|
Log-Analyse und Auswertung: shdoclc.dll/navcancl.htmWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.01.2005, 11:46 | #1 |
| shdoclc.dll/navcancl.htm Hi Leute, ich habe, wie andere auch das gleiche Problem. Durch einen Besuch der Seiten, wo und wie auch immer!!!!, mir diesen Link (res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm) eingefangen. Trotz HijackThis-Ausführung. Hier die logs: Logfile of HijackThis v1.99.0 Scan saved at 11:19:00, on 26.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Grisoft\AVG6\avgcc32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\ScanSoft\PaperPort\PPScheduler.exe C:\WINDOWS\System32\CTFMONSS.EXE C:\WINDOWS\System32\CSRSSW.EXE C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE H:\BitTorrent++\torrent\Tool\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer,Start Page = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.t-online.de\ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.t-online.de/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.t-online.de/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.t-online.de O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPScheduler] "C:\Programme\ScanSoft\PaperPort\PPScheduler.exe" O4 - HKLM\..\Run: [PPort10reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\10\Config\Ereg\ereg.ini" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BMUpdate] C:\WINDOWS\System32\BMUpdate.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Startup: Tempdel.bat O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Tempdel.bat O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094670638734 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Stephan O17 - HKLM\Software\..\Telephony: DomainName = Stephan O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B85EEA-3ADB-4ADD-AB48-8EF79518A666}: NameServer = 217.5.114.141,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Stephan O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Stephan O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: TuneUp WinStyler Theme Service - Unknown - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Was kann ich nun noch tun? Er kommt trotz der Ausführung von K*LLfR_G immer wieder. Bitte, wie bekomme ich das Ding weg? Bitte schnell SteJeh |
26.01.2005, 13:52 | #2 |
shdoclc.dll/navcancl.htm 1.escan
__________________-lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diese einträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE O4 - Startup: Tempdel.bat O4 - Global Startup: Tempdel.bat O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab 3.dateien löschen -lösche die datei wtlbass32.dll im ordner c:\windows -lösche die datei CSRSSW.EXE im ordner c:\windows\system32 -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
Themen zu shdoclc.dll/navcancl.htm |
antivirus, antivirus scan, avg, bho, dateien, einstellungen, excel, explorer, hijack, icq, internet, internet explorer, messenger, microsoft, monitor, nvcpl.dll, nvidia, programme, rundll, seiten, software, symantec, system, system32, tcpip, tuneup utilities, usb, windows, windows xp |