| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner? Win32ddl.exe, nicht löschbar?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.12.2004, 11:24
| #1 |
| |  Trojaner? Win32dll.exe, nicht löschbar? (Flux15) HAllo, bin neu hier und brauche Hilfe  Ich habe mir über eine als .jpg (icon) getarnte .exe Datei eine Trojaner auf das System gebracht (xp). Der erste Scan mit Antivir ergab TR/Drop.majoin.A, Dann habe ich im abgesicherten Modus mit "eScan" den Typ Tro.Spy.Win32. gefunden, der sich in der Datei "c:\windows\system32\Win32dll.exe" lokalisierte. Die Datei wurde durch eScan gelöscht. Dises Programm sagte auch, das es ein Flux 15 ist. Nix mit löschen, die Datei ist und bleibt da. Nochmaliger Versuch mit "Trojan Hunter 4.O". Auch er endeckt diese Datei und löscht sie, aber die Datei ist nach dem löschen sofort wieder da. HJT war beim fixen auch nicht erfolgreich, alle Registry Einträge werden sofort wieder ersetzt: z.B. O4 - HKLM\..\RunOnce: [*Win32dll] C:\WINDOWS\system32\Win32dll.exe, O4 - HKLM\..\Run: [Win32dll] C:\WINDOWS\system32\Win32dll.exe Interessant ist hier, das ein Sternchen (*) vor dem Dateieintrag ist. Manuelle Löschungen (alles uim abgesicherten Modus) erbringen nichts. Einzig, wenn ich die Datei manipuliere (d.h. ich lasse die Größe bestehen und verändere den Ihnhalt) bleibt ohne Reaktion. Ich habe jedoch kein Vertrauen zu dieser maßnahme  Hier das Protokoll von HJT: Logfile of HijackThis v1.98.2 Scan saved at 22:15:19, on 05.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE c:\programme\internet explorer\iexplore.exe C:\Programme\totalcmd\TOTALCMD.EXE C:\WINDOWS\system32\taskmgr.exe F:\escan\mwavscan.com F:\escan\kavss.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\TMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ISDNStatus] C:\Programme\ISDN_UTL\isdnsta.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe O4 - HKLM\..\Run: [StealthControl] C:\WINDOWS\StealthControl.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPagePro11.0\opware32.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Win32dll] C:\WINDOWS\system32\Win32dll.exe (die lassen sich nicht dauerhaft löschen)O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [*Win32dll] C:\WINDOWS\system32\Win32dll.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (das habe ich löschen können)O4 - HKCU\..\Run: [Win32dll] C:\WINDOWS\system32\Win32dll.exe O4 - HKCU\..\RunOnce: [*Win32dll] C:\WINDOWS\system32\Win32dll.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PhotoLoader resident.lnk = C:\Programme\Casio\Photo Loader\Plauto.exe O4 - Global Startup: RVS-COM Registration.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1d...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097566082250 O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 217.237.150.97 217.237.149.161 Hier das Protokoll vom Trojan Hunter: Registry scan No suspicious entries found Inifile scan No suspicious entries found Port scan No suspicious open ports found Memory scan No trojans found in memory File scan Warning: Unable to unpack UPX-packed file C:\Base2\TrojanHunter 4.0\Gen.dll (Add to ignore list) Warning: Unable to unpack UPX-packed file C:\Base2\TrojanHunter 4.0\UnUpx.dll (Add to ignore list) C:\pagefile.sys Not scanned (in use by another application) Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.Ink\1.0.2201.0__31bf3856ad364e35\Microsoft.Ink.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_78a74898\System.Xml.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll Found trojan file: C:\WINDOWS\system32\Win32dll.exe (Flux.105) 1 trojan files found 14762 files scanned in 1238 seconds Antivier erkennt nichts mehr an "maleware", eScan und Trojan Hunter zeigen in brav, löschen ihn und dann kann das ganze wieder beginnen. Habt Ihr eine Idee? Vielen Dank!  Reiner Geändert von rm_111 (07.12.2004 um 17:09 Uhr) |
| Themen zu Trojaner? Win32ddl.exe, nicht löschbar? |
| .exe, .exe datei, .inf, abgesicherten modus, adobe, antivir, application, askbar, assembly, avgnt.exe, bho, brauche hilfe, drivers, escan, explorer, file missing, hijack, hijackthis, hilfe, home, internet, internet explorer, löschen, maleware, maßnahme, my search, mysearch, nvcpl.dll, programm, programme, registry, rundll, scan, software, sun java, system, t-online, tcpip, trojaner, trojaner?, träge, vielen dank, windows, windows messenger, windows xp |
Baum-Darstellung