Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe (https://www.trojaner-board.de/27812-hilfe.html)

Snareliner 24.03.2006 17:56
Hilfe
 
Hallo!!!

Mein Zone Alarm zeigt mir an, das ich einen Virus auf dem Rechner habe mit dem Namen:Win32.SillyDI.AHM.

Zone Alarm kann Ihn aber nicht löschen.Was kann ich dagegen machen???

Ich hoffe Ihr könnt mir Helfen.
Danke schonmal

Sunny 24.03.2006 17:58
Hi Snareliner,

bitte poste uns ein HijckThis Log, die Anleitung findest Du in meiner Signatur.

Gruß
Daniel

Snareliner 24.03.2006 18:12
Wie bekomme ich den jetzt das Dokoment hier rein???

BataAlexander 24.03.2006 18:15
Hallo,

das sollte alles in einem Editor Fenster aufgehen.
Einfach mal Strg+A, dann Strg+C drücken und dann hier im Antworten Fenster Strg+V drücken, VOILA.

Gruß

Schrulli

Snareliner 24.03.2006 18:22
Macht es aber nicht, hab es als WordPad datei gespeichert.
Geht das auch???

Sunny 24.03.2006 18:27
dann öffne die WORDPAD:heulen: DATEI, markiere mit der Maus den gesamten Text , zweite Maus-Taste -->kopieren, öffnest hier in deinem Thread nen Beitrag, im Textfeld zweite Maustaste --> einfügen, VOILA !

EDIT: Hallo Schrulli http://www.cosgan.de/images/smilie/froehlich/a010.gif

Snareliner 24.03.2006 18:31
So sieht es aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:09:43, on 24.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Security\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Internet\Azureus\Azureus.exe
C:\Tools\Adobe\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Setup´s\HijackThis.exe

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\System32\geebb.dll
O2 - BHO: DosSpecFolder Object - {3E1BEA96-02D9-4992-B508-9B51819D9D86} - C:\WINDOWS\System32\mllmj.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Update Drive] disk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [Windows Update Drive] disk.exe
O4 - HKCU\..\Run: [Windows Update Drive] disk.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FA2012FB-5C66-429A-901A-13E188D0854B} - C:\Programme\Tools\XP Anti Spy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FA2012FB-5C66-429A-901A-13E188D0854B} - C:\Programme\Tools\XP Anti Spy\sponsoring\sponsor.html (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{54F49ABB-1604-473B-85FE-6507214BEC12}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{54F49ABB-1604-473B-85FE-6507214BEC12}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: geebb - C:\WINDOWS\SYSTEM32\geebb.dll
O20 - Winlogon Notify: mllmj - C:\WINDOWS\System32\mllmj.dll
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

Sunny 24.03.2006 18:32
Logfile of HijackThis v1.99.1
Scan saved at 18:09:43, on 24.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) ???

Mal was von Sicherheitsupdates gehört? Mittlerweile schon 70 an der Zahl!

Naja, ich schau dein LOG trotzdem mal durch..

Sunny 24.03.2006 19:56
Dein Problem liegt genau hier:

O20 - Winlogon Notify: geebb - C:\WINDOWS\SYSTEM32\geebb.dll
O20 - Winlogon Notify: mllmj - C:\WINDOWS\System32\mllmj.dll

auch WINFIXER genannt.

außerdem haste noch
O4 - HKLM\..\Run: [Windows Update Drive] disk.exe
O4 - HKLM\..\RunServices: [Windows Update Drive] disk.exe
O4 - HKCU\..\Run: [Windows Update Drive] disk.exe

W32/Redesi-B

Es gibt die Möglichkeit mit einem Tool zumindest den Winfixer zu entfernen, der Haken dabei ist nur das die Anleitung auf Englisch ist. Somit liegt es in deinem Ermessen ob du es versuchst oder ob du gleich dein System neu aufsetzts. Dann aber bitte sämtliche Updates und Sicherheitspatches vorab installieren! Ich rate zu letzterem..

Ansonsten hier der LINK:

Sunny 24.03.2006 19:56
Dein Problem liegt genau hier:

O20 - Winlogon Notify: geebb - C:\WINDOWS\SYSTEM32\geebb.dll
O20 - Winlogon Notify: mllmj - C:\WINDOWS\System32\mllmj.dll

auch WINFIXER genannt.

außerdem haste noch
O4 - HKLM\..\Run: [Windows Update Drive] disk.exe
O4 - HKLM\..\RunServices: [Windows Update Drive] disk.exe
O4 - HKCU\..\Run: [Windows Update Drive] disk.exe

W32/Redesi-B

Es gibt die Möglichkeit mit einem Tool zumindest den Winfixer zu entfernen, der Haken dabei ist nur das die Anleitung auf Englisch ist. Somit liegt es in deinem Ermessen ob du es versuchst oder ob du gleich dein System neu aufsetzts. Dann aber bitte sämtliche Updates und Sicherheitspatches vorab installieren! Ich rate zu letzterem..

BataAlexander 25.03.2006 00:29
Hallo,

schöner doppelpost Sunny ;)

Ich würde mal

C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe

online bei Hooti und virustotal prüfen lassen, sind in meiner Signatur verlinkt, gernell gilt hier aber natürlich, dass der Patchstand des System einer Bereinigung wiederspricht.
Die von Sunny angesprochene Anleitung findest Du hier.

Und: Erst sauber machen, dann updaten! Und wenn möglich, den Rechner schnellstmöglich vom Netz trennen, sonst kommt da noch mehr.

Gruß

Schrulli

dartus 25.03.2006 00:40
Hallo und kurz einmisch:
Zitat:
O4 - HKLM\..\Run: [Windows Update Drive] disk.exe
O4 - HKLM\..\RunServices: [Windows Update Drive] disk.exe
O4 - HKCU\..\Run: [Windows Update Drive] disk.exe

W32/Redesi-B
Das sieht nicht nach diesem Schädling aus, sondern vielmehr mach einem bisher unbekannten Backdoor.

Bei einem ungepatchten System würde mich das nicht wundern.
Bereinige Dein System, indem Du es nach folgender Anleitung neuinstallierst:

http://www.trojaner-board.de/showthread.php?t=12154

@Schrulli,

das sind astreine Windows-Programme! :daumenhoc

dartus

BataAlexander 25.03.2006 01:03
Hallo,

moin datrus, warst mal wieder fix.
Hätte die disk.exe gern mal bei Jotti und virustotal gescannt gehabt. W32/Redesi-B legt die Dinger ja nicht im Autostart ab.
Das mit Winlogon und crss vermute ich im Zusammenspiel mit dem Patchstand nur.
Woher vermutest Du das mit dem Backdoor?

Gruß

Schrulli

cronos 25.03.2006 01:14
Fangen wir an bei den 3 gleichlautenden Start-Up Einträgen... .
Das ist zu 90% ein Indiz.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19