hi @ all!
bin via google auf trojaner-board aufmerksam geworden und glaube, das hier einige leute mit viel köpfchen schreiben
vielleicht kann mir jemand helfen?!

habe anscheinend einen trojaner namens "DYFUCA" auf meinen pc.
antivir bringt brav die meldung, bekommt ihn aber nicht gelöscht.
jede menge ie-fenster (trotz standardeinstellung opera!) öffnen sich und nichts lädt mehr... 5 minuten ladezeit für eine ebayseite und sporadisch bin ich dann mal gar nicht mehr im netz.
ad-aware und spybot kriegens ebenfalls nicht hin.

cw-shredder: (wem´s vielleicht was sagt...)
Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (847 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (1031 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (451 bytes, A)cw-shredder

hijackthis: (den ersten teil hab ich mir aus platzgründen gespart...)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;gopher=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080;https=www-proxy.netcologne.de:8080;socks=www-proxy.netcologne.de:
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zpyoktejbimd] C:\WINDOWS\System32\kloqyk.exe
O4 - HKLM\..\Run: [rql] C:\WINDOWS\rql.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] servicz.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Daniel\del-me.exe
O4 - HKLM\..\Run: [sysedit Win32] sysedit32.exe
O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winservit] cassl.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] servicz.exe
O4 - HKLM\..\RunServices: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [sysedit Win32] sysedit32.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\RunServices: [winservit] cassl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [sysedit Win32] sysedit32.exe
O4 - HKCU\..\Run: [winservit] cassl.exe
O4 - Global Startup: talk&surf 5.1 Monitor.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...140.3210648148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 213.168.112.60 194.8.194.60

hab keine ahnung, was davon gelöscht werden darf...
ebenso mit escan im abgesicherten modus - 3 stunden laufzeit: 57 verdächtige dateien und die warnung, das man nix einfach so davon löschen sollte. also alles lieber so lassen... außerdem hab ich keine möglichkeit gehabt diese 57 dateien irgendwie zu speichern. ich glaub die frührere version war ein bisschen netter - da wurde gleich von escan alles bedenkliche gelöscht, oder?

ansonsten weiß ich mir keinen rat mehr, kenne mich leider nicht übermäßig gut aus - aber ich versuche es wenigstens.

wenn mir jemand einen tipp geben kann (bitte erklären, als wäre ich 6 jahre alt ) DAAAAANNNKEEEE schonmal !!!

Hallo,

gerade der 'erste Bereich' mit den laufenden Prozessen wäre immens wichtig gewesen, aber der zweite Teil ist in deinem Fall, für eine Auswertung völlig ausreichend.
Daran lässt sich erkennen, dass etliche Würmer/Trojaner mit Backdoor Funktionalität aktiv waren oder immer noch sind, wie z.B. Worm Rbot APR, W32/RBot-PI usw.

Zitat:

# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Verändert Kennwörter
# Speichert Tastenfolgen

Setze dein System daher zur deiner eigenen Sicherheit neu auf, siehe Signatur.

danke für die schnelle antwort...!

das hatte ich fast befürchtet
gibt´s echt keine möglichkeit die backdoors manuell zu entfernen?!

bevor ich das system neu aufsetze (liest sich in deiner signatur leider nicht so, als wär das mal eben neben ner tasse kaffee zu bewältigen *seufz*), würde ich doch einige meiner dateien auf cd-roms sichern... besteht da nicht die möglichkeit, dass ich den dyfuca gleich "mitsichere"? dann wär ja alles umsonst gewesen... und die ganzen einstellungen, bis ich damals mal endlich ins internet konnte... da vergingen wochen, bis das gigaset mit dem aldi-pc harmonierte.

falls es doch eine manuelle möglichkeit gibt, wie ich die biester loswerden kann... hier noch der "erste teil":

Logfile of HijackThis v1.97.7
Scan saved at 21:20:26, on 14.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Daniel\del-me.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe
C:\Program Files\Preview AdService\PrevAdKeep.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe
C:\WINDOWS\ISW\netcol\signup\ncdial.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\msmq2inst.exe
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

ich hab früher schon zwei mal würmchen gekillt


lieben gruß -
klemi

Zitat:

gibt´s echt keine möglichkeit die backdoors manuell zu entfernen?!

Nein, zumindest keine vertrauenswürdige.

