Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Lamedon.B (https://www.trojaner-board.de/1805-trojaner-lamedon-b.html)

randypit 31.05.2004 14:19
Hallo zusammen,
nach langer Suche und keinem Erfolg.... eine Frage an die Profis hier:

Mein AVG-Scanner zeigt mir einen Trojaner Lamedon.B in einer Datei in c:\windows\dl~1.htm an

er bereinigt den Trojaner und beim nächsten Start ist er wieder da....

zusätzlich bekomme ich beim Start vom IE eine völlig andere HP die sich nicht ändern lässt in den Einstellungen des IE auch nicht wenn ich sie in der registry geändert habe...

Wer kann mir weiter helfen??

Cookies, temp Internetdateien hab ich alles schon gelöscht. ebenso die Systemwiederherstellung von Windows ME.....keinen Erfolg

Viele Grüße und Danke

randypit

Remover 31.05.2004 15:33
Am besten benutze doch mal das Tool Hijackthis und poste uns ein Logfile hier rein. Es kann durchaus sein das du Malware drauf hast, insbesondere einen
Browser Hijacker.

Bitte hier das Tool Hijackthis runterladen...

http://www.chip.de/downloads/c_downloads_11353576.html

Dieser Anleitung folgen

http://www.trojaner-board.de/51130-a...ijackthis.html

und Log hier reinsetzen.

randypit 31.05.2004 15:41
Hi remover
hab hier die log-Datei von Hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 16:39:08, on 31.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFOSDW.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM32\WINTIME.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT
C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\LWPETER\TREIBER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.1und1.com/b1redirect
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\CFOSDW.EXE
O2 - BHO: (no name) - {AAFBC1B6-B365-48F5-8584-354AB115F5A7} - C:\WINDOWS\SYSTEM\PZDICJQE.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62"
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://cs6.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...130.2804861111

Bei der Startseite für den IE müsste normalerweise etwas anderes stehen www.start1und1.de o.ä.

Den Trojaner hab ich mittlerweile entfernen können nur die Startseite beim IE stimmt immer noch nicht!

Gruß
randypit

randypit 31.05.2004 15:56
ups hab gelogen [img]graemlins/heulen.gif[/img]
die Meldung mit AVG kommt immer noch
C:\WINDOWS\DL~1.HTM Trojan horse Downloader Lamedon.B Healed ok

die Datei ist abr im Verzeichnis nicht zu finden....auch nicht versteckt ?????

Bin ich denn doof??

Grüße randypit

Lutz 31.05.2004 16:04
Hi randypit,

hinter h**p://213.159.117.132/ verbirgt sich coolwebsearch. Eine 'Suchmaschine' auf die -sagen wir es mal vorsichtig- viele BrowserHijacker umleiten.

Schau Dich bitte mal hier um: http://www.trojaner-info.de/hijacker/index.shtml

randypit 31.05.2004 17:20
Hallo Lutz,

hab grade versucht über ad-aware das Problem zu beheben. Er findet was löscht es. Auch HijackThis findet was löscht es und dann ist es beim Nächsten Mal grad wieder da

Ich weiss nix mehr wer kann mir noch weiterhelfen ????

Nach jedem Neustart des IE hab ich über den Virenscanner auch wieder diesen Trojan horse Downloader Lamedon.B wieder drauf der sich auf einer Datei befindet, die sich aber nicht anzeigen lässt auch nicht bei Aktivierung Alle Dateien anzeigen in der Systemsteuerung


HILFE Wer rettet mich???

Grüße randypit

Lutz 31.05.2004 18:50
Probiere noch den CWShredder (Link findest Du auf der vorher von mir gelisteten Seite).

Zusätzlich kannst Du noch dieses Free eScan Antivirus Toolkit Utility im abgesicherten Modus über Deinen Rechner 'jagen'.

Who Cares 31.05.2004 18:51
</font><blockquote>Zitat:</font><hr />Original erstellt von randypit:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php

O2 - BHO: (no name) - {AAFBC1B6-B365-48F5-8584-354AB115F5A7} - C:\WINDOWS\SYSTEM\PZDICJQE.DLL

O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe

O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
</font>[/QUOTE]Hi,

- bitte arbeite den Link von Lutz nochmal durch..

