trjaner on board

unreal2 · 07.10.2004, 22:03

mein problem: ich habe einen trojaner on board den ich gerne löschen möchte dochimmer wenn ich die datei löschen möchte heisst es sie wird schon benutzt bitte schliessen sie zuerst die anwendung. der name der inviszierten detei laudet c:windows/system32/vsoz2snzmi.dll
wie bringe ich diesen scheiss virus weg bitte bitte bitte bitte bitte bitte helft mir danke schon im voraus...

Logfile of HijackThis v1.98.2
Scan saved at 22:24:32, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Norton AntiVirus\QConsole.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\crest\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\6FS14T~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SuperBar - {3D26EBE0-9D64-4A25-8A2F-F00A43E35893} - C:\Programme\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: Search - {3FFAE1F2-F380-66B5-BC6A-32B01BF3E4C1} - C:\WINDOWS\Yzlijboq.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\RunOnce: [*antidoc] C:\WINDOWS\Tasks\antidoc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sweeper.exe] C:\Programme\History Sweeper\Sweeper.exe
O4 - HKCU\..\Run: [Ultimate Popup Blocker] C:\Programme\Ultimate Software\Popup Blocker.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: vsoz2snzmi.dll

Shadowdance · 07.10.2004, 23:27

Hallo unreal2,

Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - downloade bitte das aktuelle Service Pack und update den IE: www.windowsupdate.com

Überprüfe mit dem online-scan von Kaspersky folgende Dateien:

C:\Programme\Norton AntiVirus\QConsole.exe
C:\WINDOWS\Yzlijboq.dll
C:\WINDOWS\Tasks\antidoc.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, falls sie infiziert sind, an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

[edit] (xxx) Wie ich leider erst nachträglich erfahren habe, sollte man LSP-Fix downloaden, um 'O10 - Hijacked Internet access by New.Net' Einträge zu entfernen und Probleme mit dem Netz damit wieder reparieren zu können. [/edit]

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\6FS14T~1.DLL

O3 - Toolbar: SuperBar - {3D26EBE0-9D64-4A25-8A2F-F00A43E35893} - C:\Programme\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: Search - {3FFAE1F2-F380-66B5-BC6A-32B01BF3E4C1} - C:\WINDOWS\Yzlijboq.dll

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [Sweeper.exe] C:\Programme\History Sweeper\Sweeper.exe
O4 - HKCU\..\Run: [Ultimate Popup Blocker] C:\Programme\Ultimate Software\Popup Blocker.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

(xxx) O10 - Hijacked Internet access by New.Net
(xxx) O10 - Hijacked Internet access by New.Net
(xxx) O10 - Hijacked Internet access by New.Net
(xxx) O10 - Hijacked Internet access by New.Net
(xxx) O10 - Hijacked Internet access by New.Net

O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: vsoz2snzmi.dll

Beende im Taskmanager:

sysupd.exe
Tvm.exe
Sweeper.exe
Popup Blocker.exe
spydoctor.exe

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Führe den eScan, online geupdatet, offline im abgesicherten Modus aus. Teile uns das Ergebnis des eScan mit: wieviel/welche Viren wurden auf Deinem Rechner gefunden. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung im abgesicherten Modus - von Hand gelöscht werden, siehe eScan 4.5.1

Poste ein neues Hijack This Logfile.

SD

trjaner on board

Plagegeister aller Art und deren Bekämpfung: trjaner on board

trjaner on board

trjaner on board

Ähnliche Themen: trjaner on board