| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/LowZones.ALWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2005, 17:15
| #1 |
 |  TR/LowZones.AL Hi.. habe anscheinend den oben genannten Wurm. Manchmal öffnet sich einfach ein Opera Fenster und es wird auf eine Adresse zugegriffen. AntiVir findet dann im Ordner "Content.IE5" in einem JPG (??) den oben genannten Wurm. Außerdem wird eine Datei in C:\ mit beliebigem Namen erstellt (zB FODH.EXE). Diese Datei wird dann auch gleich von AntiVir gelöscht. Außerdem läuft ständig der Task "wordpad.exe", die Datei liegt in C:\Windows. Wenn man sie beendet, ist sie sofort wieder da. Ich habe folgendes Versucht... - wordpad.exe gesucht -> vergebens ! Die Datei ist absolut unsichtbar.. VErsteckte Dateien sind bei mir _nicht_ ausgeblendet. Trotzdem merkt man nur dass es die datei gibt, wenn man versucht, eine mit dem selben Namen zu erstellen. Ich bin also in den abgesicherten Modus. Da ist die Datei sichtbar. Ich habe sie gelöscht und eine Datei "wordpad.exe" neu erstellt & schreibgeschützt. Wähnte mich sicher. Doch eben sehe ich, dass meine erstellte Datei weg ist (trotz schreibschutz ?!) und die alte wieder da (versteckt). - In der Registry gesucht -> keine einträge - bei google danach gesucht -> Keine brauchbaren ergebnisse Langsam bin ich ratlos  wordpad.exe wird übrigends nicht von AntiVir irgendwie erkannt. Die suche mit AdAware bringt auch nichts. Das System ist winXP home mit SP 1. Ich nutze Opera .. Noch was: Im ordner C:\Dokumente & Einstellungen\ich\Lokale einstellungen\temp sind mir Dateien aufgefallen die wohl damit was zu tun haben. Sie haben alle Namen wie zB. "~DFB01E.tmp" oder "~DFAFF8.tmp" und sind allesamt 16kb groß. Es entstehen immer neue und können nicht gelöscht werden, weil in verwendung. Noch eine Datei mit 16kb größe ist "Perflib_Perfdata_648.dat". Falls es hilft, hier ein HijackThis Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe E:\Rainlendar-0.21.2\Rainlendar.exe C:\Programme\ICQPlus\VPlus.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wordpad.exe C:\Programme\Opera75\opera.exe D:\kram\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: Verknüpfung mit Rainlendar.exe.lnk = E:\Rainlendar-0.21.2\Rainlendar.exe O4 - Startup: Verknüpfung mit VPlus.exe.lnk = C:\Programme\ICQPlus\VPlus.exe O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll O10 - Broken Internet access because of LSP provider 'xfire_lsp_9996.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{B825EDFD-FC51-4D6D-87D3-D655AAA2BA4A}: NameServer = 217.237.150.141 217.237.151.161 O20 - AppInit_DLLs: UmxSbxExw.dll Ich hoffe es hat jemand eine idee...  |
| Themen zu TR/LowZones.AL |
| adobe, antivir, appinit_dlls, avg, bho, confused, content.ie5, desktop, einstellungen, file, google, hijack, hijackthis, hijackthis log, home, internet, internet explorer, können nicht gelöscht werden, log, neu, opera, ordner, programme, registry, rundll, software, suche, system, temp, unknown file in winsock lsp, userinit.exe, winxp home, öffnet |
Baum-Darstellung