|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.BHO.yrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.11.2007, 09:00 | #1 |
| Trojan.Win32.BHO.yr Hallo zusammen, ich habe heute morgen von Kaspersky die Meldung bekommen, dass die Datei c\windows\system32\dpwsockxf.dll mit dem Virus Trojan.Win32.BHO.yr infiziert ist. Ich kann diese Datei aber weder löschen, noch desinfizieren noch sonst irgendwas damit machen. Ich kenne mich auch nicht so gut aus könnt ihr mir bitte helfen? Danke im Voraus! LG UneeQ |
20.11.2007, 09:15 | #2 |
| Trojan.Win32.BHO.yr also das Problem, dass sich trojaner dateien nicht löschen lassen kenne ich...
__________________Aber ich bin da mal selber per zufall auf nen kleinen trick gekommen... Und zwar, wenn funkt "möglicherweise" nur, wenn du das Brennprogramm NERO auch installiert hast... Nero bietet schon mal den Vorteil, das dieser auch fast alle system-datein anzeigt, die sonst vom Explorer nicht angezeigt werden.. Probier mal im abgesicherten rauf fahren... und dann im nero die datei auswählen und löschen... (ich hab damit auch schon sehr viele sachen bereinigen können) |
20.11.2007, 14:13 | #3 |
| Trojan.Win32.BHO.yr Ich hab Nero gar nicht drauf. Soll ich mir das jetzt erst runterladen? Nero ist ja auch ziemlich groß, ne?
__________________Mein Kollege meinte gerade, dass mir außder formatieren nichts übrig bleiben wird (( Hat vielleicht jemand noch Tipps für mich? |
20.11.2007, 14:27 | #4 | |
| Trojan.Win32.BHO.yrZitat:
naja ich glaube NERO brauchst du dir nicht extra deswegen zulegen... aber ich hab mir damals durch dem file-browser von NERO einen vorteil verschaffen können... bringt windows die Meldung, dass diese Datei vom system verwendet wird ? |
20.11.2007, 17:31 | #5 |
| Trojan.Win32.BHO.yr Hallo mach mal alle versteckten Dateien und Ordner sichtbar, dann lade diese Datei : c\windows\system32\dpwsockxf.dll mal hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Erstelle bitte auch ein HijackThis Log Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) MFG |
20.11.2007, 21:25 | #6 |
| Trojan.Win32.BHO.yr hmm also ich habe bei allen drei genannten seiten versucht, die datei hochzuladen und jedesmal ging es nicht. hier mal der letzte text: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file jedesmal kommt auch die meldung pe_patch.upx//upx wurde nicht desinfiziert von kaspersky das gefällt mir gar nicht hier die logfile von hijackthis Logfile of HijackThis v1.99.1 Scan saved at 21:24:07, on 20.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\test\Desktop\this.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll O2 - BHO: (no name) - {70C9ECD1-081A-4B37-8DE2-AE3569DEFF02} - C:\WINDOWS\System32\dpwsockxf.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll O4 - HKLM\..\Run: [ACUMon] "C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe" -a O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/de/securityadvisor/pestscan/pestscan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192553156252 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192553142082 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://www.flatcast.info/objects/NpFv41629.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing) O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe was mache ich jetzt? |
20.11.2007, 22:11 | #7 | |