Zitat:

als wär das mal eben neben ner tasse kaffee zu bewältigen

Yepp, so ist es, aber danach kannst mit ruhigen Gewissen wieder mit deinem, ich betone deinem, vertrauenswürdigen System arbeiten.
Die Zeit einer Bereinigung wäre imo gleich oder sogar grösser, aber Zeitfaktor sollte gegenüber deiner und anderer I-net User Sicherheit keine Rolle spielen.
Letztendlich musst du dich dann auf die Meldung, bezüglich Sauberkeit, deiner verwendeten Sicherheitssoftware verlassen bzw. darauf vertrauen, aber eine Garantie ob dein System tatsächlich sauber ist...
Ich wage es zu bezweifeln.

Zitat:

besteht da nicht die möglichkeit, dass ich den dyfuca gleich "mitsichere"? dann wär ja alles umsonst gewesen

Diese Thematik wird im zweiten Link abgehandelt.

Zitat:

ich hab früher schon zwei mal würmchen gekillt

Das nicht vertrauenswürdige Resultat durch Scheinsicherheitssoftware kann man sehen.

oki-doki...! du hast ja recht

dann werd ich morgen mal alles auf cds sichern und hoffen, dass mein bester kumpel am mittwoch zeit für mich findet, um mir seelischen/fachlichen beistand zu leisten... so ganz allein trau ich mich da dann auch wieder nicht ran...

ich dank dir vielmals!

klemi

ps: wenn ich nach mittwoch je wieder ins internet kann, dann schreib ich nochmal...

Normalerweise schaffst du dies auch alleine.
Hinter jedem Link befindet sich eine detailierte Anleitung die teilweise noch bebildert ist.

Ein Feedback wäre deinerseits nicht schlecht. Ebenso sollte man das System nochmals, nach getaner Arbeit, überprüfen.

naja, hab mir fast die komplette anleitung zum Neuaufsetzen des systems ausgedruckt... (problem: wenn die kiste erstma platt ist, kann ich ja für den moment nix mehr im internet nachlesen).
dennoch immer besser, da ist jemand der ALLES versteht und ich mich nicht bei irgendeinem wichtigen punkt "verklicke"...

werde also in den nächsten stunden mal sichern und mich dann nach "getaner arbeit" melden.

so long -
klemi

hi, da bin ich wieder...
mein freund hat ganze arbeit geleistet - auch wenn´s irgendwie recht easy aussah: ich hätte ganz bestimmt die falschen klicks irgendwo gemacht!!!

mit service pack 2 sieht das ganze sicherheitstechnisch schon anders aus... allerdings tut sich wahrscheinlich genau durch diese installation ein neues problem auf:
ich fliege - anscheinend nur beim aufrufen bestimmter internetseiten "ksk-koeln" - raus und bekomme einen bluescreen angezeigt *pitsch*
da kommt dann eine meldung, dass was mit "irql" nicht stimmt - wir gehen davon aus, dass das was mit der grafikkarte zu tun hat. eben kam dann noch ne meldung zwecks "capi" auf den schirm...
also, falls jemand zur lösung dieses problems beitragen kann, könnte ich mal wieder richtig ruhig schlafen

@klemi

wie lauten die genaue fehlermeldungen?

chaosman

also - ich hab mir da heute so einiges notiert...

wenn ich den bluescreen bekomme, dann steht da ungefähr das:

IRQL is not less or equal

NDIS.SYS - adress F98B6FFE base at F9897000
date stamp 41107ec3

problemsignatur
bccode: 100000d1
bcp1: 0000000c
bcp2: 00000002
bcp3: 00000001
bcpß4: 00000001
bcp4: F98B6FFE
osver: 5_1_2600
sp: 2_0
product: 768_1

nach dem hochfahren kommt dann "problembericht senden..."
= system wurde nach schwerwiegendem fehler ausgeführt

die andere problemberichtsenden-meldung bezog ich auf capi call monitor (calltray.exe)

hilft das weiter?!

lieben gruß -
klemi

@klemi
CAPI problem, wahrscheinlich fehlt der treiber von siemens
CALLTRAY.exe Programme Siemens (Gigaset) ISDN Utilities
müßtest du neuinstallieren

das andere problem kommt wohl öfters vor
http://www.pcwelt.de/forum/archive/i.../t-151313.html
http://www.hardwareanalysis.com/content/topic/5695/
http://board.protecus.de/showtopic.php?threadid=1636

liegt wohl an der treiber der kein xp2 mag.

müßt dich mal durchgooglen

chaosman