Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte HiJ Log checken (https://www.trojaner-board.de/38570-bitte-hij-log-checken.html)

Chriss0r 03.05.2007 09:18
Bitte HiJ Log checken
 
Moin an alle, habe seit gestern abend ein schweres Problem....
Ich werde zur Identifikation des Problems schildern wie es (wahrscheinlich) passiert ist.
Seit einiger Zeit öffnet sich bei mir wenn ich mit FireFox surfe, Werbung in meinem IE6, obwohl ich eigentlich schonmal IE7 installiert habe. Aufjedenfall habe ich mir nicht viel dabei gedacht, bis gestern abend noch etwas passierte - auf meinem Desktop erschienen 2 *.exe dateien, eine davon hieß 1.exe, die führten sich wohl von selbst aus, und verschwanden dann wieder. Daraufhin konnte ich mein Firefox nicht mehr öffnen (zitat: "...wei js3250.dll nicht gefunden wurde"). Neuinstallation hat das Problem mit Firefox nur bis zum neustart behoben.

Mit Systemwiederherstellung und und der Windows Reparatur habe ich es auch schon versucht - vergebens wie es scheint.
Ich habe HiJackThis laufen lassen - dann eScan (267kb log - hat 25 gefährliche Dateien gefunden) und dann nochmal HiJackThis, habe noch alle 3 logs. wobei beim entstehen des 2. logs auch eine Fehlermeldung erschien. Desweiteren stürzt mein PC bei folgenden Sachen sofort ab:
- wenn ich bei eScan auf "Ports anzeigen" klicke
- teilweise bei Installations/startversuchen von Firefox
- anscheinend auch beim normalen Herunterfahren, so das das Heruterfahren scheitert
- auch mal so zwischendurch

HiJackThis Log 1
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:08:56, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
E:\Media\Winamp\winamp.exe
E:\Internet\Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
HiJackThis Log 2
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:42:52, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
Hoffentlich kann mir jemand helfen, falls noch Bedarf vom eScan log besteht, bitte melden^^

Apocalypt 03.05.2007 13:16
UiUiUi ^^
Zitat:
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
Kommt mir ebenso spanisch vor wie...
Zitat:
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
Und auch..
Zitat:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Ok...Prüf die Datein mal bei Virustotal
oder Jotti.

Zitat:
C:\WINDOWS\system32\rpcc.dll
c:\windows\system32\lmo.dll
C:\WINDOWS\system32\ldhje783.dll
Ansonsten würd ich schonmal schwer auf Backdoor tippen, also kram deine XP-Cd schonmal hervor ;)

Chriss0r 03.05.2007 20:42
Ok ich werd das mal überprüfen. Das mit dem Firefox hab ich durch Google und Forensuche hinbekommen.

Ich hab mir ja alles durchgelesen, das man das System nicht wieder 100% fixen kann, aber ich will echt ungerne alles wieder neu installieren... ich hab die frage schonmal gestellt, aber kann man von einzelne Registry Einträgen ein backup machen? Also wenn ich zB ein Spiel auf der Partition behalte die nicht dieselbe ist wie Windows. Hat da jemand schon erfahrung mit gemacht? Dann wäre das Formatieren nur halb so schlimm^^

EDIT: so hier die Logfile von der Datei "c:\windows\system32\lmo.dll"
Zitat:
AhnLab-V3 2007.5.4.0 05.03.2007 no virus found
AntiVir 7.4.0.15 05.03.2007 TR/Vqten.A.7
Authentium 4.93.8 05.02.2007 no virus found
Avast 4.7.997.0 05.03.2007 no virus found
AVG 7.5.0.467 05.03.2007 no virus found
BitDefender 7.2 05.03.2007 Trojan.Vqten.A
CAT-QuickHeal 9.00 05.03.2007 no virus found
ClamAV devel-20070416 05.03.2007 no virus found
DrWeb 4.33 05.03.2007 Trojan.Vqten
eSafe 7.0.15.0 05.03.2007 Win32.Spabot
eTrust-Vet 30.7.3612 05.03.2007 Win32/Netvq!generic
Ewido 4.0 05.03.2007 Trojan.Vqten
FileAdvisor 1 05.03.2007 No threat detected
Fortinet 2.85.0.0 05.03.2007 NetVQ!tr
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.03.2007 no virus found
Ikarus T3.1.1.7 05.03.2007 Trojan.Vqten
Kaspersky 4.0.2.24 05.03.2007 no virus found
McAfee 5023 05.03.2007 PWS-LSP
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2237 05.03.2007 no virus found
Norman 5.80.02 05.03.2007 no virus found
Panda 9.0.0.4 05.03.2007 Adware/WebAttaker
Prevx1 V2 05.03.2007 Polynomial.Code.Exploit
Sophos 4.17.0 05.03.2007 Troj/NetVQ-Gen
Sunbelt 2.2.907.0 05.03.2007 Trojan.Vqten.A
Symantec 10 05.03.2007 Trojan.Spabot
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 Trojan.Vqten
VirusBuster 4.3.7:9 05.03.2007 no virus found
Webwasher-Gateway 6.0.1 05.03.2007 Trojan.Vqten.A.7