- obiges unter R0 & R1 genanntes fixen
die O2 & O4 Einträge mit KAV (s.u.) scannen, bzw fixen

- Info Lamedon.B:
http://www.virusbtn.com/resources/vg...on.b&product=3


***

1) --&gt; Ad-aware, spybot und cwshredder installieren, updaten
Dann im abgesicherten Modus (F8-Boot) scannen und bereinigen lassen

(Links: von http://www.lurkhere.com/~nicefiles/index.html bzw www.lavasoft.de

(bei hartnäckigen Fällen hilft manchmal:
- RESTORE=SWH deaktivieren: http://www.systemwiederherstellung-deaktivieren.de
- im abgesicherten Modus (F8-Boot) neu starten;
- dort scannen und bereinigen mit obigen Tools
- auch gut einzusetzen im Abges. Modus: Escan/KAV von:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe
Entweder so laufen lassen, oder ggfs. mit WinRAR o.ä. in einen separaten Ordner entpacken;
Dort dann "mwavscan.com" aufrufen

2) ALLE Startaufrufe prüfen, ob's was bösartiges oder unnötiges ist &
ggfs. bereinigen: mit Log-Datei von Hijackthis
http://www.trojaner-board.de/51130-a...ijackthis.html (deutsche Anleitung)
http://www.spywareinfo.com/%7Emerijn/htlogtutorial.html (english tutorial) in Kombination mit:

a) Datenbank http://www.sysinfo.org/startuplist.php oder OFFLINE: http://www.pacs-portal.co.uk/startup.../start_ups.exe oder
http://www.windowsstartup.com/wso/search.php & http://www.reger24.de/processes.php & www.google.de
b) KAV-Scanner (s.u.)


Falls es dann noch probleme gibt, neues log hier posten

--&gt; Scannen und bereinigen/fixen geht ggfs. besser im abgesicherten Modus (F8-Boot)

weitere Details/Links: Forensuche

randypit 01.06.2004 17:17
Hallo noch einmal!

Es will immer noch nicht klappen. Nachdem ich die ganzen Tips von Lutz durchgeführt habe scheine ich zwar den trojaner los geworden zu sein!!
aber den Browser Hijacker hab ich immer noch..ich werd die url nicht los!

Hier nochmal die log-datei von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 18:16:39, on 01.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT
C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\LWPETER\TREIBER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://ie.search.msn.com/{SUB_RFC176...t/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC176...t/srchcust.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

Wer kann mir noch weiter helfen??

Ad-aware, spybot und csw-shredder hab ich durchgeführt??

Vielen Dank

randypit

randypit 01.06.2004 17:23
Noch ein Anhang. Kann es mit einer dieser Dateien zu tun haben??

C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE

Wie find ich das raus oder wofür sind die da?

Grüße randypit

Lutz 01.06.2004 18:03
Hi randypit,

</font><blockquote>Zitat:</font><hr /> Nachdem ich die ganzen Tips von Lutz durchgeführt habe...</font>[/QUOTE]Was genau hast Du denn bisher unternommen?

Und was passiert, wenn Du jetzt diese ganzen Einträge mit HijackThis 'fixt'.

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = h**p://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h**p://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm </font>[/QUOTE]Kommen die nach einem Neustart immer noch wieder?

Außerdem scheint es, als wenn bei dem Log der Rest fehlt...

Lutz 01.06.2004 18:12
</font><blockquote>Zitat:</font><hr />Original erstellt von randypit:
Noch ein Anhang. Kann es mit einer dieser Dateien zu tun haben??

C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE

Wie find ich das raus oder wofür sind die da?
</font>[/QUOTE]Wnn das die Originaldateien sind, sind die harmlos, bzw. notwendig.
Starte mal den WindowsExplorer und navigiere in den Ordner C:\Windows\System. Dort machst Du einen Rechtsklick auf die jeweilige Datei. Unter Eigenschaften -&gt; Version findest Du einige Angaben zu der jeweiligen Datei.

randypit 01.06.2004 18:12
Hallo Lutz,
hab die Tips die du und who cares mir gegeben haben durchgeführt

reboot /abges. modus / gescannt mit ad aware, spybot, csw
und die von dir angeführten links schon zum x-ten mal gefixt
beim nächsten IE-Start...was guckst du sind die links wieder da..

