| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sehr hartnäckiger DailerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.05.2006, 08:33
| #1 |
| |  Sehr hartnäckiger Dailer Guten Tag zusammen, gestern Abend habe ich [OS Windows XP SP2] - warscheinlich in geistiger Umnachtung - folgender verhängnisvollen Fehler gemacht: Die Datei "microsoft.exe" die sich plötzlich auf dem Desktop fand ausgeführt. Anschließend versuchte sich ein dialer via modem einzuwählen. Das ist nicht so schlimm, denn ich benutzte es nicht mehr. Anschließend habe ich denn mit einem aktuellen System-scan von Sophos das kleine Programm aufgespürt. Gelöscht werden konnte es wegen einer Zugriffsverweigerung nicht. Hier ein Logbuchauszug: C:\Programme\mpfPu.exe" gab SAVI-Fehler 0xa0040210 aus: Auf die Datei konnte nicht zugegriffen werden. ebfalls verdächtig schien mir folgendes: C:\System Volume Information\_restore{32E7BA2C-BFA1-4734-9E39-E63247D605F9}\RP102\A0017736.exe" gab SAVI-Fehler 0xa0040210 aus: Auf die Datei konnte nicht zugegriffen werden. Dann hab ich erst mal den Treiber des modem deaktiviert und die mpfPu.exe in mpfPu.exe.dailer umbenannt. Ich konnte feststellen, dass der dailer einen neuen User eingerichtet hat namens: DaKr. Und die Datei mpfPu.exe ist verschlüsselt mit einem Zertifikat, dass nur vom User Dakr verwendet werden kann. Den hatte ich aber schon gelöscht. Und ich kann mich auch nicht unter seinem Namen anmelden. Folgendes habe ich schon versucht: -Hijack this -Im abgesicherten Modus als Admin -Spybot -Mit meinem parallelen System (Suse Linux) Datei löschen -Nur Eingabeaufforderung im abgesicherten Modus. -User mit gleichem Namen neu anlegen -google suche -board suche ... alles ohne Erfolg. Ich kann dieses verschlüsselte Biest nicht löschen. Zuletzt noch der logfile von hijack this: Logfile of HijackThis v1.99.1 Scan saved at 00:07:26, on 29.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\...\Cisco VPN Client\cvpnd.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe ... C:\Programme\OpenVPN\bin\openvpn-gui.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\Programme\OpenVPN\bin\openvpn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\...\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\NetXfer\NXIEHelper.dll O2 - BHO: (no name) - {93C69D87-A11D-4FFC-BC56-BE7EE0D235BA} - (no file) O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup ... ... O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: ACER WLAN 11g USB Utility.lnk = C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: ...lnk = C:\Programme\...\Cisco VPN Client\vpngui.exe O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\NetXfer\NXAddList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\NetXfer\NXAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - (no file) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://G:\AUTORUN\Flash\swflash.cab O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\...\Cisco VPN Client\cvpnd.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe Ich hoffe von Euch Experten kann mir jemand helfen, denn ich bin mit meinem Latein wirklich am Ende. Vielen Dank schonmal, Hans Muff Kleiner Nachtrag: Die Datei wurde von "h**p://gromozon.com heruntergeladen". Geändert von hansmuff (29.05.2006 um 08:47 Uhr) |
| Themen zu Sehr hartnäckiger Dailer |
| abgesicherten modus, adapter, application, autorun, bho, cisco vpn, desktop, ebay, excel, explorer, fehler, firefox, helfen, hijackthis, homepage, internet, internet explorer, logfile, mozilla, mozilla firefox, object, programm, programme, shockwave, software, system volume information, temp, usb, windows, windows xp, wlan, zugriffsverweigerung |
Baum-Darstellung