Aditional Information
File size: 21504 bytes
MD5: 4f147061cbe59fa1e8ec404921ed1540
SHA1: e0baa0ba59ed489c7697d379557e80913a721c92
Bit9 info: Bit9 FileAdvisor - Search Results
Prevx info: WSRYDFZAG.DLL Spyware Remove
EDIT2:
Zitat:
Complete scanning result of "rpcc.dll", received in VirusTotal at 05.03.2007, 22:20:16 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.03.2007 no virus found
AntiVir 7.4.0.15 05.03.2007 no virus found
Authentium 4.93.8 05.02.2007 no virus found
Avast 4.7.997.0 05.03.2007 no virus found
AVG 7.5.0.467 05.03.2007 Proxy.NEE
BitDefender 7.2 05.03.2007 no virus found
CAT-QuickHeal 9.00 05.03.2007 TrojanProxy.Dlena.cp
ClamAV devel-20070416 05.03.2007 no virus found
DrWeb 4.33 05.03.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3612 05.03.2007 no virus found
Ewido 4.0 05.03.2007 no virus found
FileAdvisor 1 05.03.2007 no virus found
Fortinet 2.85.0.0 05.03.2007 suspicious
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.03.2007 no virus found
Ikarus T3.1.1.7 05.03.2007 no virus found
Kaspersky 4.0.2.24 05.03.2007 no virus found
McAfee 5023 05.03.2007 no virus found
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2238 05.03.2007 a variant of Win32/TrojanProxy.Dlena
Norman 5.80.02 05.03.2007 no virus found
Panda 9.0.0.4 05.03.2007 no virus found
Prevx1 V2 05.03.2007 Trojan.RPCC.Payload
Sophos 4.17.0 05.03.2007 no virus found
Sunbelt 2.2.907.0 05.03.2007 VIPRE.Suspicious
Symantec 10 05.03.2007 Trojan.Packed.9
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 no virus found
VirusBuster 4.3.7:9 05.03.2007 no virus found
Webwasher-Gateway 6.0.1 05.03.2007 no virus found

Aditional Information
File size: 30720 bytes
MD5: 32124f492628481151d81039692e22b7
SHA1: 8c11744b4a64d58b614d33e6c05d1100832773de
Prevx info: RPCC.DLL Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Chriss0r 03.05.2007 21:40
Bei der letzten Datei kommt nur diese Meldung, weiß nich ob das an der Datei oder an der Seite liegt.
Zitat:
0 bytes size received / Se ha recibido un archivo vacio
Hoffe jemand kann mir weiterhelfen

Chriss0r 04.05.2007 22:57
Kann mir denn keiner mehr helfen?
Ich habe mittlerweise versucht die Dateien zu löschen, nur lmo.dll kann ich nicht löschen. Hier das zeigt mein "unlocker" wenn er versucht die datei zu löschen, macht mir irgendwie angst das so viele Anwendungen diese dll brauchen.

Ich habe festgestellt das alle Anwendungen die ich starte in diesem Fenster auftauchen und lmo.dll "brauchen"

Hier ein Screenshot davon: "52.74 KB"
http://real-world.ch/chriswww/files/...ker-screen.jpg

MightyMarc 04.05.2007 23:57
Lösch die DLL über die Wiederherstellungskonsole. In der Konsole folgendes eingeben:

del /F C:\windows\system32\lmo.dll

Chriss0r 05.05.2007 13:31
Ich hab lmo.dll gelöscht, erfolgreich. Aber ich kann jetzt nicht mehr ins Internet, also ich kann mich einwählen, kann aber keine Seite aufrufen.
hier nochmal ein HiJackThis Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:17:38, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Treiber\mouz\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Eigene Dateien\misC\screener.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\virus stuff\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lmo.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
wenn ich übrigens versuche "NetworkActivPIAFCTMv 1.5" zu starten kommt diese Meldung: "Error code 10106 while attempting to create socket"
und dann noch: "Make sure raw sockets are enabled on your system...."

MightyMarc 05.05.2007 13:33
Führe bitte lspfix aus.

Chriss0r 05.05.2007 16:58
Jetz funktioniert mein Internet wieder, DANKE für eure Hilfe soweit.
hier nochmal ein HiJackThis Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:54:05, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Internet\Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\virus stuff\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Chriss0r 05.05.2007 17:25
Ich habe immer noch den Fehler das ich mir nicht die Ports anzeigen lassen kann.
Weiß jemand was das zu bedeuten hat?
Und was ist das:
Zitat:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Habe ein AMD Prozessor, ist das normal so.

MightyMarc 05.05.2007 17:42
Sorry, ich hatte mir das HJT-Log nicht genau angeschaut. Bevor wir jetzt den nächsten Trojaner löschen und dann feststellen, dass doch noch einer da ist sollten wir erstmal nen Überblick gewinnen. Halte Dich bitte exakt an folgende Anleitgung. Bei Unklarheiten frage bitte nach:

das Update funktioniert leider selten auf Anhieb. Einfach mehrmals versuchen.

