-.exe tagged as nto-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken alle 3 mit änlichem Inhalte hat er nicht gelöscht auch die beiden .exe Dateien unter WINDOWS konnte ich nicht löschen, hab diese mal umbenannt, wahrscheinlich haben diese sich dabei bereits neu Installiert beim Neustart kommt immer eine Meldung Installation wird vorbereitet Preparing to install Pleas wait while Windows configures Microsoft protjekt hier die neuste Hijack Logfile of HijackThis v1.97.7 Scan saved at 07:48:08, on 19.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Windows\SRVANY.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe C:\WINDOWS\Cpqdiag\Cpqdfwag.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\NMSSvc.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\OfficeScan NT\ofcdog.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\addrj32.exe C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE C:\OfficeScan NT\pccntmon.exe C:\Program Files\Palm\HOTSYNC.EXE C:\WINDOWS\system32\ntsd.exe C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\WINDOWS\System32\ctfmon.exe \CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: cww.delaval.com O15 - Trusted Zone: http://cww.delaval.com O15 - Trusted Zone: cww.seso.delaval.com O15 - Trusted Zone: http://cww.seso.delaval.com O15 - Trusted Zone: cww.setu.delaval.com O15 - Trusted Zone: http://cww.setu.delaval.com O15 - Trusted Zone: setuagrint32.delaval.com O15 - Trusted Zone: http://setuagrint32.delaval.com O15 - Trusted Zone: setuagrint51.delaval.com O15 - Trusted Zone: setuagrint51.setu.delaval.com O15 - Trusted Zone: setuagrint66.sestu.delaval.com O15 - Trusted Zone: setuagrint66.setu.delaval.com O15 - Trusted Zone: cww.delaval.local O15 - Trusted Zone: intranet.delaval.local O15 - Trusted Zone: http://*.setuagrint32 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\Software\..\Telephony: DomainName = delaval.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local |
Komisch, dass das bei Dir nicht klappen will... Versuchen wir es erneut. Dies hier </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]dürfte wieder der "Network Security Service" sein. Beende und deaktiviere diesen. Wenn der InternetExplorer noch geöffnet ist, leere über Extras -> Internetoptionen -> Allgemein -> Temporäre Internetoptionen -> Dateien löschen -> Alle Offlineinhalte löschen die temporären Dateien. Boote dann im abgesicherten Modus Fixe mit HijackThis diese Einträge </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]Anschließend müssen die folgenden Dateien gelöscht werden: </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\xwoqr.dll C:\WINDOWS\system32\ntsd.dll C:\WINDOWS\system32\ntsd.exe C:\WINDOWS\addrj32.exe</font>[/QUOTE]Alternativ zu eScan kannst Du auch mal AntiVir Deinen Rechner scannen. Nach der Installation von AntiVir dieses zuerst aktualisieren. Wenn das wieder nicht funktioniert, versuche mal die Datei C:\WINDOWS\system32\ntsd.dll mit dem Editor zu öffnen. Wenn das geht, leere den kompletten Inhalt und speichere sie. Danach wählst Du unter den Eigenschaften dieser Datei (Rechtsklick auf die Datei) 'Schreibgeschützt'. Mache das gleiche nach Möglichkeit auch mit der 2. dll (C:\WINDOWS\xwoqr.dll). |
Hallo Lutz mal besten Dank für deine Hilfe ich glaube es hat jetzt geklappt, die letzten 2 Starts machten keine Probleme mehr ich hoffe es hält C:\WINDOWS\system32\ntsd.exe habe ich x-mal gelöscht ist immer wieder aufgetaucht zusätzliche habe ich noch andere Dateien gelöscht die mir verdächtig waren schöne Grüsse Lubin ich hoffe das Board wird weiter von Leuten mit Können betreut, Danke an alle die mir geholfen haben |
Hallo lubin, schau Dir noch diesen Thread an. Da findest Du noch etwas, wie Du die Registry bereinigen kannst. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board