moin, also ich hab hier nen rechner. da ist in c:/winnt/ ne flkig.dll und nach jedem reboot wird die startseite suchseite usw geändert in res://flkig.dll blabla. adaware findet nix. hijackthis kann zwar die einträge löschen aba die sind nach nem reboot wieda da wenn ich die flkig.dll lösche ist sie nach nem reboot auch wieda da hat irgendwer ne idee?

Gr33tz Goddchen

Hallo Goddchen und wilkommen on board!

Zitat:

Hijackthis kann zwar die einträge löschen aba die sind nach nem reboot wieda da

Zitat:

wenn ich die flkig.dll lösche ist sie nach nem reboot auch wieda da

Stimmt!
Du gekämpfst die Auswirkungen aber nicht die Ursache, deshalb bitte mal das Log posten. Um zu sehen wer der Verantwortliche für Dein Problem ist.

Logfile of HijackThis v1.97.7
Scan saved at 08:52:48, on 02.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\WINNT\System32\NMSSvc.exe
c:\norman\nvc\bin\zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3jo.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\Promon.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CHKADMIN.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\ntcl.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\service\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\flkig.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://flkig.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://flkig.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\flkig.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://flkig.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\flkig.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.194.44.31:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {418D601F-94BB-8BD3-8B39-22D9ED6BEDCC} - C:\WINNT\system32\ierr32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~2\CHKADMIN.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ntcl.exe] C:\WINNT\ntcl.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {130F89DC-B772-4E02-AEFA-1BDDD8BD4E96} (MitraInstallAX Control) - http://10.194.45.122/MPEGComponents/MPEGComponents.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - http://10.194.45.122/jre/j2re-1_4_1_...ows-i586-i.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF657C2-4F3E-49CF-8B80-5111076C95ED}: NameServer = 10.190.20.31,10.190.20.32

Geh mal auf diese Seite. Dort kannst Du Dein Logfile Auswerten lassen.

Habe das auch gerade gemacht und einige unbekannte Prozesse gefunden.

Aus diesem Grund auf jeden Fall Dein System mit eScan prüfen lassen

Zitat:

1.escan runterladen:
http://www.mwti.net/antivirus/free_utilities.asp
(Datei dann entpacken in einen von dir erstellten ordner namens c:\bases)

2. escan updaten (kavupd.exe in dem Verzeichnis c:\bases ausführen)

3. Das Programm aus 1. ausführen (kvss.exe)
Dabei die Einstellungen vornehmen wie hier beschrieben

Anschließend bei den Einträgen wie Empfohln vorgehen.

Berichte im Anschluß mal bitte Dein Ergebnis!!

gib ma bitte nen anderen link für die einstellungen, oda sag wonach ich suchen muss, der link von dir geht nicht da komm ich auf die seite wo steht dass die page nach .com umgezogen ist

opps sorry ist noch alt richtig!

hier ist der richtige Link

Vor allem solltest Du folgende Einträge bei Kaspersky prüfen lassen die scheinen mir verdächtig!!

Zitat:

d3jo.exe
ntcl.exe

Poste mal die Ergebnisse!

ob dus glaubst oda net... ich find die 2 files nicht die müssen doch im c:/winnt/ sein

hattest du eScan schon ausgeführt? Dann kann es sein , dass sie gelöscht sind!

jaja es läuft noch. läuft mittlerweile schon 50 minuten *g* hat 21 viren gefunden, norman hatte gar nichts mehr gefunden und adaware wie gesagt auch nicht, cooles prog, mal abwarten, ich poste später das ergebnis sobald es fertig ist

achso die 2 files die du mir gesagt hast wurden wirklich von escan als TrojanDownloader erkannt . also bis später

also das teil hat 28 viren gefunden, restart, alles beim alten, und dann nochmal gescannt und schon wieda 13 viren drauf, das hat keinen zweck so, wir machen das teil platt... aba thx für die hilfe

Halt!

Hatte vorhin noch etwas übesehen
C:\WINNT\system32\ierr32.dll
scheint mir auch fragwürdig! Bevor Du neu aufsetzt poste nochmal Dein logfile.

naja, also das problem ist nun doch noch gelöst. wir haben escan noch 2 oda 3 mal drüberlaufen lassen, immer wieder wurde das gefunden. irgendwann war die flkig.dll weg aba ne neue dll da nur mit anderem namen, jetzt ist es aba irgendwie auf einmal ganz weg... sehr komische sache... naja microsoft, was will man machen

also vielen dank nochmal für deine hilfe

CU G0ddch3n