|
Plagegeister aller Art und deren Bekämpfung: saishook.dll trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.06.2005, 06:52 | #1 |
| saishook.dll trojaner? hey folk ich hab immer schlechte erfahrungen gemacht mit viren und trojaner, deshalb hab ich auf meinem neuen pc alle möglichen firewalls installiert. ich hab heute um 5 uhr morgens kurz die teilers deaktiviert für ne stunde, vergessen halt. und jetzt hab ich doch echt n paar trojaner drauf. das eine kluge ding nennt sich saishook.dll meine spyware aber gratuliert mir zum entryfreien computer. saishook.dll lässt sich leider nicht löschen, da es schreibgeschützt ist oder gerade verwendet wird. wie es leider selbst sagt. was kann ich da tun? ich bin ziemlich frustriert. wenn ich bei den eigenschaften von saishook.dll den haken bei schreibgeschützt rausnehme, ist es beim nächsten mal wieder drinne. das teil ist anscheinend ganz klug. ich gehe so auch in der annahme, das das programm irgendwie läuft, nur finde ich halt den entry net. im task manager habe ich einige sachen laufen unter meinem benutzernamen, sprich die sachen von mir, nicht über system und lokales. ich habe aber irgendwie hemmungen die prozesse zu beenden. vielleicht weiss jemand, wie der prozess von saishook.dll heisst? dann könnte ich es entfernen und die dateien auch. oder nutzt da gar nichts? kann es sein, dass ich noch weiteres auf meinem pc liegen könnte? antivir 6 läuft bei mir nonstop, hat auch schon paar dinge in den letzten stunden gefunden, die ich gelöscht habe. ich geh ab wie nix hier. greetz, nina. |
24.06.2005, 07:19 | #2 |
saishook.dll trojaner? alle möglichen firewalls bringen absolut nichts, außer dass sie sich gegenseitig blockieren. wenns schon eine firewall sein muss (wo es bessere varianten zur sicherheit bei www.ntsvcfg.de und www.dingens.org gibt) dann nur eine.
__________________die saishook.dll kannst du auch mit killbox löschen. anleitung zum löschen: -starte killbox -delete file on reboot -gebe entweder den pfad von saishook.dll ein (c:\windows\system32\saishook.dll) oder klicke auf durchsuchen und finde ihn so. am besten führst du auchnoch HijackThis sowie eScan und postest dann hier die funde und den log. |
24.06.2005, 07:38 | #3 |
| saishook.dll trojaner? vielen dank. die file ist weg. als wenn ich den hjt log poste, einfach reinkopieren oder gewisse dinge zensieren?
__________________danke noch für den tip für die firewalls. hier der log: Logfile of HijackThis v1.99.1 Scan saved at 08:43:46, on 24.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Bluewin\Quick Help\bin\mpbtn.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing) O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://h*tp://go.microsoft.com/fwlin...67&clcid=0x409 O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://h*tp://www.ysbweb.com/ist/sof...sb_1002838.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://v5.windowsupdate.microsoft.com/v5c |
24.06.2005, 08:44 | #4 |
saishook.dll trojaner? fixe noch diese einträge: O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing) O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://h*tp://www.ysbweb.com/ist/so...ysb_1002838.cab ansonsten sieht alles OK aus. führe escan aber trotzdem aus, du willst ja ein bereinigtes system Update aber auf SP2 |
24.06.2005, 09:11 | #5 |
| saishook.dll trojaner? okay danke, habe die zwei sachen gefixt. wenn ich jetzt in systemsteuerung/software gehe, dann sehe ich ja da alle ausgeführten programme. zu unterst ist aber immer noch "yoursitebar" drin, welches ich rausgelöscht habe. ausserdem sind da total viele windows xp hotfix codes drin - normal? äh escan läuft grad, schaut net toll aus. was kann ich da machen? wie löschen? müsste ja escan kaufen... werde den log danach posten. kann ich das versuchen mit killbox zu löschen? soll ich den log trotzdem posten? Geändert von ButterflyEffect (24.06.2005 um 09:19 Uhr) |
24.06.2005, 09:35 | #6 |
