Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   infizierte wininet.dll Datei wahrscheinlich smitfraud (https://www.trojaner-board.de/19817-infizierte-wininet-dll-datei-wahrscheinlich-smitfraud.html)

EdgecrusherH_K 13.07.2005 19:51
infizierte wininet.dll Datei wahrscheinlich smitfraud
 
Hallo erstmal an alle zusammen.
Ich hätte da ein klein bis größeres Problemchen ich hab mir wohl gestern abend den smitfraud im Netz eingefangen, ich hatte nur plötzlich nen Blauen Bildschirm mit der Security Warnung nachdem ich das übliche mir bekannte durchgeführt hatte (Ewido, Ad-aware, Spybot, Antivir, usw.) wurde auch etwas gefunden und angeblich entfernt. Jedoch blieb der Blaue Bildschirm und die eingeschränkten Desktop eigenschaften nach wie vor da. Nach etwas Googeln bin ich dann auf euch gestoßen, da hier das Problem wohl schon öfters diskutiert wurde hab ich mich erstmal durch's Forum gekämpft und hab wohl jede erdenkliche Behebungsvariante die aufgeführt war probiert. Zwar mit dem Erfolg das ich ducrh 2 Registry Einträge den Desktop wieder nutzen kann (was ich allerdings feststellen mußte, daß dies nicht speichernd ist sondern nach nem Neustart einem der Blaue Bildschirm wieder entgegenspringt) Auch escan (im abgesicherten) und panda brachten nix, ich erhalte nur die Information das die wininet.dll datei infiziert ist, welche ich nicht löschen kann sowohl mit Killbox nicht als auch anderweitig (kann ich die eigentlich so einfach löschen? Normalerweise müßte der Rechner doch dann komplett rumspinnen oder?)
Die Datei ist mit dem "Virus.Win32.Nsag.a" befallen was wohl die Ursache für das ganze sein dürfte.
Mit HijackThis habe ich auch schon probiert was zu richten aber auch hier ohne Erfolg das Log dazu :

Logfile of HijackThis v1.99.1
Scan saved at 20:45:30, on 13.07.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINNT\Twain_32\FlatBed\HotKey.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ACD Systems\ACDSee\ACDSee.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tyler Durden\Eigene Dateien\Downloads\Neu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A4AE6D3-8AD7-4C80-8CDD-17B0379C3BA5}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C561107-0C69-4434-AAA2-DB71C815D64B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A4AE6D3-8AD7-4C80-8CDD-17B0379C3BA5}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINNT\System32\dhcpclient.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


Den Eintrag : O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINNT\System32\dhcpclient.exe (file missing)

habe ich schon mehrmals gelöscht jedoch taucht er immer wieder auf, angeblich soll dort auch etwas infiziert sein.
Zudem bleibt der Rechner bei jedem Neustart etwa 5 minuten mitendrinne hängen, will heißen er fährt normal hoch, der Bildschirm wird blau es passiert gar nix, danach fährt er weiter hoch.

Bitte, bitte, bitte Helft mir ich bin der Verzweiflung nahe.
Ich habe auch schon eine komplette Neuinstalation in betracht gezogen, aber davor graut mir jetzt schon. Nicht schon wieder nen komplettes Wochenende vorm Computer.

Danke schonmal im Vorraus.

cronos 13.07.2005 20:58
Diesen Thread hast du schon durchgearbeitet?
Wenn nein, tue dies zunächst.
Zur wininet.dll:

In folgendem Ordner:

C:\Winnt\ServicePackFiles\i386\

sollte sich auch eine wininet.dll befinden.
Prüfe diese Datei bitte hier, ob sie sauber ist.
Sollte sie sauber sein gehe wie folgt vor :
Wechsle in den abgesicherten Modus,
Nenne diese Datei:

C:\WINNT\system32\wininet.dll um (zb. in wininet-backup.dll)

Kopiere nun diese Datei:

C:\Winnt\ServicePackFiles\i386\wininet.dll

in diesen Ordner:

C:\WINNT\system32

Lösche die umbenannte Datei.

Ist alles abgearbeitet, auch o.g. Thread, scanne dein System mit Escan und teile uns die Ergebnisse mit.

EdgecrusherH_K 14.07.2005 16:08
Erstmal danke für die hilfe.Ja hab ich auch schon nur ohne Erfolg.
So im Ordner C:\Winnt\ServicePackFiles\i386\
ist nur leider bei mir keine Wininet.dll datei.

Und was ich grad noch feststellen mußte der komplette system32 Ordner is weg. Jetzt block ich gar nix mehr.

:headbang: bitte keine neuinstalation :pukeface:

Gigamail 14.07.2005 16:39
Hi,

probier es mal so
Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

hier kannst du dir die Datei auch runter laden ;)

EdgecrusherH_K 14.07.2005 16:47
Ok danke dir schonmal, nur ich brauche die wininet.dll datei nicht die winrnr.dll datei.

Gigamail 14.07.2005 16:54
oh sorry damit ich dich nicht direkt hingeführt habe, aber oben ist eine Buchstabenleiste und unter W findest du auch deine Datei :daumenhoc

EdgecrusherH_K 14.07.2005 16:58
OK 1000 dank ich werd's glich mal probieren.

EdgecrusherH_K 16.07.2005 15:30
So hab's endlich geschafft, naja hat mich dann doch nur 2 Tage vorm PC gekostet ging dann doch nix an ner Neuinstalation vorbei, weil die wininet.dll die ich aus'm Netz hatte den kompletten rechner lahmgelegt hatte so das gar nix mehr ging.
Naja geht doch nix über nen frisches system. :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131