Troj_dloader.apc
 

Hallo,

ich habe mir wohl irgendwie den TROJ_LOADER.APC eingefangen :(. Leider finde ich nirgendwo Informationen zu dem Ding. Selbst bei Trend Micro findet er keine Infos obwohl der Trend Micro Virenscanner das Ding entdeckt hat.

Der Scanner meldet mir, das die Datei piykwo.exe im System32 Ordner der Virus sei, allerdings ist diese Datei nur im abgesicherten Modus sichtbar. Ich hab diese dort dann auch gelöscht aber das hat scheinbar nix gebracht. Daher bin ich für jede Hilfe dankbar!

Ich hab übrigens Win 2000.

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Ups, hab ich vergessen, hier ist es ;):

Logfile of HijackThis v1.99.1
Scan saved at 11:48:42, on 10.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\Programme\IBM\WebSphere MQ\bin\amqsvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\Programme\IBM\WebSphere MQ\bin\amqmsrvn.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TEMP\YY7952.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\IBM\WebSphere MQ\bin\amqmtbrn.exe
C:\Programme\Microsoft Visual Studio\VB98\Eigene\links\lm.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\piykwo.exe reg_run
O4 - HKLM\..\Run: [System service79] C:\WINNT\etb\pokapoka79.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Geb-DB.lnk = C:\Programme\Microsoft Visual Studio\VB98\Eigene\db_Test\db.exe
O4 - Startup: lm.exe.lnk = C:\Programme\Microsoft Visual Studio\VB98\Eigene\links\lm.exe
O4 - Startup: WinAmp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OUTLOOK.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Global Startup: WebSphere MQ-Taskleiste.lnk = C:\Programme\IBM\WebSphere MQ\bin\amqmtbrn.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = geimh.mh1.dsh.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{3820E156-0FF1-4423-A193-94E94FBCFDCD}: NameServer = 10.32.73.128,10.32.73.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = geimh.mh1.dsh.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{3820E156-0FF1-4423-A193-94E94FBCFDCD}: NameServer = 10.32.73.128,10.32.73.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = geimh.mh1.dsh.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{3820E156-0FF1-4423-A193-94E94FBCFDCD}: NameServer = 10.32.73.128,10.32.73.129
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: IBM MQSeries (MQSeriesServices) - IBM Corporation - C:\Programme\IBM\WebSphere MQ\bin\amqsvc.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

Die beiden Süßen gehören da definitiv nicht hin:
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\piykwo.exe reg_run
O4 - HKLM\..\Run: [System service79] C:\WINNT\etb\pokapoka79.exe

Servus!
Da hast Du Recht: Der markierte Eintrag gehört zu einem aus der Sippe http://www3.ca.com/securityadvisor/v....aspx?id=43264 und
Damit rate ich Dir ASAP http://www.trojaner-board.de/showthread.php?t=12154 Alles Andere gewährleistet nicht die Wiederherstellung eines sicheren Systems. Da hast Du auch verlinkt warum es keine andere sinnvolle Alternative gibt!
stupormundi

Danke erstmal für die schnelle Hilfe!

Mit dem Neuaufsetzen des Systems ist das leider so ne Sache, da es meine Arbeitsrechner ist :(. Naja, werd ich wohl doch nicht drum rum kommen, mich mit der Systemunterstützung in Verbindung zu setzen...

Nun weiß ich zumindest, das ich NIE wieder den IE benutzen werden, ist ja unglaublich wie sicher der ist ;).

Naja, wie gesagt, danke für die schnelle Hilfe!!!