| Trojan.Win32.BHO.yr Hallo Versuchen wir es so, lade dir bitte diese Tools herunter Ccleaner --> CCleaner Download OTMoveit --> http://download.bleepingcomputer.com...r/OTMoveIt.exe Ccleaner installieren (die toolbar nicht installieren) - wähle unter Options --> Settings --> German Anschließend starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an : Zitat:
Löschen mit OTMoveIt: * Starte OTMoveIt.exe mit einem doppelklick. * Kopiere alle Dateien aus dieser Box markiere die Datei (dann STRG C): Code:
ATTFilter C:\WINDOWS\System32\dpwsockxf.dll * Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'. * Klick auf den roten Moveit! button. * Kopiere nun alles (STRG A -->STRG C) aus dem Results Fenster und füge den Inhalt in deinen Beitrag ein (STRG V). * Beende OTMoveIt Lass den CCleaner laufen. Starte dein System neu und kontrolliere ob diese Datei C:\WINDOWS\System32\dpwsockxf.dll noch vorhanden ist. MFG |
20.11.2007, 22:37 | #8 |
| Trojan.Win32.BHO.yr Ich hab alles gemacht, aber diese verdammte Datei wehrt sich mit Händen und Füßen! Sie ist tatsächlich immer noch da. Sobald ich den Explorer öffne, oder den Papierkorb oder sonst irgendwas, was mit dem System zu tun hat, kommt sofort die Meldung von Kaspersky, dass die Datei nicht gelöscht bzw. desinfiziert werden konnte. Selbst im abgesicherten Modus konnte ich diese Datei nicht löschen Ich bin für jede Hilfe dankbar! |
20.11.2007, 22:49 | #9 |
| Trojan.Win32.BHO.yr Hallo Hm versuchen wir es so 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete: C:\WINDOWS\System32\dpwsockxf.dll 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei nach dem Neustart. Starte dann den Rechner neu und kontrolliere ob die Datei noch vorhanden ist. MFG |
20.11.2007, 22:57 | #10 |
| Trojan.Win32.BHO.yr sie ist immer noch da. diese ver.... datei ist immer noch da *argh* ich krieg ne krise! Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\psjrtxpe ******************* Script file located at: \??\C:\WINDOWS\ddeptjjs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\WINDOWS\System32\dpwsockxf.dll for deletion Deletion of file C:\WINDOWS\System32\dpwsockxf.dll failed! Could not process line: C:\WINDOWS\System32\dpwsockxf.dll Status: 0xc0000022 Completed script processing. ******************* Finished! Terminate. |
21.11.2007, 05:43 | #11 |
| Trojan.Win32.BHO.yr Moin erstelle bitte Logs mit Silentrunners sowie der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) MFG |
21.11.2007, 07:58 | #12 |
| Trojan.Win32.BHO.yr filelist: Verzeichnis von C:\ 21.11.2007 07:37 805.306.368 pagefile.sys 20.11.2007 22:51 1.388 avenger.txt 20.11.2007 13:55 26.396 drwtsn32.log 18.11.2007 12:50 268 sqmdata08.sqm 18.11.2007 12:50 244 sqmnoopt08.sqm 18.11.2007 12:36 268 sqmdata07.sqm 18.11.2007 12:36 244 sqmnoopt07.sqm 18.11.2007 12:18 268 sqmdata06.sqm 18.11.2007 12:18 244 sqmnoopt06.sqm 18.11.2007 12:08 244 sqmnoopt05.sqm 18.11.2007 12:08 268 sqmdata05.sqm 18.11.2007 11:40 268 sqmdata04.sqm 18.11.2007 11:40 244 sqmnoopt04.sqm 18.11.2007 01:32 268 sqmdata03.sqm 18.11.2007 01:32 244 sqmnoopt03.sqm 17.11.2007 23:16 268 sqmdata01.sqm 17.11.2007 23:16 244 sqmnoopt01.sqm 17.11.2007 22:29 1.582 coinst.trc 17.11.2007 09:35 268 sqmdata00.sqm 17.11.2007 09:35 244 sqmnoopt00.sqm 17.11.2007 09:23 268 sqmdata19.sqm 17.11.2007 09:23 244 sqmnoopt19.sqm 17.11.2007 09:17 211 boot.ini 17.11.2007 08:58 47.564 NTDETECT.COM 17.11.2007 08:58 251.184 ntldr 15.11.2007 22:04 268 