Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.07.2008, 16:37   #1
may24
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Hallo alle zusammen.

Bis jetzt bin ich ziemlich verschont gewesen in punkto Viren und Trojaner.
Wenn man 'n bischen aufpasst kann man 95% aller potentielle Infekte ja abwehren. Aber einmal den Laptop aus der Hand gegeben und ...

Was ich hier habe ist echt ungewöhnlich/merkwürdig.
Bis jetzt konnte kein Virenscanner irget etwas finden. Getestet: Antivira, Fprot
Mallware + sonstige Trojaner Scanner auch nicht: Lavasoft's Adaware, SuperAntiSpyware, a-squared ...
Rootkit revealer (neuste ver.) ebenso nix.

Wenn kein Lan anschluß besteht kommt nach einiger Zeit eine Meldung die besagt das der Internet Explorer im offlinemodus arbeiten möchte.
Diese Meldung kommt zwei mal hinternander (meistens)
Der Internet Explorer wird durch die Firewall eh geblockt. Nur der Firefox darf raus. Mit dem gibts auch keine Probleme. D.h. man kann soweit alle Seiten öffnen.

Aber diverse Programme wie Antivira, SuperAntiSpyware & Malwarebytes könenn keine Updates mehr machen weil sie keine Verbindung zu ihren update-servern mehr hinbekommen. Selbst mein Replay-Media-catcher (zum aufzeichnen von FLV-streams) bekommt keine Verbindung mehr.
SSH und diverse Videostreamer (pplive, TVants ...) funktionieren einwandfrei ...

Die Firewall kanns nicht sein, die hatte ich schon abgeschaltet, neuinstalliert, usw. -> kein Effekt.

hier ist der HijackThis Scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:24, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\cipcheck.exs
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {B6566E82-28AD-43FF-9745-8BB7DE743FC1} - C:\WINDOWS\system32\kbdlv32.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FE5004A-9EA7-450A-B3AF-C6AC5F6D7779}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4D6A07-58C2-47D9-AFDC-10AD042FC62D}: NameServer = 69.50.176.198,195.225.176.153
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winhoq32 - winhoq32.dll (file missing)

Alt 26.07.2008, 17:37   #2
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



irgendwie bist du über einen proxy in mexico unterwegs! schonmal nicht gut.

poste bitte ein komplettes HijackThis Log
__________________


Alt 26.07.2008, 18:05   #3
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Lade dir zuerst die LSPfix.exe herunter und führe sie aus. Bitte noch nichts removen und nicht advanced anklicken.

Vorsorglich Winsock fix herunterladen.
__________________

Alt 26.07.2008, 18:15   #4
may24
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



So, die Proxy Einträge sind draußen ... aber daran lags nicht !

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:25, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\cipcheck.exs
c:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FE5004A-9EA7-450A-B3AF-C6AC5F6D7779}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4D6A07-58C2-47D9-AFDC-10AD042FC62D}: NameServer = 69.50.176.198,195.225.176.153
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpc


... mehr gibt's nicht

Alt 26.07.2008, 18:22   #5
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



so dann fixen wir erstmal

O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

was ist mit dieser datei?
C:\Windows\system32\cipcheck.exs

Diese bitte mal bei Virustotal hochladen und das komplette ergebnis posten.

dann gehts hier weiter:
Post #3


Alt 26.07.2008, 18:37   #6
KarlKarl
/// Helfer-Team
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Dominikanische Republik ist nicht Mexiko

Alt 26.07.2008, 18:40   #7
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Hi KarlKarl,

ich glaub sogar ganz richtig ist Uruguay

Alt 26.07.2008, 18:54   #8
KarlKarl
/// Helfer-Team
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Code:
ATTFilter
IP address:                     200.88.114.166
Reverse DNS:                    166.114.88.200.m.sta.codetel.net.do.
Reverse DNS authenticity:       [Verified]
ASN:                            6400
ASN Name:                       LACNIC-6400
IP range connectivity:          1
Registrar (per ASN):            ARIN
Country (per IP registrar):     DO [Dominican Republic]
Country Currency:               Unknown 
Country IP Range:               200.88.0.0 to 200.88.255.255
Country fraud profile:          Normal
City (per outside source):      Santo Domingo, Distrito Nacional
Country (per outside source):   DO [Dominican Republic]
Private (internal) IP?          No
IP address registrar:           whois.lacnic.net
Known Proxy?                    No
         
Aber ok, so wichtig dann nicht.