Was könnt noch helfen?

Also von dem log-file dürfte nix fehlen..hab alles in datei ausgegeben. &gt;alles markieren&lt; hier wieder eingefügt

da isses

Gruß randypit

randypit 01.06.2004 18:13
hier nochmal der frisch gescannte log:
Logfile of HijackThis v1.97.7
Scan saved at 19:14:49, on 01.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\LWPETER\TREIBER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

Lutz 01.06.2004 18:17
Ich sehe gerade, du kannst noch einen OnlineScan bei TrendMicro probieren -&gt; http://housecall.trendmicro.com/ machen.

Lt. deren Beschreibung ist ein javascript dafür verantwortlich. -&gt; http://www.trendmicro.com/vinfo/viru...e=JS_LAMEDON.B

Falls noch (oder wieder) aktiv, deaktiviere bitte zunächst erst wieder die Systemwiederherstellung.

Nachtrag:
Wenn der OnlineScan etwas findet, poste es bitte hier. Damit wir ggf. anderen schneller helfen können. Danke!

randypit 01.06.2004 19:06
Hallo Lutz,

der online-scan bei trend hat keine Meldung erbracht

Was kann ich denn noch tun?

Gruß pit

Lutz 01.06.2004 19:36
Sorry, dann hab ich im Moment keine Idee mehr... :(
Ich habe in der Zwischenzeit noch in diversen amerikanischen Foren gestöbert. Es gibt scheinbar viele Betroffene aber noch keine Lösung.
Ich bleibe aber dran!

In der Zwischenzeit solltest Du auf einen anderen Browser umsteigen...

Lutz 01.06.2004 20:12
Lade dir hier bitte mal das pv.zip herunter. Anschließend entpacke es in einen eigenen Ordner. Anschließend starte runme9x.bat und dann die Auswahl 1 (ExplorerDLLs). Die erstellte Log-Datei poste bitte hier. Vielleicht sehen wir dann mehr...

randypit 01.06.2004 20:38
Hallo Lutz,
Mensch machst du dir viel Mühe!!! Weis nicht wie ich dir danken soll??

