|
Kaspersky meldet FTP33.dll als Trojaner Hallo zusammen, habe hier Windows XP Pro seit einigen Tagen meldete zuerste ANTIVIR einen Schädling mit der Bezeichnung ftp33.dll Wenn ich ihn durch ANTIVIR habe löschen lassen, war er beim nächsten Boot wieder da. Habe nun zu Kaskersky gewechselt... der kann ihn auch nicht löschen. Die dll steckt in: C:\WINDOWS\System32\ftp33.dll Wie werden ich da bitte wieder los. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:08:36, on 02.05.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\a-squared free\a2service.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\spools.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\TrojanHunter 5.0\THGuard.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w*w.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://w*w.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.0\THGuard.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: forum.mx-5-sportive.com O15 - Trusted Zone: www.mx-5.de O15 - Trusted Zone: www.mx-5.net O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138646798470 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam1.luedenscheid.de/activex/AxisCamControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9A1076-AD36-4E32-BCC7-8E9C96743A06}: NameServer = 10.0.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D81CA1-90C8-4D6C-9DC9-C984A1D553F8}: NameServer = 194.25.2.129,195.252.128.53 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E9A1076-AD36-4E32-BCC7-8E9C96743A06}: NameServer = 10.0.0.2 O17 - HKLM\System\CS2\Services\Tcpip\..\{0E9A1076-AD36-4E32-BCC7-8E9C96743A06}: NameServer = 10.0.0.2 O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2 -- End of file - 6232 bytes |
Hallo Haegar64 und http://www.mysmilie.de/generator/ablage/156/257.png Deinem System fehlen sämtliche Sicherheitsupdates und alle herausgebrachten Service Packs von Microsoft! Das System ist wahrscheinlich mit einem Rootkit (und weiterer Malware!) infiziert, welches durch die Sicherheitslücken eingeschleust wurde. Diese sind hier: Dateien Online überprüfen lassen:
Zitat:
Hier gibt es definitv nur noch eine Lösung --> http://www.trojaner-board.de/51262-a...sicherung.html Sunny |
Danke für die schnelle Antwort... eine Datei mit der Bezeichnung C:\WINDOWS\system32\lanmui.dll hbae ich nicht gefunden. Habe das System suchen lassen. Alle versteckten sind eingeblendet! Anbei die Auswertung der Spool AhnLab-V3 2008.5.3.0 2008.05.02 - AntiVir 7.8.0.11 2008.05.02 - Authentium 4.93.8 2008.05.02 - Avast 4.8.1169.0 2008.05.02 - AVG 7.5.0.516 2008.05.02 - BitDefender 7.2 2008.05.02 - CAT-QuickHeal 9.50 2008.05.02 TrojanDownloader.Small.uvj ClamAV 0.92.1 2008.05.02 - DrWeb 4.44.0.09170 2008.05.02 - eSafe 7.0.15.0 2008.04.28 - eTrust-Vet 31.3.5753 2008.05.02 - Ewido 4.0 2008.05.02 - F-Prot 4.4.2.54 2008.05.02 - F-Secure 6.70.13260.0 2008.05.02 - FileAdvisor 1 2008.05.02 - Fortinet 3.14.0.0 2008.05.02 - Ikarus T3.1.1.26.0 2008.05.02 Trojan-Downloader.Small.uvj Kaspersky 7.0.0.125 2008.05.02 - McAfee 5286 2008.05.02 - Microsoft 1.3408 2008.04.22 - NOD32v2 3071 2008.05.02 Win32/TrojanDownloader.Small.OBC Norman 5.80.02 2008.04.30 W32/Smalltroj.EEGY Panda 9.0.0.4 2008.05.01 - Prevx1 V2 2008.05.02 - Rising 20.42.22.00 2008.04.30 - Sophos 4.29.0 2008.05.02 - Sunbelt 3.0.1097.0 2008.05.01 - Symantec 10 2008.05.02 - TheHacker 6.2.92.298 2008.04.30 Trojan/Downloader.Small.uvj VBA32 3.12.6.5 2008.05.02 Trojan-Downloader.Win32.Small.uvj VirusBuster 4.3.26:9 2008.05.02 - Webwasher-Gateway 6.6.2 2008.05.02 - weitere Informationen File size: 117467 bytes MD5...: 357619105cc638ba53e87c9478e77ccc SHA1..: b67e316283e860b80b052924b0859020ca54cbe8 SHA256: cd871f2b9bce266d22ec58e045d4875d568c6cb05a34fa620f81f5fed6cc1e4d SHA512: a9b8d8af7922c17701b504486917ae2165e849781d677802316a3fb66813b364 299bb351e2f3e2752f6dcb6f6f509a5d5cc5d12d5160f89201346a866c5cc25e PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4011f7 timedatestamp.....: 0x465ef142 (Thu May 31 16:01:06 2007) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x97c 0xa00 6.35 76f4fc1660620e02391be82cb17a5d65 .data 0x2000 0xda74 0x3c00 7.26 a0d1292161f130bb7b40a4b9aa82155f ( 0 imports ) ( 0 exports ) |
Man kööönnte die schädlichen Dateien entfernen, das System also bereinigen und danach versuchen alle Updates zu installieren. Risiko dabei: Das System ist nicht mehr vertrauenswürdig, es ist und bleibt kompromittiert! d.h. Online-Banking, eBay, PayPal etc., würde ich dir dringend dann abraten. Sicherheit erlangt man definitv in deinem Fall nur durch eine Neuinstallation... :daumenhoc |
Aha.... welche Datei(en) müßten entfernt werden? Würde es auch reichen die Dateien von einem anderen Rechner per CD zu überschreiben? Oder entfernen und dann die anderen auf den Rechner zu kopieren? Ich denke da immer an den Weg der wenigsten Arbeit. Wenn nicht.... müßte die Platte gecleant werden. :-( |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board