sqmdata18.sqm 15.11.2007 22:04 244 sqmnoopt18.sqm 14.11.2007 19:55 268 sqmdata02.sqm 14.11.2007 19:55 244 sqmnoopt02.sqm 13.11.2007 21:22 268 sqmdata17.sqm 13.11.2007 21:22 244 sqmnoopt17.sqm 28.10.2007 22:19 268 sqmdata16.sqm 28.10.2007 22:19 244 sqmnoopt16.sqm 28.10.2007 21:51 268 sqmdata15.sqm 28.10.2007 21:51 244 sqmnoopt15.sqm 28.10.2007 09:32 268 sqmdata14.sqm 28.10.2007 09:32 244 sqmnoopt14.sqm 26.10.2007 21:33 232 sqmdata13.sqm 26.10.2007 21:33 244 sqmnoopt13.sqm 26.10.2007 20:52 268 sqmdata12.sqm 26.10.2007 20:52 244 sqmnoopt12.sqm 23.10.2007 19:11 268 sqmdata11.sqm 23.10.2007 19:11 244 sqmnoopt11.sqm 21.10.2007 20:26 268 sqmdata10.sqm 21.10.2007 20:26 244 sqmnoopt10.sqm 20.10.2007 22:19 268 sqmdata09.sqm 20.10.2007 22:19 244 sqmnoopt09.sqm Verzeichnis von C:\WINDOWS\system32 18.11.2007 19:59 93.480 FNTCACHE.DAT 18.11.2007 09:17 392.630 perfh009.dat 18.11.2007 09:17 58.930 perfc009.dat 18.11.2007 09:17 405.692 perfh007.dat 18.11.2007 09:17 70.976 perfc007.dat 18.11.2007 09:17 938.224 PerfStringBackup.INI 18.11.2007 09:16 129.082 TZLog.log 17.11.2007 09:27 2.206 wpa.dbl 17.11.2007 09:26 269 spupdwxp.log 02.11.2007 08:12 18.238.072 MRT.exe 29.10.2007 16:35 123.904 xpsp3res.dll 25.10.2007 17:55 8.495.616 shell32.dll 19.10.2007 21:45 1.419.232 wdfcoinstaller01005.dll Verzeichnis von C:\WINDOWS\Prefetch 21.11.2007 07:50 11.274 FIND.EXE-0EC32F1E.pf 21.11.2007 07:50 13.038 CMD.EXE-087B4001.pf 21.11.2007 07:50 52.818 WINRAR.EXE-3588DFE8.pf 21.11.2007 07:50 21.376 VERCLSID.EXE-3667BD89.pf 21.11.2007 07:50 4.446 DRVCTL.EXE-2FB66A0B.pf 21.11.2007 07:50 44.470 SDTRAYAPP.EXE-1A2007EF.pf 21.11.2007 07:49 26.428 SDLOADER.EXE-211412BD.pf 21.11.2007 07:49 48.120 SWDOCTOR.EXE-13B584DD.pf 21.11.2007 07:46 46.198 UPDATE.EXE-0C3CBDEF.pf 21.11.2007 07:46 14.504 WSCNTFY.EXE-1B24F5EB.pf 21.11.2007 07:46 16.212 SVCNTAUX.EXE-2857762E.pf 21.11.2007 07:46 43.800 SWDSVC.EXE-178874E9.pf 21.11.2007 07:46 29.748 WMIPRVSE.EXE-28F301A9.pf 21.11.2007 07:46 73.604 WUAUCLT.EXE-399A8E72.pf 21.11.2007 07:45 108.974 FIREFOX.EXE-1D57670A.pf 21.11.2007 07:40 16.866 IMAPI.EXE-0BF740A4.pf 21.11.2007 07:40 80.406 MSNMSGR.EXE-091111D0.pf 21.11.2007 07:40 14.232 CTFMON.EXE-0E17969B.pf 21.11.2007 07:40 60.260 AVP.EXE-2E63EC1B.pf 21.11.2007 07:40 13.448 SYNTPENH.EXE-3967AE36.pf 21.11.2007 07:40 8.304 SYNTPLPR.EXE-0AB61C3B.pf 21.11.2007 07:40 15.516 ACUMON.EXE-19D88ECE.pf 21.11.2007 07:39 868.678 NTOSBOOT-B00DFAAD.pf 20.11.2007 22:54 15.514 NOTEPAD.EXE-336351A9.pf 20.11.2007 22:54 11.766 REGEDIT.EXE-1B606482.pf 20.11.2007 22:54 4.374 ZIP.EXE-1BAD456F.pf 20.11.2007 22:54 11.254 ATTRIB.EXE-39EAFB02.pf 20.11.2007 22:50 14.060 AVENGER.EXE-06CFE61B.pf 20.11.2007 22:31 20.630 CCLEANER.EXE-065E2F3F.pf 20.11.2007 22:22 13.794 OTMOVEIT.EXE-24FFF45C.pf 20.11.2007 22:21 44.354 THIS.EXE-3B93BC93.pf 20.11.2007 22:19 103.950 EXPLORER.EXE-082F38A9.pf 20.11.2007 22:19 19.818 USERINIT.EXE-30B18140.pf 20.11.2007 22:19 19.540 ATI2EVXX.EXE-19D16EB9.pf 20.11.2007 22:19 17.400 MPNOTIFY.EXE-3631A846.pf 20.11.2007 22:18 15.788 RUNDLL32.EXE-4708E214.pf 20.11.2007 22:18 16.224 RUNDLL32.EXE-312C9CD6.pf 20.11.2007 22:13 63.654 RUNDLL32.EXE-2CCB8C96.pf 20.11.2007 22:12 29.128 RUNDLL32.EXE-45676EB7.pf 20.11.2007 22:02 72.796 WMPLAYER.EXE-09969338.pf 20.11.2007 21:59 7.730 MP3ENC.EXE-2321E4F6.pf 20.11.2007 21:47 17.194 SWITCH.EXE-2BF2DBE9.pf 20.11.2007 21:46 13.912 RUNDLL32.EXE-451FC2C0.pf 20.11.2007 