Hier der log von runme9x.bat


Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
PLUGIN.OCX c10000 98304 C:\WINDOWS\SYSTEM\PLUGIN.OCX 6.00.2800.1106 ActiveX Plugin OCX
MSRATING.DLL 70400000 143360 C:\WINDOWS\SYSTEM\MSRATING.DLL 6.00.2800.1106 Bibliothekdatei für Internetfilter und Verwaltung lokaler Benutzer
MSHTMLED.DLL 70f30000 450560 C:\WINDOWS\SYSTEM\MSHTMLED.DLL 6.00.2800.1106 Microsoft (R) HTML Editing Component
DOCPROP2.DLL 7cb10000 331776 C:\WINDOWS\SYSTEM\DOCPROP2.DLL 5.00.2136.1 DocProp2
AVIFIL32.DLL 7e410000 98304 C:\WINDOWS\SYSTEM\AVIFIL32.DLL 4.90.3000 Microsoft Bibliothek zur Unterstützung von AVI-Dateien
MSVFW32.DLL 77b70000 147456 C:\WINDOWS\SYSTEM\MSVFW32.DLL 4.90.3000 Microsoft Video für Windows-DLL
WOW32.DLL bfdc0000 20480 C:\WINDOWS\SYSTEM\WOW32.DLL 4.90.3000 Win32 WOW32 core component
DCIMAN32.DLL 7d130000 24576 C:\WINDOWS\SYSTEM\DCIMAN32.DLL 4.90.3000 DCI Manager 1.00
IMM32.DLL bfe00000 16384 C:\WINDOWS\SYSTEM\IMM32.DLL 4.90.3000 Win32 IMM32 core component
MSLS31.DLL 48080000 159744 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.349.0 Microsoft Line Services library file
MSHTML.DLL 63580000 2818048 C:\WINDOWS\SYSTEM\MSHTML.DLL 6.00.2800.1400 Microsoft (R) HTML Viewer
SDHELPER.DLL 3060000 765952 C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SDHELPER.DLL 1, 3, 0, 12 Bad download blocker
ACROIEHELPER.OCX bf0000 32768 C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX 1, 0, 0, 1 AcroIEHelper Module
RNAUI.DLL 7f7c0000 163840 C:\WINDOWS\SYSTEM\RNAUI.DLL 4.90.3000 Benutzeroberfläche für das DFÜ-Netzwerk
ADVPACK.DLL 23d0000 159744 C:\WINDOWS\SYSTEM\ADVPACK.DLL 6.00.2800.1106 ADVPACK
MSWSOSP.DLL 779f0000 40960 C:\WINDOWS\SYSTEM\MSWSOSP.DLL 4.90.3000 Microsoft Windows Sockets 2.0 Dienstanbieter
RSVPSP.DLL 761e0000 40960 C:\WINDOWS\SYSTEM\RSVPSP.DLL 4.90.2464.1 Microsoft Windows Rsvp 1.0-Dienstanbieter
RAPILIB.DLL 764b0000 28672 C:\WINDOWS\SYSTEM\RAPILIB.DLL 4.90.2464.1 RSVP-Bibliothek 1.0 DLL
WIASHEXT.DLL 73e90000 458752 C:\WINDOWS\SYSTEM\WIASHEXT.DLL 4.90.3000.1 Shellordner-Benutzeroberfläche für Imaging-Geräte
STI.DLL 75560000 118784 C:\WINDOWS\SYSTEM\STI.DLL 4.90.3000.1 Client-DLL für Still Image-Geräte
IPROP.DLL 7b320000 114688 C:\WINDOWS\SYSTEM\IPROP.DLL 4.00 OLE PropertySet Implementation
WIASTATD.DLL 73e80000 24576 C:\WINDOWS\SYSTEM\WIASTATD.DLL 4.90.3000.1 WIA-Statusdialog
MSRATELC.DLL 30000000 73728 C:\WINDOWS\SYSTEM\MSRATELC.DLL 6.00.2800.1106 Bibliothekdatei für Internetfilter und Verwaltung lokaler Benutzer
MSACM32.DLL 79e90000 102400 C:\WINDOWS\SYSTEM\MSACM32.DLL 4.90.3000 Microsoft Audiokomprimierungs-Manager
CRTDLL.DLL 7fb20000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library
OLEPRO32.DLL 76f70000 167936 C:\WINDOWS\SYSTEM\OLEPRO32.DLL 5.0.4515
JSCRIPT.DLL 6b700000 589824 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.6.0.8513 Microsoft (r) JScript
RNR20.DLL 76330000 57344 C:\WINDOWS\SYSTEM\RNR20.DLL 4.90.3000 Windows Socket2 NameSpace DLL
MLANG.DLL 70440000 585728 C:\WINDOWS\SYSTEM\MLANG.DLL 6.00.2800.1106 Multi Language Support DLL
SHDOCLC.DLL 3730000 565248 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 6.00.2800.1106 Bibliothek für Shell-Dokumente und -Steuerelemente
RSAENH.DLL 7ca00000 110592 C:\WINDOWS\SYSTEM\RSAENH.DLL 5.00.2133.2 Microsoft Enhanced Cryptographic Provider (US/Canada Only, Not for Export)
GOOGLETOOLBAR2.DLL 2c90000 753664 C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL 2, 0, 111, 0 Google IE Client Toolbar
WINMM.DLL bfdd0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.90.3000 System APIs for Multimedia
BROWSELC.DLL 718e0000 77824 C:\WINDOWS\SYSTEM\BROWSELC.DLL 6.00.2800.1106 Shell Browser UI-Bbibliothek
LINKINFO.DLL 7faa0000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.90.3000 Windows Volume Tracking
OFMDLL.DLL cb0000 143360 C:\PROGRAMME\OFFICE MOUSE\1.1\OFMDLL.DLL 1, 0, 0, 1 OFMDLL DLL