| saishook.dll trojaner? das sieht schrecklich aus oder? Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "ToolBar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltnetBDE Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltnetBDE Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\cddvdint.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\jvintl.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{03A421AD-E8EE-4C47-9A03-FB386747186B}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{218E03A7-D535-445A-B30F-1315F1F8FC3E}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{254CB8BE-ABAF-4730-9955-45E33EDE625E}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{3764A0A4-CCF1-4689-9AAA-25323840D450}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{4296E5FA-7692-46D8-BFC8-EC3836EE1DEC}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6815282E-3A4B-4F8C-B6CF-B2D6A8B1F857}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{7968016E-F315-4B10-8D98-A0903335C5B3}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{7E5D116F-2DB8-4F11-8BA9-175318A4D180}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}" refers to invalid object "C:\Programme\ICQToolbar\toolbaru.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}" refers to invalid object "C:\Programme\YourSiteBar\ysb.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{9B1E47CD-C835-46CA-AA9A-6171E279D07A}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{A84011C3-4B7D-4575-B1AE-21619AF1FA74}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{BF22E664-D582-412D-B06A-DF2C6DC2FE49}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{C5CD3C28-C7C3-4E71-9D9B-9799D3A486B7}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{C7B3034C-E1B5-4171-B72D-89499B566768}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{CDDCFB92-F011-45CE-B77C-9EA66736E183}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{EF408D7F-64E6-42AE-8D58-1967D995C316}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{F3682527-2997-417B-B993-5ECFAFA2EC1D}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{FA866075-4B98-40EC-AAA5-136D804C4C87}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\180sainstallersilsais.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\bb.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Del2F.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Del90.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\res30.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken. File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010050.dll tagged as not-a-virus:ToolBar.YourSiteBar.d. No Action Taken. File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010051.dll tagged as "not-a-virus:AdWare.ToolBar.SideFind". Action Taken: No Action Taken. File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010052.exe infected by "Trojan-Downloader.Win32.IstBar.jm" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010060.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken. File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010101.dll tagged as "not-a-virus:AdWare.180Solutions.j". Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken. btw: escan läuft immer noch, wie lange dauert sowas durchschnittlich? hat aber keine weiteren files gefunden. Geändert von ButterflyEffect (24.06.2005 um 10:10 Uhr) |
24.06.2005, 10:26 | #7 |
saishook.dll trojaner? so schlimm wie's aussieht ist es auf jedenfall nicht. lösch einfach so wie du normal jede datei löscht im abgesicherten modus: lösche den ordner C:\Programme\YourSiteBar\ -deaktiviere die systemwiederherstellung über rechtsklick arbeitsplatz,eigenschaften,systemwiederherstellung, systemwiederherstellung auf allen laufwerken deaktivieren haken hin, neustart haken weg. -starte killbox, gebe als pfad C:\WINDOWS\Downloaded Program Files\YSBactivex.dll ein, "delete a file on reboot", OK. dann sollte das system wirklich vollständig bereinigt sein |
24.06.2005, 14:19 | #8 |
| saishook.dll trojaner? hey, danke vielmals, echt. ich denk, dass jetzt alles okay ist. |
24.06.2005, 15:27 | #10 |
| saishook.dll trojaner? ich hab windows button + R > temp gemacht und alle temporären dateien herausgelöscht.... ist das das gleiche? |
24.06.2005, 17:26 | #11 |
| saishook.dll trojaner? das ist das gleiche du hast bei dem Programm nur ein paar mehr Möglichkeiten zum säubern |
Themen zu saishook.dll trojaner? |
antivir, benutzer, dateien, deaktiviert, entfernen, erfahrungen, firewalls, gelöscht, gen, heulen, löschen, manager, neue, neuen, nicht löschen, nichts, nutzt, programm, prozesse, spyware, system, task manager, trojaner, trojaner?, viren |