|
Plagegeister aller Art und deren Bekämpfung: Mopona.dll (entfernen?)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.10.2008, 13:40 | #1 |
| Mopona.dll (entfernen?) Hi, ich habe ein Virus, die Mopona.dll, Virustotal gibt das raus. Das sieht für mich sehr schädlich aus, nun funktioniert natürlich einfaches löschen nicht, und mein Avira treibt mich in den Wahnsinn, denn alle 2sec ploppt ein Fenster auf, mit der Frage was mit Mopona.dll passieren soll. Das Problem existiert erst seit heute, das einzige was ich gestern installiert habe war das, und das habe ich vor der Installation mit Avira und Spybot gescannt. Ich hoffe ihr könnt mir helfen. PS: ich benutze Windows XP SP3 |
20.10.2008, 18:56 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mopona.dll (entfernen?) Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
21.10.2008, 20:09 | #3 |
| Mopona.dll (entfernen?) Ok, also hier der HijackThis Logfile:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:33:19, on 21.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Samsung\EmoDio\SMSTray.exe C:\Programme\TP-LINK\TWCU\TWCU.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Winamp\winamp.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Ich\Desktop\qlketzd.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****://go.microsoft.com/fwlink/?LinkId=69157 O1 - Hosts: 85.214.35.100 l2authd.lineage2.com O1 - Hosts: 85.214.35.100 l2testauthd.lineage2.com O1 - Hosts: 85.214.35.100 nprotect.lineage2.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe O4 - HKLM\..\Run: [TWCU] C:\Programme\TP-LINK\TWCU\TWCU.exe -nogui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 6956 bytes hier der MBR Log: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Code:
ATTFilter 10/21/08 19:38:11 [Info]: BlackLight Engine 2.2.1092 initialized 10/21/08 19:38:11 [Info]: OS: 5.1 build 2600 (Service Pack 3) 10/21/08 19:38:11 [Note]: 7019 4 10/21/08 19:38:11 [Note]: 7005 0 10/21/08 19:38:15 [Note]: 7006 0 10/21/08 19:38:15 [Note]: 7011 3192 10/21/08 19:38:15 [Note]: 7035 0 10/21/08 19:38:16 [Note]: 7026 0 10/21/08 19:38:16 [Note]: 7026 0 10/21/08 19:38:17 [Note]: FSRAW library version 1.7.1024 10/21/08 19:40:20 [Note]: 7007 0 Code:
ATTFilter Malwarebytes' Anti-Malware 1.29 Datenbank Version: 1303 Windows 5.1.2600 Service Pack 3 21.10.2008 20:44:40 mbam-log-2008-10-21 (20-44-40).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|) Durchsuchte Objekte: 142314 Laufzeit: 43 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\dichver (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{10026069-7a5f-4531-811e-c8df20643bee} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fdf87042-0d74-42e4-afc5-0cda77bc74ba} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{435adc46-dcab-4593-92c8-25d2befceab7} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\i348oa.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\mopona.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\c.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\m.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\s.ico (Malware.Trace) -> Quarantined and deleted successfully. Combofix Log: Listing: Alle Hier Ach ja, das Kombofix hat mir die Wiederherstellungskonsole, die ich eigentlich immer von der Windows XP CD nutze installiert, und ich habe plötzlich wieder ein Internetexplorerbutton auf dem Desktop, und kann es nicht ausschalten. Außerdem haben sich nach dem neustart durch Combofix alle meine Autostartapplikationen gestartet. gruß Ryu1991 |
23.10.2008, 20:33 | #4 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Mopona.dll (entfernen?)Zitat:
Und wenn, inwiefern soll das ein Problem darstellen? Zitat:
Zitat:
An sich starten Autostart-Applikationen automatisch, deswegen ja auch AUTOSTART Was ist mit dem ursprünglichen Problem?
__________________ Logfiles bitte immer in CODE-Tags posten |
24.10.2008, 08:20 | #5 |
| Mopona.dll (entfernen?) Also was das Ursprüngliche Problem angeht, das scheint verschwunden zu sein, aber ob der Trojaner weg ist, nur weil die Mopona.dll weg ist würde ich nicht unterschreiben. Mich stört es nicht, dass CF die Konsole Installiert hat, ich weiß nur nicht, ob das richtig ist, da ich das noch nie benutzt habe und dachte mir ich merke mal alles an, wie auch die Sache mit dem IE, früher konnte man unter eigeschaften des Desktops, über den Button Desktop anpassen, die Symbole für Arbeitsplatz Eigene Dateien und IE ein- und ausblenden. Löschen werde ich das Icon nicht, da es sich nicht um eine Verknüpfung handelt. Und das meine Autostartsachen sich gestartet haben habe ich gesagt, weil du den Hinweis zu Combofix gemacht hast, dass CF den Autostart blockiert, und gleich ne Konsole aufgeploppt ist, nach dem neustart in der Stand ich solle keine Programme starten bis CF fertig ist, aber dann kam eben der Autostartkram. Ist das eigentlich eine generelle Anleitung, die ich für jedes Virus nutzen kann? |
24.10.2008, 11:44 | #6 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Mopona.dll (entfernen?)Zitat:
Ich hab jedenfalls keine weiteren Aufälligkeiten mehr in den Logs gesehen. Zitat:
Ist mir noch nie passiert. Oder bist Du nach dem Leitfaden gegangen und hast das so umgesetzt? Einfach nur CF auszuführen sollte keine Wiederherstellungskonsole installieren. Wie auch immer, die WHK stört nicht. Sie ist für den Notfall gedacht, falls Windows weder im normalen noch abgesicherten Modus startet, so hätte man noch die Wiederherstellungskonsole. Wie der Begriff es sagt, ist es auch nur eine Konsole, also nix mit Klickibunti Zitat:
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Damit wird die Autostartfunktion austauschbarer Datenträger gemeint, und eben keine Autostarteinträge, die Programme automatisch beim Windowsstart ausführen. Zitat:
Ich war es Leid, immer alles erneut abzutippen, deswegen hatte ich mir einmal Mühe für Anleitungsbausteine gemacht. Mit der Zeit hab ich festgestellt, dass ich aus diesen Bausteinen mehrere Anleitungen erstellen konnte. So erspart man sich zusätzlich zum Abgetippe auch das Zusammenkopieren der einzelnen Punkten (=Bausteinen).
__________________ --> Mopona.dll (entfernen?) |
24.10.2008, 16:29 | #7 |
| Mopona.dll (entfernen?) ok, dann danke für die Hilfe |
Themen zu Mopona.dll (entfernen?) |
avira, einzige, entferne, entfernen, fenster, frage, funktioniert, gestern, heute, hoffe, installation, installiert, löschen, mp3, natürlich, ogg, passieren, problem, schädlich, sp3, spybot, virus, virustotal, windows, windows xp, windows xp sp3, xp sp3 |