MOUDL32A.DLL 2490000 77824 C:\PROGRAMME\OFFICE MOUSE\1.1\MOUDL32A.DLL 3, 0, 3, 0 WIN32 Mouse Dynamic Link Library
UPNP.DLL 1f50000 147456 C:\WINDOWS\SYSTEM\UPNP.DLL 4.90.3003.0 Universal Plug and Play API
URLMON.DLL 1a400000 499712 C:\WINDOWS\SYSTEM\URLMON.DLL 6.00.2800.1400 OLE32-Erweiterung für Win32
IPHLPAPI.DLL 7b340000 49152 C:\WINDOWS\SYSTEM\IPHLPAPI.DLL 4.90.3000.2 IP-Hilfsprogramm API
MSAFD.DLL 79c60000 40960 C:\WINDOWS\SYSTEM\MSAFD.DLL 4.90.3000 Microsoft Windows Sockets 2.0 Dienstanbieter
DHCPCSVC.DLL 7ce80000 28672 C:\WINDOWS\SYSTEM\DHCPCSVC.DLL
ICMP.DLL 7b900000 24576 C:\WINDOWS\SYSTEM\ICMP.DLL 5.00.1454.1 ICMP DLL
WININET.DLL 63000000 618496 C:\WINDOWS\SYSTEM\WININET.DLL 6.00.2800.1400 Interneterweiterungen für Win32
SSDPAPI.DLL 1f80000 49152 C:\WINDOWS\SYSTEM\SSDPAPI.DLL 4.90.3003.0 SSDP Client API DLL
SETUPAPI.DLL 75d90000 593920 C:\WINDOWS\SYSTEM\SETUPAPI.DLL 5.00.2195.1526 Windows Setup API
WINTRUST.DLL 73d70000 176128 C:\WINDOWS\SYSTEM\WINTRUST.DLL 5.131.2133.2 Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.DLL 7b690000 143360 C:\WINDOWS\SYSTEM\IMAGEHLP.DLL 5.00.2178.1 Windows NT Image Helper
CRYPT32.DLL 5cf00000 479232 C:\WINDOWS\SYSTEM\CRYPT32.DLL 5.131.2133.6 Krypto-API32
MSASN1.DLL 79c30000 65536 C:\WINDOWS\SYSTEM\MSASN1.DLL 4.4.3420 Microsoft ASN.1 Encoder/Decoder
CFGMGR32.DLL 7f700000 40960 C:\WINDOWS\SYSTEM\CFGMGR32.DLL 4.90.3000 Configuration Manager Win32 Interface
NTDLL.DLL bfe70000 20480 C:\WINDOWS\SYSTEM\NTDLL.DLL 4.90.3000 Win32 NTDLL core component
CABINET.DLL 7e070000 77824 C:\WINDOWS\SYSTEM\CABINET.DLL 5.00.2147.1 Microsoft® Cabinet File API
WINSPOOL.DRV 7fe40000 36864 C:\WINDOWS\SYSTEM\WINSPOOL.DRV 4.90.3000 Win32 WINSPOOL core component
VERSION.DLL bfe50000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.90.3000 Win32 VERSION core component
LZ32.DLL bfe40000 24576 C:\WINDOWS\SYSTEM\LZ32.DLL 4.90.3000 Win32 LZ32 core component
SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
COMDLG32.DLL 7fe00000 212992 C:\WINDOWS\SYSTEM\COMDLG32.DLL 5.50.4134.100 Common Dialog-DLL
AUHOOK.DLL 7f160000 36864 C:\WINDOWS\SYSTEM\AUHOOK.DLL 5.4.1083.9 Microsoft AutoUpdate
UPNPUI.DLL 74de0000 69632 C:\WINDOWS\SYSTEM\UPNPUI.DLL 4.90.3000.1 UPNP-Schacht-Monitor und Ordner
OLEAUT32.DLL 7fe80000 610304 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4515
WEBCHECK.DLL 70340000 274432 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 6.00.2800.1106 Websiteüberwachung
RASAPI32.DLL 7f780000 258048 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.90.3000 DFÜ-Netzwerk-DLL
WSOCK32.DLL 73250000 36864 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.90.3000 BSD Socket API für Windows
MSWSOCK.DLL 77a00000 81920 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.90.3000 Microsoft WinSock Extension APIs
WS2_32.DLL 73290000 69632 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.90.3000 Windows Socket 2.0 32-Bit DLL
WS2HELP.DLL 73280000 20480 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.90.3000 Windows Socket 2.0 Helper for Windows 98
SECUR32.DLL 7f760000 69632 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.90.3000 Microsoft Win32 Security Services (Export Version)
MSPWL32.DLL 7fa70000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.90.3000 Password list management library
TAPI32.DLL 7f870000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.90.3000 Microsoft® Windows(R) Telephony API Client DLL
NETAPI32.DLL 7f8a0000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.90.3000 32-bit network API DLL
NETBIOS.DLL 7f730000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL
ACTXPRXY.DLL 703d0000 110592 C:\WINDOWS\SYSTEM\ACTXPRXY.DLL 6.00.2800.1106 ActiveX Interface Marshaling Library
MSI.DLL d70000 2015232 C:\WINDOWS\SYSTEM\MSI.DLL 2.0.2600.2 Windows Installer
RPCRT4.DLL 7fab0000 344064 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.3335 Remote Procedure Call DLL
MSSHRUI.DLL 7f830000 98304 C:\WINDOWS\SYSTEM\MSSHRUI.DLL 4.90.3000 Shell-Erweiterung für Freigabedienste