21:44 79.288 WMPLAYER.EXE-09969332.pf 20.11.2007 21:44 37.006 UNREGMP2.EXE-07CACB61.pf 20.11.2007 21:44 18.698 SETUP_WM.EXE-19AC5A9B.pf 20.11.2007 21:42 18.198 TASKMGR.EXE-20256C55.pf 20.11.2007 21:23 13.676 HIJACKTHIS.EXE-0B768E3A.pf 20.11.2007 20:54 344.024 Layout.ini 20.11.2007 18:55 20.558 USNSVC.EXE-1D8C2356.pf 20.11.2007 18:36 70.254 DIVX PLAYER.EXE-0459E47A.pf 20.11.2007 13:57 33.600 WLLOGINPROXY.EXE-33926225.pf 20.11.2007 13:57 110.984 IEXPLORE.EXE-2CA9778D.pf 20.11.2007 09:17 16.004 RUNDLL32.EXE-1E61EA38.pf 20.11.2007 09:17 16.062 RUNDLL32.EXE-161DB6A8.pf 20.11.2007 09:12 12.932 LOGON.SCR-151EFAEA.pf 20.11.2007 09:01 15.128 RUNDLL32.EXE-1FCEFDF5.pf 20.11.2007 08:49 11.006 UNINSTALL.EXE-03362FB3.pf 20.11.2007 08:49 12.670 UNINSTALL.EXE-35BF553C.pf 20.11.2007 08:49 54.066 RUNDLL32.EXE-13404D23.pf 20.11.2007 08:47 13.428 CLEANUP.EXE-3438663A.pf 20.11.2007 08:46 13.184 CLEANUP452.EXE-3881A020.pf 20.11.2007 08:38 26.742 RUNDLL32.EXE-147710F4.pf 19.11.2007 10:34 16.972 RUNDLL32.EXE-2FF0653C.pf 19.11.2007 10:28 18.556 ALG.EXE-0F138680.pf 19.11.2007 08:44 12.406 RUNDLL32.EXE-268BFF96.pf 19.11.2007 08:20 68.438 UPDATE.EXE-00F10F77.pf 19.11.2007 08:20 68.916 UPDATE.EXE-2CCC0CD1.pf 19.11.2007 08:19 64.558 UPDATE.EXE-33509310.pf 18.11.2007 22:18 65.012 DFRGNTFS.EXE-269967DF.pf 18.11.2007 22:18 18.762 DEFRAG.EXE-273F131E.pf 18.11.2007 14:30 36.750 REGSVR32.EXE-25EEFE2F.pf 18.11.2007 14:30 17.714 LOGAGENT.EXE-027AF92B.pf 18.11.2007 14:29 35.964 MSIEXEC.EXE-2F8A8CAE.pf 18.11.2007 12:28 30.440 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 18.11.2007 12:28 69.304 GOOGLEUPDATER.EXE-36CE3796.pf 18.11.2007 09:17 39.236 WMIADAP.EXE-2DF425B2.pf 77 Datei(en) 3.666.136 Bytes 0 Verzeichnis(se), 6.125.813.760 Bytes frei Verzeichnis von C:\WINDOWS 21.11.2007 07:46 126.018 WindowsUpdate.log 21.11.2007 07:38 159 wiadebug.log 21.11.2007 07:38 50 wiaservc.log 21.11.2007 07:37 0 0.log 21.11.2007 07:37 2.048 bootstat.dat 20.11.2007 22:23 2.950 SchedLgU.Txt 18.11.2007 14:30 316.640 WMSysPr9.prx 18.11.2007 13:47 0 nsreg.dat 18.11.2007 13:20 737.280 iun6002.exe 17.11.2007 09:17 644 win.ini 15.11.2007 20:38 34 cdplayer.ini 07.11.2007 21:47 2.016 ModemLog_ThinkPad Integrated 56K Modem.txt 20.10.2007 20:08 662 unins000.dat 20.10.2007 20:08 72.748 unins000.exe Verzeichnis von C:\WINDOWS\tasks 21.11.2007 07:38 6 SA.DAT 07.09.2007 16:15 394 1-Klick-Wartung.job 18.08.2001 20:00 65 desktop.ini 3 Datei(en) 465 Bytes 0 Verzeichnis(se), 6.125.809.664 Bytes frei erzeichnis von C:\DOKUME~1\test\LOKALE~1\Temp 21.11.2007 07:50 117.264 filelist.txt 20.11.2007 19:39 0 aaxE.tmp 20.11.2007 18:36 0 aax4.tmp 20.11.2007 18:36 0 aax3.tmp 4 Datei(en) 117.264 Bytes 0 Verzeichnis(se), 6.125.809.664 Bytes frei Silentrunners: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ACUMon" = ""C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe" -a" ["Cisco Systems, Inc."] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"" ["Kaspersky Lab"] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {1392b8d2-5c05-419f-a8f6-b9f15a596612}\(Default) = (no title provided) -> {HKLM...CLSID} = "Freecorder Toolbar" \InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."] {70C9ECD1-081A-4B37-8DE2-AE3569DEFF02}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\dpwsockxf.dll" [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus" -> {HKLM...CLSID} = "Statistik für Web-Anti-Virus" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ <<!