| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Small.cgu in dll's - Zugehörigkeit der dll's erkennen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.04.2006, 14:45
| #1 |
| |  Small.cgu in dll's - Zugehörigkeit der dll's erkennen? Hi! AntiVir kann leider Small.cgu aus den dll's nicht entfernen. Diese sind im System32-Ordner. Kann man (mit einem Tool) herausfinden, welche installierten Programme diese dll-Dateien benötigen, damit man nicht das blaue Wunder erlebt und sich wundert, waum später immer ein Programm nicht funktioniert? Es handelt sich um folgende Dateien [WindowsXP Prof.]: inetpp32.dll mswttr10.dll scredird.dll wobei ich letztere schon aus versehen gelöscht habe. (Sind in Quarantäne bei AntiVir). Ich habe zwar ein Image von meinem System, doch die Befallen dll's sind noch nicht in dem Backup vorhanden...  Cu - Shadow |
|
18.04.2006, 16:11
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Small.cgu in dll's - Zugehörigkeit der dll's erkennen?Zitat:
__________________ |
|
22.04.2006, 01:29
| #3 |
| | Small.cgu in dll's - Zugehörigkeit der dll's erkennen? Hi! Auch der Onlinescanner bestätigt den Virus. Dieser Trojaner zum Nachladen von irgendwelchem Kram kam leider gratis mit eingebunden in einer Installation.
__________________Leider dachte ich, dass AntiVir nur rumgesponnen hatte (da vor ca. eine Woche zuvor Fehlalarm bei einer EXE war), so hatte ich das Install öfter gestartet, jedesmal hat sich das Setup scheinbar per Zufall irgendeine dll geschnappt und verseucht. Ob das Setup dabei auch die eingeimpften Routinen der DLL gleich ausgefüht hat und was runterludt? Das eine Desktop-Firewall nix wert ist weis ich. Ich benutze trotzdem Kerio als IP-Filter. Andererseits hat das Programm vielleicht keine Routine zum Umgehen einer Desktopfirewall gehabt? Oder wurde diese doch umgangen, weil einfach der freigegebene HTTP-Port o.ä. benutzt wurde? - Ja, ich weis, alles nicht leicht zu beantworten, nur mit "Vielleicht", "könnte sein", "möglicherweise"... Hab mal ein HighJack-Log gemacht: Logfile of HijackThis v1.99.1 Scan saved at 02:01:01, on 22.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\InCD\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\Programme\TrueCrypt\TrueCrypt.exe D:\Programme\HDD Health\hddhealth.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\niSvcLoc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe d:\Programme\HDD Health\HDDHealth.exe C:\WINDOWS\system32\atwtusb.exe C:\Dokumente und Einstellungen\- Shadow -\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Quick Drive Info.exe D:\Programme\RefreshLock.exe d:\Programme\Babylon\Babylon.exe D:\Programme\SpamPal\spampal.exe D:\Programme\PopTray\PopTray.exe d:\Programme\TaskSwitchXP\TaskSwitchXP.exe D:\Programme\InCD\InCD\InCD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\eMule\emule.exe D:\Programme\Mozilla\mozilla.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\PROGRA~1\WINZIP\winzip32.exe D:\Programme\HijackThis v1.99.1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2B873008-764D-439F-9BA8-8A747D4A6527} - C:\WINDOWS\system32\inetpp32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {A299FF84-C586-4B48-8D4E-A418428B7437} - C:\WINDOWS\system32\ID3UagIT.dll (file missing) O2 - BHO: (no name) - {C8F942E9-5D4F-4A9F-A525-429910F05C74} - C:\WINDOWS\system32\mswttr10.dll O2 - BHO: (no name) - {EBE63AFB-34CA-4E33-9BFB-39A6B6386868} - C:\WINDOWS\system32\iassecst.dll (file missing) O2 - BHO: (no name) - {EEFD3BDD-8748-48BA-9BAF-2B2D90EF5505} - C:\WINDOWS\system32\scredird.dll O3 - Toolbar: UCmore - The Search Accelerator Toolbar - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart O4 - HKCU\..\Run: [HDDHealth] D:\Programme\HDD Health\hddhealth.exe -wl O4 - Global Startup: start startupdelayer after 110 seconds.lnk = D:\Programme\Startup Delayer\start startupdelayer after 110 seconds.bat O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{658E18ED-EDBA-41B0-832D-97429A28D7A9}: NameServer = 195.50.140.114 195.50.140.252 O20 - AppInit_DLLs: hplun.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\InCD\InCD\InCDsrv.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - d:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: VNC Server (winvnc) - Unknown owner - d:\Programme\UltraVNC\WinVNC.exe" -service (file missing) Nachteilig bei den Logs ist die Suche nach konkretem bei Google. Man findet manchmal die Unbekannte exe in irgend einem foren-log anstelle einer Beschreibung  The Search Accelerator Toolbar scheint mir Adware zu sein... ich lasse da mal S&D rüberlaufen. Die Einträge mit den {AABBCCDD-EEFF ...} kann ich leider nicht deuten Na mal sehen, noch leuft alles stabil  |
|
25.04.2006, 00:34
| #4 |
| | Small.cgu in dll's - Zugehörigkeit der dll's erkennen? Ich würde mal einen Scan mit Escan vorschlagen (Anleitung hierfür: http://www.trojaner-board.de/showthread.php?t=24192) Das Ergebnis der find.bat bitte hier posten. Die ganzen BHOs sehen bis auf 2 Einträge sehr schräg aus, aber vermutlich ist das noch nicht alles. |
|
| Themen zu Small.cgu in dll's - Zugehörigkeit der dll's erkennen? |
| backup, befallen, benötige, blaue, dll, entferne, erkenne, erkennen, erlebt, folge, folgende, funktioniert, gelöscht, handel, herausfinden, heulen, image, installier, installierte, programme, quara, quarantäne, shadow, system, tool, windowsxp, wunder |
Linear-Darstellung