SVRAPI.DLL 7f860000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.90.3000 32-bit common Server API library
MSNET32.DLL 7fa30000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.90.3000 Microsoft 32-Bit Netzwerk-API-Bibliothek
MYDOCS.DLL 77810000 81920 C:\WINDOWS\SYSTEM\MYDOCS.DLL 5.50.4134.100 Benutzeroberfläche des Verzeichnisses "Eigene Dateien"
MPR.DLL 7f120000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.90.3000 WIN32-DLL für die Netzwerkschnittstelle
BROWSEUI.DLL 71500000 1036288 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 6.00.2800.1400 Shell Browser UI-Bibliothek
SHDOCVW.DLL 71700000 1347584 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente
OLE32.DLL 7ff20000 794624 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.3328 Microsoft OLE for Windows and Windows NT
SHELL32.DLL 7fbd0000 2285568 C:\WINDOWS\SYSTEM\SHELL32.DLL 5.50.4134.100 Windows Shell Common Dll
EXPLORER.EXE 400000 225280 C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Windows Explorer
COMCTL32.DLL bfb70000 557056 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 70a70000 413696 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 6.00.2800.1400 Shell Light-weight Utility Library
MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library
USER32.DLL bff40000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.90.3000 Win32 USER32 core component
GDI32.DLL bff10000 172032 C:\WINDOWS\SYSTEM\GDI32.DLL 4.90.3000 Win32 GDI core component
ADVAPI32.DLL bfe60000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.90.3000 Win32 ADVAPI32 core component
KERNEL32.DLL bff60000 552960 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.3000 Kernkomponente des Win32-Kernel
Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
MSI.DLL 2d50000 2015232 C:\WINDOWS\SYSTEM\MSI.DLL 2.0.2600.2 Windows Installer
DOCPROP2.DLL 7cb10000 331776 C:\WINDOWS\SYSTEM\DOCPROP2.DLL 5.00.2136.1 DocProp2
AVIFIL32.DLL 7e410000 98304 C:\WINDOWS\SYSTEM\AVIFIL32.DLL 4.90.3000 Microsoft Bibliothek zur Unterstützung von AVI-Dateien
MSACM32.DLL 79e90000 102400 C:\WINDOWS\SYSTEM\MSACM32.DLL 4.90.3000 Microsoft Audiokomprimierungs-Manager
CRTDLL.DLL 7fb20000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library
MSVFW32.DLL 77b70000 147456 C:\WINDOWS\SYSTEM\MSVFW32.DLL 4.90.3000 Microsoft Video für Windows-DLL
WOW32.DLL bfdc0000 20480 C:\WINDOWS\SYSTEM\WOW32.DLL 4.90.3000 Win32 WOW32 core component
DCIMAN32.DLL 7d130000 24576 C:\WINDOWS\SYSTEM\DCIMAN32.DLL 4.90.3000 DCI Manager 1.00
MSSHRUI.DLL 7f830000 98304 C:\WINDOWS\SYSTEM\MSSHRUI.DLL 4.90.3000 Shell-Erweiterung für Freigabedienste
MOUDL32A.DLL 2bb0000 77824 C:\PROGRAMME\OFFICE MOUSE\1.1\MOUDL32A.DLL 3, 0, 3, 0 WIN32 Mouse Dynamic Link Library
OFMDLL.DLL 2a70000 143360 C:\PROGRAMME\OFFICE MOUSE\1.1\OFMDLL.DLL 1, 0, 0, 1 OFMDLL DLL
SDHELPER.DLL 3060000 765952 C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SDHELPER.DLL 1, 3, 0, 12 Bad download blocker
OLEPRO32.DLL 76f70000 167936 C:\WINDOWS\SYSTEM\OLEPRO32.DLL 5.0.4515
GOOGLETOOLBAR2.DLL 2c90000 753664 C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL 2, 0, 111, 0 Google IE Client Toolbar
WINMM.DLL bfdd0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.90.3000 System APIs for Multimedia
WSOCK32.DLL 73250000 36864 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.90.3000 BSD Socket API für Windows
MSWSOCK.DLL 77a00000 81920 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.90.3000 Microsoft WinSock Extension APIs
WS2_32.DLL 73290000 69632 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.90.3000 Windows Socket 2.0 32-Bit DLL
RASAPI32.DLL 7f780000 258048 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.90.3000 DFÜ-Netzwerk-DLL
SECUR32.DLL 7f760000 69632 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.90.3000 Microsoft Win32 Security Services (Export Version)
