Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   firefox öffnet automatisch neue seiten (https://www.trojaner-board.de/29419-firefox-oeffnet-automatisch-neue-seiten.html)

bilbo23 22.05.2006 23:10
firefox öffnet automatisch neue seiten
 
hi leute,
hab seit heute ein problem.:headbang: firefox öffnet automatisch neue fenster/tabs, mit verschiedenen adressen (z.b.: ***.wild-savings.com/tau.html).
hier mein log:

Logfile of HijackThis v1.99.1
Scan saved at 23:53:52, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\king.GOTT\Lokale Einstellungen\Temp\wzc5e4\HijackThis.exe
C:\Programme\Windows Media Player\wmplayer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lcrmonui.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

bitte helft mir, vielen dank schonmal.
cu

Sunny 22.05.2006 23:13
Hallo bilbo,

lass mal diese Datei bei VIRUSTOTAL überprüfen:

C:\WINDOWS\system32\lcrmonui.dll

und poste danach das Ergebnis..

Gruß
Daniel

[EDIT] Das ist auch ein ganz böser Trojaner::heilig: C:\Programme\eMule.de\emule.exe [/EDIT]

bilbo23 22.05.2006 23:23
sorry, da steht ich hab kein ie (logisch, is ja firefox), aber der wird gebraucht.
haste noch ne idee??

felix1 22.05.2006 23:30
Kannste die Antwort auch mal in einem ordentlichem Deutsch formulieren?

dartus 22.05.2006 23:32
Hallo,

benutze diesen LINK

dartus

EDIT: virustotal.de ist nicht virustotal.com

Wildone 22.05.2006 23:33
Hallo,
Erstens ist das anständiges deutsch (naja, zumindest verständlich) und zweitens ist der falsche Link gepostest worden, richtig wäre www.virustotal.com

Edit
Hallo dartus :party:


Grüße Wildone

bilbo23 22.05.2006 23:33
@felix
auf der oben genannten seite wird internet explorer verlangt, diesen nutze ich allerdings nicht und habe ihn deinstalliert. ich verwende firefox.

bilbo23 22.05.2006 23:36
Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.22.2006 no virus found
AVG 386 05.22.2006 no virus found
BitDefender 7.2 05.22.2006 no virus found
CAT-QuickHeal 8.00 05.21.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 no virus found
eTrust-InoculateIT 23.72.14 05.21.2006 no virus found
eTrust-Vet 12.4.2221 05.22.2006 no virus found
Ewido 3.5 05.22.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.22.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 no virus found
McAfee 4767 05.22.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 no virus found
Norman 5.90.17 05.22.2006 no virus found
Panda 9.0.0.4 05.22.2006 no virus found
Sophos 4.05.0 05.22.2006 no virus found
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.22.2006 no virus found
VBA32 3.11.0 05.22.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

sagt das programm.is das jetzt positiv?

felix1 22.05.2006 23:38
Auch wenn Du den IE nicht magst, zum Update ist er erforderlich.

bilbo23 22.05.2006 23:40
eben wurde dieser link geöffnet:

http://amaena.com/securityworm5/de/?aid=mg6-qld_de_de&lid=102spr&h=&b=0

und ich hab kein plan wie ich vorgehen soll...

felix1 22.05.2006 23:42
Folge von dem Link von Dartus.

Wildone 22.05.2006 23:43
Hallo,
bist du sicher das du die richtige Datei (C:\WINDOWS\system32\lcrmonui.dll) untersucht hast?
Sie ist definitiv Malware, nur scheinen sie die Virenscanner noch nicht zu kennen.

Besorge dir mal L2mfix (das mit dem blauen Hintergrund) führe es nur mit der Option "1" aus, und poste dann das Logfile.