>> "GinaDLL" = "cswGina.dll" ["Cisco Systems, Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <<!>> klogon\DLLName = "C:\WINDOWS\System32\klogon.dll" ["Kaspersky Lab"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\test\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{1392B8D2-5C05-419F-A8F6-B9F15A596612}" -> {HKLM...CLSID} = "Freecorder Toolbar" \InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{1392B8D2-5C05-419F-A8F6-B9F15A596612}" = "Freecorder Toolbar" -> {HKLM...CLSID} = "Freecorder Toolbar" \InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für Web-Anti-Virus" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Internet Explorer Address Prefixes: ----------------------------------- Prefix for specific service (i.e., "www") HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\ <<H>> "mirc" = "http://www.realvideoestate.info" Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{1392b8d2-5c05-419f-a8f6-b9f15a596612}" = (no title provided) -> {HKLM...CLSID} = "Freecorder Toolbar" \InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."] HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS] Kaspersky Personal Security Suite V, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r" ["Kaspersky Lab"] RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]} ThinkPad PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" ["Lenovo."] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ LPR Port\Driver = "lprmon.dll" [MS] ---------- (launch time: 2007-11-21 07:56:23) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 33 seconds, including 8 seconds for message boxes) |
21.11.2007, 08:43 | #13 |
| Trojan.Win32.BHO.yr mir ist eben noch aufgefallen, dass ich mit dem internet explorer gar nicht mehr ins internet komme. ich benutze firefox und bin nicht als admin drin aber vorher hatte ich keine probleme. wobei ich gestern den ie nicht benutzt habe... also zuletzt am sonntag hatte ich keine probleme. kann das auch an dem trojaner liegen? |
21.11.2007, 16:36 | #14 | |
| Trojan.Win32.BHO.yr Hallo ich dachte nicht, dass sich das ganze als so hartnäckig gestaltet leider kenne ich Vista noch überhaupt nicht. Zitat:
Lass bitte mal mindestens 4 von diesen Tools auf dieser Seite laufen (Ausnahme Blacklight ist nicht mehr lauffähig) AntiRootkit Scanner Anleitung - HijackThis.de Support Board und poste die Logs, wenn welche erstellt werden. Evtl. mal diese Toolbar (oder was auch immer das sein soll) deinstallieren, es sei denn du weist genau sie ist sauber --> Freecorder MFG Geändert von nochdigger (21.11.2007 um 16:39 Uhr) Grund: A lheimer |
21.11.2007, 22:43 | #15 |
| Trojan.Win32.BHO.yr Nee ich hab extra einen Gastzugang angelegt, weil ich schon mal Probleme mit dem Rechner hatte und mir da geraten wurde, nicht mit Adminrechten im Internet zu surfen. Also, damit hab ich keine Probleme. Aber wenn ich als Gast den Internet Explorer aufrufe, bekomme ich die Virenmeldung von Kaspersky und dann die Meldung, dass die Seite nicht aufgerufen werden konnte (so als würde keine Internet-Verbindung gegeben sein) ich muss die logfiles anhängen, weil der beitrag sonst zu lang wird |
Themen zu Trojan.Win32.BHO.yr |
desinfizieren, hallo zusammen, helfen, heute, infiziert, kaspersky, löschen, meldung, morgen, system, system32, troja, virus, windows, zusammen |