SVRAPI.DLL 7f860000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.90.3000 32-bit common Server API library
MSNET32.DLL 7fa30000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.90.3000 Microsoft 32-Bit Netzwerk-API-Bibliothek
MSPWL32.DLL 7fa70000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.90.3000 Password list management library
TAPI32.DLL 7f870000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.90.3000 Microsoft® Windows(R) Telephony API Client DLL
NETAPI32.DLL 7f8a0000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.90.3000 32-bit network API DLL
NETBIOS.DLL 7f730000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL
WS2HELP.DLL 73280000 20480 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.90.3000 Windows Socket 2.0 Helper for Windows 98
URLMON.DLL 1a400000 499712 C:\WINDOWS\SYSTEM\URLMON.DLL 6.00.2800.1400 OLE32-Erweiterung für Win32
SETUPAPI.DLL 75d90000 593920 C:\WINDOWS\SYSTEM\SETUPAPI.DLL 5.00.2195.1526 Windows Setup API
WINTRUST.DLL 73d70000 176128 C:\WINDOWS\SYSTEM\WINTRUST.DLL 5.131.2133.2 Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.DLL 7b690000 143360 C:\WINDOWS\SYSTEM\IMAGEHLP.DLL 5.00.2178.1 Windows NT Image Helper
CFGMGR32.DLL 7f700000 40960 C:\WINDOWS\SYSTEM\CFGMGR32.DLL 4.90.3000 Configuration Manager Win32 Interface
NTDLL.DLL bfe70000 20480 C:\WINDOWS\SYSTEM\NTDLL.DLL 4.90.3000 Win32 NTDLL core component
CABINET.DLL 7e070000 77824 C:\WINDOWS\SYSTEM\CABINET.DLL 5.00.2147.1 Microsoft® Cabinet File API
WINSPOOL.DRV 7fe40000 36864 C:\WINDOWS\SYSTEM\WINSPOOL.DRV 4.90.3000 Win32 WINSPOOL core component
VERSION.DLL bfe50000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.90.3000 Win32 VERSION core component
MPR.DLL 7f120000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.90.3000 WIN32-DLL für die Netzwerkschnittstelle
LZ32.DLL bfe40000 24576 C:\WINDOWS\SYSTEM\LZ32.DLL 4.90.3000 Win32 LZ32 core component
COMDLG32.DLL 7fe00000 212992 C:\WINDOWS\SYSTEM\COMDLG32.DLL 5.50.4134.100 Common Dialog-DLL
ACROIEHELPER.OCX 10000000 32768 C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX 1, 0, 0, 1 AcroIEHelper Module
WININET.DLL 63000000 618496 C:\WINDOWS\SYSTEM\WININET.DLL 6.00.2800.1400 Interneterweiterungen für Win32
CRYPT32.DLL 5cf00000 479232 C:\WINDOWS\SYSTEM\CRYPT32.DLL 5.131.2133.6 Krypto-API32
MSASN1.DLL 79c30000 65536 C:\WINDOWS\SYSTEM\MSASN1.DLL 4.4.3420 Microsoft ASN.1 Encoder/Decoder
BROWSELC.DLL 718e0000 77824 C:\WINDOWS\SYSTEM\BROWSELC.DLL 6.00.2800.1106 Shell Browser UI-Bbibliothek
OLEAUT32.DLL 7fe80000 610304 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4515
RPCRT4.DLL 7fab0000 344064 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.3335 Remote Procedure Call DLL
SHDOCVW.DLL 71700000 1347584 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente
SHELL32.DLL 7fbd0000 2285568 C:\WINDOWS\SYSTEM\SHELL32.DLL 5.50.4134.100 Windows Shell Common Dll
BROWSEUI.DLL 71500000 1036288 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 6.00.2800.1400 Shell Browser UI-Bibliothek
OLE32.DLL 7ff20000 794624 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.3328 Microsoft OLE for Windows and Windows NT
EXPLORER.EXE 400000 225280 C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Windows Explorer
COMCTL32.DLL bfb70000 557056 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 70a70000 413696 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 6.00.2800.1400 Shell Light-weight Utility Library
MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library
USER32.DLL bff40000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.90.3000 Win32 USER32 core component
GDI32.DLL bff10000 172032 C:\WINDOWS\SYSTEM\GDI32.DLL 4.90.3000 Win32 GDI core component
ADVAPI32.DLL bfe60000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.90.3000 Win32 ADVAPI32 core component
KERNEL32.DLL bff60000 552960 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.3000 Kernkomponente des Win32-Kernel