Alt 26.07.2008, 18:59   #9
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



hast recht ist die Dom Rep :-)

Alt 26.07.2008, 19:55   #10
may24
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



C:\Windows\system32\cipcheck.exs:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.26.0 2008.07.25 -
AntiVir 7.8.1.12 2008.07.25 -
Authentium 5.1.0.4 2008.07.26 -
Avast 4.8.1195.0 2008.07.26 -
AVG 8.0.0.130 2008.07.26 -
BitDefender 7.2 2008.07.26 -
CAT-QuickHeal 9.50 2008.07.25 -
ClamAV 0.93.1 2008.07.26 -
DrWeb 4.44.0.09170 2008.07.26 -
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5983 2008.07.26 -
Ewido 4.0 2008.07.26 -
F-Prot 4.4.4.56 2008.07.26 -
F-Secure 7.60.13501.0 2008.07.26 Suspicious:W32/Miam.3657!Gemini
Fortinet 3.14.0.0 2008.07.26 -
GData 2.0.7306.1023 2008.07.26 -
Ikarus T3.1.1.34.0 2008.07.26 -
Kaspersky 7.0.0.125 2008.07.26 -
McAfee 5347 2008.07.25 -
Microsoft 1.3704 2008.07.26 -
NOD32v2 3300 2008.07.25 -
Norman 5.80.02 2008.07.25 -
Panda 9.0.0.4 2008.07.26 -
PCTools 4.4.2.0 2008.07.26 -
Prevx1 V2 2008.07.26 -
Rising 20.54.52.00 2008.07.26 -
Sophos 4.31.0 2008.07.26 -
Sunbelt 3.1.1536.1 2008.07.25 -
Symantec 10 2008.07.26 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.26 -
VBA32 3.12.8.1 2008.07.26 -
ViRobot 2008.7.26.1311 2008.07.26 -
VirusBuster 4.5.11.0 2008.07.26 -
Webwasher-Gateway 6.6.2 2008.07.26 -
weitere Informationen
File size: 119428 bytes
MD5...: 5b47b68ae6b961e3019bb2ada683b9d8
SHA1..: b660ee4ed369f48d0770ec5246065281e0889542
SHA256: 912bdf02d3dc3b2f4de6caf9e94e7b50510c60a934cabe1d651be807da35bbf7
SHA512: 391f09393045eb5c25273886cabc39e6e5efcb8d3d9bf632ae900bbced3ce6b6
18ca53eed8d92b45decc6f584275d2dde8716a3ed88f8a4fc627c0261f2ae451
PEiD..: InstallShield 2000
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40edd0
timedatestamp.....: 0x3d668a60 (Fri Aug 23 19:17:52 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x110a6 0x11200 5.87 ae531f7f229b6532f01f7951c56b0f47
.rdata 0x13000 0x15aa 0x1600 5.47 7fd027ea55c0e4fd1fddc928c7a7e47e
.data 0x15000 0x67f4 0x3e00 1.78 0cf953e901a3b024511b8e886b028aae
.rsrc 0x1c000 0x5f98 0x6000 4.15 668228994bee77fc7dd8eb5bc26377b5

( 6 imports )
> KERNEL32.dll: SetFilePointer, WideCharToMultiByte, MulDiv, UnmapViewOfFile, SearchPathA, MapViewOfFile, CreateFileMappingA, MultiByteToWideChar, GetLastError, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GlobalReAlloc, GetFileType, DeleteCriticalSection, GetCurrentThreadId, GlobalSize, IsDBCSLeadByte, SetLastError, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, GetStringTypeA, GetStringTypeW, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapFree, HeapAlloc, VirtualAlloc, FlushFileBuffers, SetStdHandle, lstrcmpA, LocalLock, LocalUnlock, LocalFree, lstrcatA, lstrcpyA, GetProcAddress, FreeLibrary, GetModuleFileNameA, GetVersionExA, GetProfileStringA, GetPrivateProfileStringA, GetDriveTypeA, GetWindowsDirectoryA, lstrcpynA, GlobalAlloc, GlobalLock, ReadFile, WriteFile, GlobalUnlock, GlobalFree, DosDateTimeToFileTime, LocalFileTimeToFileTime, CreateFileA, SetFileTime, GetDiskFreeSpaceA, LocalAlloc, lstrlenA, Sleep, LoadLibraryA, GetTickCount, CloseHandle, TlsSetValue, TlsAlloc, GetStdHandle, lstrcmpiA
> ADVAPI32.dll: RegisterServiceCtrlHandlerA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, StartServiceCtrlDispatcherA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, SetServiceStatus
> USER32.dll: SendMessageA, LoadStringA, MsgWaitForMultipleObjects, SetCursor, GetCursor, IsWindowVisible, SetWindowTextA, InvalidateRect, CharUpperA, UpdateWindow, GetParent, GetWindowLongA, GetAsyncKeyState, GetKeyState, CharPrevA, DestroyIcon, SetWindowPos, SetWindowPlacement, GetWindowPlacement, ReleaseDC, GetDC, ValidateRect, FillRect, GetWindowTextA, LoadImageA, IsIconic, GetWindowRect, GetDesktopWindow, ShowWindow, PeekMessageA, BeginPaint, GetSysColor, GetClientRect, DrawTextA, EndPaint, GetActiveWindow, PostQuitMessage, DefWindowProcA, GetSystemMetrics, CreateWindowExA, GetFocus, wsprintfA, MessageBoxA, DestroyWindow, GetSystemMenu, EnableMenuItem, AppendMenuA, PostMessageA, GetMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, LoadIconA, LoadCursorA, RegisterClassA, CharNextA, SetActiveWindow, SetFocus, EnableWindow
> GDI32.dll: SetTextColor, DeleteObject, SelectObject, SetTextJustification, GetTextMetricsA, GetTextExtentPoint32A, CreateFontIndirectA, CreateSolidBrush, Rectangle, CreatePen, GetStockObject, LineTo, MoveToEx, Ellipse, DeleteDC, SetStretchBltMode, StretchBlt, SetBrushOrgEx, GetObjectA, CreateCompatibleDC, SelectPalette, RealizePalette, CreatePalette, GetDeviceCaps, SetBkMode
> ole32.dll: OleUninitialize, OleInitialize
> SHELL32.dll: Shell_NotifyIconA, ExtractIconA

( 0 exports )


LSP-Fix möchte bmnet.dll entfernen ... ist das ok ?