Gruß

Marc

Chriss0r 05.05.2007 20:28
Hier das was find.bat ausgegeben hat:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.01.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.1.9
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with bridge Spyware/Adware (bridge.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with bridge Spyware/Adware (bridge.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\SYSTEM32\KPROF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\SYSTEM32\POOF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Chriss0r\Desktop\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Chriss0r\Desktop\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
Datei C:\Program Files\NetworkActiv PIAFCTM 1.5\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\Uninstall Information\RemoveWebDP.exe markiert als "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\{88E87B0C-07DB-1031-0309-060602060031}\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\{88E87B0C-07DB-1031-0309-060602060031}\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc1\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc1\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc2\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc2\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc3\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc3\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc4\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc4\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Andere\screensaver\waterfree.exe//WISE0023.BIN//SaveNow.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\desktop 2\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\gfx\bridge.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\gfx\bridge.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = C:\WINDOWS\system32\rpcc.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc). Deleting Registry Key rpcc...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Andere\ReaJPEG.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 72646
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 63
Dauer des Scans bisher: 01:29:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:25:40,95
Batchende: 21:25:42,60

Apocalypt 05.05.2007 20:32
Zitat:
Trojan-Proxy.Win32.Wopla.ag
Ist ein Backdoor :( Dir bleibt wohl nichts anderes als neuaufsetzen. Anleitung im FAQ-Bereich.

Sorry :schmoll:

Chriss0r 05.05.2007 21:36
Ne wie gesagt neu aufsetzen kommt für mich nicht in Frage solange mein System noch einwandfrei arbeitet, und nachdem ich diese befallenen Dateien erfolgreich gelöscht habe geht wieder alles. Nur das "Ports anzeigen lassen" funktioniert nachwievor nicht, da stürtzt der PC sofort ab und zeigt SEHR kurz eine Bluescreen-Meldung, zu kurz um es lesen zu können. Ich würde nur neuaufsetzen wenn es nicht mehr richtig funktioniert oder ich meine Spiele und Programme nicht alle neuinstallieren muss, weil manche Programme kann ich nicht mehr neu Installieren, desweiteren sind es einfach sehr viele Programme die ich auch alle neu einrichten müsste.

Warum antwortet keiner auf die Frage ob ich ein Backup für bestimmte Teile von der Registrierung erstellen kann, welches ich für das neuerstellte System benutzen kann? Kennt sich da keiner aus, oder ist das Schwachsinn?^^

MightyMarc 05.05.2007 21:44
Zitat:
Zitat von Chriss0r (Beitrag 266844)
Warum antwortet keiner auf die Frage ob ich ein Backup für bestimmte Teile von der Registrierung erstellen kann, welches ich für das neuerstellte System benutzen kann? Kennt sich da keiner aus, oder ist das Schwachsinn?^^
Das funktioniert unter Umständen mit Software, die sich lediglich unter HKLM\Software verewigt
Es macht aber keinen Sinn ein System neuaufzusetzen und dann alte Hives einzuspielen.

Mit der Diagnose Backdoor und dem Hinweis auf die Anleitung zum Neuaufsetzen in der FAQ-Sektion ist die Sache für mich gelaufen. Ein kompromittiertes System ist wie ein toter Gaul nur das beim Gaul offentsichtlich ist, wo das Problem liegt.

Rene-gad 05.05.2007 22:00
Zitat:
Zitat von Chriss0r (Beitrag 266844)
Ne wie gesagt neu aufsetzen kommt für mich nicht in Frage solange mein System noch einwandfrei arbeitet, und nachdem ich diese befallenen Dateien erfolgreich gelöscht habe geht wieder alles.
Quatsch. Es geht weiter alles für alle, die diesen Backdoor für Zugang an deinen PC benutzt haben: https://www.microsoft.com/technet/ar...mlaws.mspx#EBB
Zitat:
...stürtzt der PC sofort ab und zeigt SEHR kurz eine Bluescreen-Meldung, zu kurz um es lesen zu können.
Arbeitplatz/Rechtsklick Systemeigenschaften/Starten und Wiederherstellen und entferne den Haken beim Automatisch Neu Starten.
Zitat:
Ich würde nur neuaufsetzen wenn es nicht mehr richtig funktioniert
Entschuldige, aber bist du wirklich so dämlich, dass du noch die Bedingungen stellst, während dein System, wie eine offene Scheune, allen möglichen Missbräuchen offen steht? :confused:
Zitat:
antwortet keiner auf die Frage ob ich ein Backup für bestimmte Teile von der Registrierung erstellen kann,
Kannst du, was aber keinen Sinn hat, denn diesen Backup kann nirgendwo mehr verwendet werden.

Chriss0r 05.05.2007 23:52
Ja mir war klar das ich da falsch liege das System nicht neu aufzusetzen wenn sich diese backdoor Trojaner hier eingenistet haben. Bin jetzt zur Vernunft gekommen und werde das System neuaufsetzen, unter anderem weil er doch nicht mehr so einwandfrei läuft.

Danke für eure Hilfe, und sry das ich etwas uneinsichtig war


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19