Hallo! Ich habe hier auf einem Rechner einen Trojaner, der im Minutentakt Popus (meist PartyPoker-Seiten) öffnet und sich sehr hartnäckig entfernen lässt.

In der Registry befindet sich folgender Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l2p2lc7o1f.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

Der Registry-Name (Applets) sowie der Dll-Name (l2p2lc7o1f.dll) ändert sich ständig.
Löschen und ändern lässt sich der Eintrag nicht. ("DllName kann nicht bearbeitet werden. Fehler beim Lesen des Inhalts des Werts"). Und das sogar im abgesicherten Modus.

Ich habe XP Service Pack 2 nachinstalliert, hat nichts geholfen. Weitere Updates dauern noch, is leider ein PC mit Modem ...

Weiß jemand eine Abhilfe, ausser "format c:" ?

Viele Grüße

Egon Schmid

Poste bitte ein HJT-Logfile (siehe FAQ), achte aber darauf, aktive Links und persönliche Angaben zu editieren.

Logfile of HijackThis v1.99.1
Scan saved at 11:03:24, on 14.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\freenet\WsRasMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\N.N\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://***.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=***.freenet.de:8080
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\Dokumente und Einstellungen\N.N\Anwendungsdaten\ntos.exe,
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\Dokumente und Einstellungen\N.N\Anwendungsdaten\ntos.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O14 - IERESET.INF: START_PAGE_URL=****://***.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{B13836BF-8FF2-4E88-A316-E12493299CBB}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\l2p2lc7o1f.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe

Scanne nacheinander die drei folgenden Dateien bei Virustotal:

Zitat:

Zitat von phpfuchs

1. C:\Dokumente und Einstellungen\N.N\Anwendungsdaten\ntos.exe
2. C:\WINDOWS\system32\l2p2lc7o1f.dll
3. c:\windows\system32\spywinclean.exe

und poste jeweils das komplette Ergebnis bzw. berichte, wenn es Probleme beim Scannen gibt.
Bei Datei Nr. 2 musst du möglicherweise nach einem umbenannten Dateinamen suchen.

Es ist zum Verzweifeln hier. Schon seit 5 Stunden kämpf ich an diesem Rechner und es treten ständig neue Probleme auf.

Der Avira-Virenschutz ließ sich nicht mehr starten, dann gings Internet nicht mehr, mußte über die Systemwiederherstellung alles rückgängig machen.

Virustotal.com ist grad überlastet, große Warteschleife...
Dazu das langsame Modem...

Für manche Dinge bräuchte ich den Unlocker, doch der funktioniert nicht (Fehler wegen mangelnder Debug-Rechte).

Nur eine Datei konnte ich scannen weil ich für die anderen beiden den Unlocker bräuchte:
1. c:\windows\system32\spywinclean.exe:
AhnLab-V3 2007.5.15.0 05.14.2007 no virus found
AntiVir 7.4.0.15 05.14.2007 TR/Cimuz.L
Authentium 4.93.8 05.12.2007 no virus found
Avast 4.7.997.0 05.13.2007 no virus found
AVG 7.5.0.467 05.13.2007 Proxy.NUI
BitDefender 7.2 05.14.2007 Trojan.Cimuz.L
CAT-QuickHeal 9.00 05.14.2007 TrojanProxy.Agent.ly
ClamAV devel-20070416 05.14.2007 Trojan.Agent-1444
DrWeb 4.33 05.14.2007 Trojan.Proxy.1755
eSafe 7.0.15.0 05.13.2007 Win32.Agent.ly
eTrust-Vet 30.7.3632 05.14.2007 no virus found
Ewido 4.0 05.14.2007 Proxy.Small
FileAdvisor 1 05.14.2007 no virus found
Fortinet 2.85.0.0 05.14.2007 W32/Agent.LY!tr
F-Prot 4.3.2.48 05.12.2007 no virus found
F-Secure 6.70.13030.0 05.14.2007 Trojan-Proxy.Win32.Agent.ly
Ikarus T3.1.1.7 05.14.2007 Trojan-Proxy.Win32.Agent.ly
Kaspersky 4.0.2.24 05.14.2007 Trojan-Proxy.Win32.Agent.ly
McAfee 5029 05.11.2007 no virus found
Microsoft 1.2503 05.14.2007 TrojanProxy:Win32/Agent!60F8
NOD32v2 2264 05.14.2007 no virus found
Norman 5.80.02 05.11.2007 W32/Agent.BMPD
Panda 9.0.0.4 05.14.2007 Trj/Cimuz.DH
Prevx1 V2 05.14.2007 Malicious
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 Trojan-Proxy.Win32.Agent.ly
Symantec 10 05.14.2007 Trojan Horse
TheHacker 6.1.6.115 05.14.2007 no virus found
VBA32 3.12.0 05.13.2007 Trojan.Proxy.1755
VirusBuster 4.3.7:9 05.13.2007 Trojan.PR.Agent.TSR
Webwasher-Gateway 6.0.1 05.14.2007 Trojan.Cimuz.L

Die 58jährige Frau, der der Rechner gehört, fragt sich auch schon, warum ich so lange brauche...

Ich tendiere eher dazu, das Windows neu zu installieren, um nicht noch mehr Zeit unnötig zu verpulvern und die Nerven zu schonen...

Nur, das ist das nächste Problem:
Den Rechner hat sie von einem Bekannten, und die Original-CD mit dem Lizenz-Code fehlt...

Ich weiß nur noch eine Lösung - den ERD-Commander booten und damit die verseuchten Dateien und Registry-Einträge löschen, und hoffen, daß es danach läuft...

Gruß

Egon Schmid ...

Hallo,

Zitat:

Ich tendiere eher dazu, das Windows neu zu installieren, um nicht noch mehr Zeit unnötig zu verpulvern und die Nerven zu schonen...

Ist sicherlich die beste aller Lösungen....

Zitat:

Den Rechner hat sie von einem Bekannten, und die Original-CD mit dem Lizenz-Code fehlt...

Das wird sich doch rausfinden lassen.Dies wäre mein Ansatzpunkt...
Ich glaube das einer deiner Notepad.exen ein ganz üblen Backdoor trägt......
Lade mal beide Notepad.exe bei Virustotal hoch und poste das Ergebnis.
Irrlicht

Also das notepad.exe ist sauber. Wie kommste da drauf, dass es infiziert sein soll?

Bei der DLL-Datei handelte es sich übrigens um dem Trojaner Look2Me...2007 most impressive screensavers

myscreensavers.info