Alt 26.07.2008, 21:27   #11
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



ja aber vergess nicht winsock fix runterzuladen und falls deine internet verbindung nicht mehr geht, das tool ausführen.

Alt 26.07.2008, 23:12   #12
KarlKarl
/// Helfer-Team
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Wieso will der den entfernen: Dürfte ein korrekter Eintrag sein:

CastleCops® Bmnet.dll

Alt 27.07.2008, 00:03   #13
may24
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



ere... Bytemobil macht was ? Ich meine explizit installiert hab ich den nicht ....
Wie auch immer, nach seiner Entfernung lief die Internet Verbindung noch.

Um Toolbars moch ich immer 'n großen Bogen, aber aknn mir jemand sagen was dieses: BLYA ist ?

Alt 27.07.2008, 01:47   #14
KarlKarl
/// Helfer-Team
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



Schwer zu sagen, scheint ja nur noch ein verwaister Eintrag zu sein. ein Tipp: Mal den Rootkitrevelaer benutzt und nicht ganz zu Ende gebracht? Muss nicht sein, aber der Eintrag sieht so aus.

Alt 27.07.2008, 07:50   #15
erty
 
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Standard

Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen



konntest Du den Eintrag

O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing)

nicht fixen?

Lade Dir F-Secure BlackLight@ F-secure runter und lass ihn scannen.

einen weiteren scan mit Malwarebytes und den aktuellen Definitionen manuelle Malwarebytes' Anti-Malware Database --> Log posten

poste doch bitte zwischendurch ein neues HijackThis Log

Geändert von erty (27.07.2008 um 07:59 Uhr)

Antwort

Themen zu Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen
adobe, avg, bho, blokiert, ctfmon.exe, explorer, firefox, firewall, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, mozilla firefox, pdf, programme, scan, seiten, shortcut, software, superantispyware, system, unknown file in winsock lsp, updates, viren, windows, windows xp




Ähnliche Themen: Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen


  1. C Platte wird immer voller, auch wenn ich was lösche! (Trojaner,Virus????)
    Plagegeister aller Art und deren Bekämpfung - 24.07.2015 (10)
  2. BKA Virus auf Android 4.1.1 taucht immer wieder auf! Auch nach Full-Wipe
    Smartphone, Tablet & Handy Security - 06.06.2015 (8)
  3. Virus kommt immer wieder, auch mit neuem MBR. Brauche Experten
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (13)
  4. trojan.hijacker - win7 auch nach neuinstallation infiziert? rootkit?
    Log-Analyse und Auswertung - 04.02.2013 (40)
  5. Windows Update funktioniert nicht / Firefox Update mischt auch mit
    Alles rund um Windows - 18.01.2013 (2)
  6. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  7. Immer wiederkehrender Virus und immer neuer Name auch im Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (5)
  8. Hilfe! Trojan.Small; Trojan.Sirefef; Rootkit.0Access; Trojan.Atraps.Gen2 auf meinem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (11)
  9. Virus Windows Update Ukash..mich hats auch getroffen.Hier die Log Files...
    Log-Analyse und Auswertung - 14.06.2012 (30)
  10. Bundespolizeitrojaner entfernt aber irgendwie habe ich einige Funktionen immer noch nicht
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (1)
  11. Virus deaktiviert administrative Funktionen
    Plagegeister aller Art und deren Bekämpfung - 17.02.2011 (40)
  12. kein update funktioniert, antivius 2009 meldet sich immer, und der IE spinnt auch
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (2)
  13. XP-Update zerstört Funktionen ???
    Alles rund um Windows - 17.10.2006 (8)
  14. Trojaner, Virus oder wie auch immer?!?! Geänderte Registrierung :-(
    Log-Analyse und Auswertung - 21.03.2006 (9)
  15. Virus, Trojaner, oder was auch immer
    Log-Analyse und Auswertung - 03.01.2006 (27)
  16. Komischer Kram.. Virus..Trojaner..wie auch immer. Brauche bitte hilfe!
    Log-Analyse und Auswertung - 20.03.2005 (1)
  17. virus/ trojaner was auch immer...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2005 (12)

Zum Thema Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen - Hallo alle zusammen. Bis jetzt bin ich ziemlich verschont gewesen in punkto Viren und Trojaner. Wenn man 'n bischen aufpasst kann man 95% aller potentielle Infekte ja abwehren. Aber einmal - Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen...
Archiv
Du betrachtest: Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.