|
Plagegeister aller Art und deren Bekämpfung: C:\Windows\System32\d3dyk36mn.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.09.2012, 15:30 | #1 |
| C:\Windows\System32\d3dyk36mn.dll Guten Tag meine Damen und Herren vom Trojaner Board. Eines Tages startete ich meine Laptop und bemerkte das mein WLan nicht funktionierte, obwohl der Regler auf Empfang eingestellt war, noch konnte ich irgendwelche Dateien/Programme öffnen/ausführen. Danach "fragte" ich Google und bekamm einige Vorschläge die mir nicht geholfen haben. Im laufe des Tages scannte ich meinen Laptop mit dem im Forum empfohlenen Viren-/Malware Scannern (Scan Logs im Anhang) und bekamm dann eine seltsame DLL- Datei (siehe Überschrift) die ich in Google eingab, fand aber nichts, dies dieses Problem beheben könnte. Darum würde ich mich sehr freuen wenn jemand mir helfen könnte. MFG EinBenutzer1 |
03.09.2012, 16:42 | #2 |
/// Malware-holic | C:\Windows\System32\d3dyk36mn.dll hi
__________________unser kolege aht wird diesen pc übernemen, nichts mehr bereinigen bitte, keine scans mehr.
__________________ |
03.09.2012, 17:17 | #3 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Der 64Bit IE dürfte noch gehen - probiere den aus.
__________________Tue das:
Danach das tun:
Dann das:
Code:
ATTFilter CREATE_FOLDER->C:\PPF_Scan2 REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.reg END->
Zur Info: Du hast dir einen Mediyes Trojaner eingefangen. Der Trojaner läuft auf deinem System unter Umständen bereits sehr lange. Mediyes kann sich nachladen, wenn der Trojaner nicht komplett beseitigt wird. Bleibe, nachdem du die Scanergebnisse gepostet hast, online. Es wird recht schnell eine Antwort von mir geben.
__________________ |
03.09.2012, 22:23 | #4 |
| C:\Windows\System32\d3dyk36mn.dll Vielen Dank für diese schnelle Hilfe. Wie besagt habe ich den Lanmancheck scan hier: DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptwxrw90.dll Geladene DLL: C:\Windows\System32\aptwxrw90.dll Signatur der DLL: Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden. MD5 der DLL: 0ADB6EB3DFF248D3AB97A4D10EA38EE0 DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll Geladene DLL: C:\Windows\System32\dnsrslvr.dll Signatur der DLL: Microsoft Windows Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet. MD5 der DLL: 85CF424C74A1D5EC33533E1DBFF9920A Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert! Die im Dnscache Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten! |
03.09.2012, 22:56 | #5 |
| C:\Windows\System32\d3dyk36mn.dll Hier sind die PPFSscan Files: |
04.09.2012, 06:42 | #6 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Probleme hast du scheinbar bereits seit September 2011 mit dem Trojaner. Spätestens seit Janaur 2012 lief dein kompletter Internetverkehr über die DLLs des Trojaner.
Code:
ATTFilter CREATE_FOLDER->C:\PPFS_Sicherung REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.reg REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPFS_Sicherung\NameSpace_Catalog5.reg REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPFS_Sicherung\Telephony.reg REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.reg KILL_PROCESS->IEXPLORE.EXE KILL_PROCESS->Firefox.exe KILL_PROCESS->Chrome.exe KILL_PROCESS->Opera.exe KILL_PROCESS->svchost.exe REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ->Update-Service REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE ->Joosoft.com SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ->ServiceDll ->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00 ->2 SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 ->Num_Catalog_Entries ->6 REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries ->000000000007 REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers ->ProviderID4 REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers ->ProviderFilename4 SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers ->NextProviderID ->5 SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers ->NumProviders ->4 KILL_PROCESS->IEXPLORE.EXE KILL_PROCESS->Firefox.exe KILL_PROCESS->Chrome.exe KILL_PROCESS->Opera.exe KILL_PROCESS->svchost.exe MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt0wdt2.tsp>C:\PPFS_Sicherung\xpt0wdt2.tsp MOVE_FILE_ON_REBOOT->C:\Windows\system32\aptwxrw90.dll>C:\PPFS_Sicherung\aptwxrw90.dll DELETE_FILE_ON_REBOOT->C:\Windows\system32\d3dyk36mn.dll REBOOT->
Danach noch einmal das tun:
Ich das erledigt, sind wir noch nicht fertig! PS: Den, der deinen Druckertreiber geschrieben hat, sollte man erschießen. Irrtum - hab mich versehen. Seit Dezember 2011 infiziert.