Viele Grüße

randypit

Lutz@Work 02.06.2004 09:15
Ich glaube, ich habe ihn...

</font><blockquote>Zitat:</font><hr /> SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
</font>[/QUOTE]Starte Deinen Rechner im abgesicherten Modus und lösche diese Datei: C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
Anschließend mit HijackThis die bekannten Einträge fixen.

Starte das System im normalen Modus neu...

Es kann sich noch eine system.exe auf Deinem Rechner befinden. Such diese auch einmal, aber bitte noch nicht löschen, sondern zunächst online bei Kaspersky überprüfen. Und teil uns das Prüfergebnis mit.

Der nächste Schritt:
Suche auf Deinem Rechner die Datei HOSTS ohne '.Endung'. Evtl gibt es diese mehrfach. Poste bitte den Inhalt/die Inhalte.

Zum Schluß müssen wir noch die Registry bereinigen. Ich denke aber, dass können wir 'später' machen.

Arbeite diese Schritte bitte einmal ab...

Gruß,
Lutz

randypit 02.06.2004 11:15
Hallo Lutz,
hab dir eine pm auf "Lutz" geschickt!
Ich glaube ich hab das Ding mit eurer (deiner) Hilfe geschafft!!
Die Datei system32.dll ist nirgends zu finden..vielleicht hat sie escan gestern abend schon ins nirwana geschickt auch eine system.exe gibt es nicht!
Die Hosts Datei lässt sich nicht öffnen..muss ich da eine Verknüpfung mit notepad herstellen damit ich mir anschauen kann wasd drinne ist?

aber wie gesagt...im Moment schein wieder alles normal zu laufen..

Was ich heut morgen noch bemerkt habe:
Beim IE stand gestern noch unter &gt;EXTRAS&lt; über den Internetoptionen irgendwas mit Standardeinstellungen wiederherstellen....das ist jetzt weg... könnte auch sein das ich das weggefixt hab als ich in den Toolbars noch einiges raus hab....
Also bis auf´s erste mal herzlichen Dank und weiterhin frohes schaffen...ich muss erst heute nacht ran

Grüße randypit


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19