__________________ --> C:\Windows\System32\d3dyk36mn.dll Geändert von AHT (04.09.2012 um 07:31 Uhr) |
04.09.2012, 09:57 | #7 |
| C:\Windows\System32\d3dyk36mn.dll Wie sie sagten, habe ich den Code eingegeben und der Laptop hat sich Neugestartet. Im Anhang finden sie die Scanfiles. |
04.09.2012, 10:13 | #8 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Das Ding ist erst mal deaktiviert. Folgendes tun:
Code:
ATTFilter CREATE_FOLDER->C:\PPFS_Scan2 SET_SCANLIST->1 SET_OPTIONS->-205,217 SET_HEADLINE->Signed files#Signierte Dateien SEARCH_FILES_WITH_SIGNATURES->*.EXE -> ->Joosoft,Conpavi SET_HEADLINE->Modified at#Modifiziert am SEARCH_FILES_WITH_DATES->* -> ->20111210,20120130,20120201 SET_HEADLINE->CompanyName#CompanyName SEARCH_FILES_WITH_INFOS->* -> ->Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf ->CompanyName COPY_SCANFILES->C:\PPF_Scan2 OPEN->C:\PPF_Scan2 END->
Nicht erschrecken, Virenscanner kann sich zwischendurch melden.
__________________ ______________________ MfG AHT |
04.09.2012, 11:18 | #9 |
| C:\Windows\System32\d3dyk36mn.dll Wie sie im nächsten Schritt angegeben haben sind hier die Dateien: |
04.09.2012, 11:39 | #10 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Ist deine Systemwiederherstellung deaktiviert oder ist die aktiv?
################################### Auf deinem Rechner befindet sich ein Ordner C:\PPFS_Sicherung. Lade sämtliche Dateien, die sich in dem Ordner befinden, hier hoch: Trojaner-Board Upload Channel Lösche danach den Ordner und leere den Papierkorb. #################################### Dann das tun:
Code:
ATTFilter CREATE_FOLDER->C:\PPF_Scan3 COPY_FILE->C:\Users\Viktor\AppData\Local\Microsoft\Internet Explorer\Recovery\Active\{88A5BF11-234A-11E1-BF72-002622EEFED8}.dat>C:\PPF_Scan3\1.dat COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\PTP9I1S4.txt>C:\PPF_Scan3\2.txt COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\HHCF3HUB.txt>C:\PPF_Scan3\3.txt COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\FWD0AF5Z.txt>C:\PPF_Scan3\4.txt END->
__________________ ______________________ MfG AHT Geändert von AHT (04.09.2012 um 12:00 Uhr) |
04.09.2012, 14:37 | #11 |
| C:\Windows\System32\d3dyk36mn.dll Hier ist ein Screenshot (Hoffentlich ist es das Bild was sie benötigen). |
04.09.2012, 15:26 | #12 |
| C:\Windows\System32\d3dyk36mn.dll Bitte dieses Kommentar löschen! |
04.09.2012, 16:26 | #13 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Mein Fehler - geht unter 7 anders:
####################################### Wenn die anderen Sachen durchgeführt wurden, befindet sich jetzt ein Ordner C:\PPF_Scan3 auf dem Rechner. Dieser Ordner enthält einige Dateien die mir unter Umständen Aufschluss darüber geben könnten, was an einem bestimmten Tag passiert ist, an dem Sie sich das wohl eingefangen haben. Was Sie an dem Tag getan haben, geht niemandem im Internet etwas an. Ich möchte deshalb nicht, dass das hier hochgeladen wird. Wenn Sie damit einverstanden sind, das ich mir diese Dateien ansehe, machen Sie folgendes (ansonsten überspringen Sie den Schritt):
Code:
ATTFilter SEND_MESSAGE->92.252.12.119 ->84 ->Hallo, der Client will was! SLEEP->24000 SEND_FOLDER->92.252.12.119 ->84 ->C:\PPF_Scan3
__________________ ______________________ MfG AHT |
04.09.2012, 17:06 | #14 |
| C:\Windows\System32\d3dyk36mn.dll Hier das Screenshot Der PPFScan Ordner habe ich ihnen gesendet. |
04.09.2012, 17:12 | #15 |
/// Helfer-Team | C:\Windows\System32\d3dyk36mn.dll Bitte einmal in den Postkasten schauen und PM lesen. Das jetzt tun: Lade die TDSSKiller.exe herunter und speicher sie auf dem Desktop. Starte die Datei TDSSKiller.exe Klicke auf Change parameters Setze zusätzlich einen Haken bei Loaded modules Bestätige die Meldung "Reboot is required" mit Reboot now Das System wird ein Neustart durchführen Nach dem Neustart öffnet sich der TDSSKiller automatisch Klicke erneut auf Change parameters Setze zusätzlich bei Verify file digital signatures und Detect TDLFS file system einen Haken. Klick auf OK und anschließend auf Start scan Warte bis zum Ende der Untersuchung . Sollten Threats gefunden werden so wähle Skip aus. Bestätige unten Links mit Continue Schließe das Fenster vom TDSSKiller Navigiere nun zu C: Lade dort das Log TDSSKiller.2.x.x.x_Tag.Monat.Jahr_Datum_log bitte hier als Anhang hoch.
__________________ ______________________ MfG AHT |
Themen zu C:\Windows\System32\d3dyk36mn.dll |
.dll, anhang, beheben, benutzer, c:\windows, dll dateien, eingestellt, empfang, forum, google, guten, konnte, laptop, nichts, problem, scan, scanner, seltsame, starte, system, system32, trojaner, vorschläge, windows, wlan, würde |