Grüße Wildone

cosinus 22.05.2006 23:48
Du hast eine leere Datei gescannt. ;)
Entweder hat die Datei eine größe von Null Bytes oder das Teil versucht sich vor dem Scanner zu drücken. (Ich glaube eher letzteres.) Besorg Dir mal den Unlocker und installier ihn. Ist das getan, wechselst Du zum Verzeichnis

c:\windows\system32

mit dem Arbeitsplatz/Explorer und klickst die Datei lcrmonui.dll mit rechts an - dann auf Unlocker klicken. Wenn eine Meldung die aussieht wie "wurde kein Freigabehandle gefunden", sollte die Datei nicht in Verwendung sein. Wenn aber eine Liste mit Prozessen auftaucht, dann versuch diese zu töten und die Datei zu verschieben, z.B. auf den Desktop. Vor dort aus versuchst Du erneut die Datei zu checken (bei Virustotal).
Beachte, dass alle Dateien angezeigt werden müssen, also sowohl die geschützten Systemdateien als auch versteckte Dateien. Anleitung in meiner Signatur.

btw @all: Gibt es noch eigentlich einen einfacheren Weg, Dateien zu un-locken?

Wildone 22.05.2006 23:54
Hallo,
@cosinus
Danke, habe total übersehen, dass die gescannte Datei nur 0byte groß ist, bzw. wahrscheinlich aktiv ist.
Ob es einfachere Methode gibt weiß ich nicht, bin mir nicht mal sicher ob die Datei mit unlocker freizuschalten ist, immerhin ist sie in der Winlogon, und wahrscheinlich müßten die explorer.exe und die winlogon.exe beendet werden, und das könnte dann doch zu Kompikationen führen.


Grüße Wildone

cosinus 22.05.2006 23:56
Hm, dann wäre wohl killbox besser, damit kann man ja Dateien auf beim nächsten Booten verschieben und dann online checken lassen.

Wildone 22.05.2006 23:59
Hallo,
falls es sich um look2me handelt(reine Mutmaßung meinerseits), wäre auch killbox erfolglos, da helfen nur die Spezialtools (l2mfix, Look2me Destroyer und Look2me Remover).


Grüße Wildone

felix1 23.05.2006 00:13
@all
Ist Euch schon mal der Gedanke gekommen, dass hier Trollgefahr besteht?

Wildone 23.05.2006 00:16
Nein,
glaube ich auch nicht. Und die Antworten waren bisher alle schlüssig.


Grüße Wildone

cosinus 23.05.2006 00:23
Zitat:
Zitat von felix1
@all
Ist Euch schon mal der Gedanke gekommen, dass hier Trollgefahr besteht?
Besteht doch eigentlich in jedem Forum oder? ;)

felix1 23.05.2006 00:33
Ja, aber man sollte es rechtzeitig mitbekommen.

bilbo23 23.05.2006 08:27
:aplaus:
danke für die vielen tipps, ich habs mit look2me-destroyer entfernen können.
ist echt ein tolles forum hier!

folgende dateien waren das problem:
C:\WINDOWS\system32\lcrmonui.dll
C:\WINDOWS\system32\llrmonui.dll

Wildone 23.05.2006 08:35
Hallo,
poste zur Kontrolle nochmal ein Hijackthis Log.
Außerdem solltest du auch nochmal Ewido drüberlaufen lassen, es kommt häufig vor, dass Reste übrigbleiben, die Ewido dann entfernt.
Ansonsten, Finger weg von Cracks und Crackseiten!


Grüße Wildone

bilbo23 23.05.2006 13:57
ich habe im moment noch einen scanner laufen, wenn der fertig ist poste ich den log nochmal. kannst du mir sagen, ob "spyfalcon" vertrauenswürdig ist??

Wildone 23.05.2006 14:12
Hallo,
Zitat:
kannst du mir sagen, ob "spyfalcon" vertrauenswürdig ist??
Ja, kann ich. Und nein Spyfalcon ist selbst Malware, die nicht ganz einfach zu beseitigen ist. Bekommst du Nachrichten in der Taskleiste, oder wie kommst du drauf?


Grüße Wildone

bilbo23 23.05.2006 14:31
ganz genau, da steht ich sollte mal den ihre page besuchen und mir des programm ziehen. weisst du, wie ich den müll entferne?
ich scanne grad noch mit ewido...

bilbo23 23.05.2006 14:34
hijack meint:

Logfile of HijackThis v1.99.1
Scan saved at 15:34:25, on 23.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\securitysuite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\king.GOTT\Lokale Einstellungen\Temp\wzb212\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp549A.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winhld32 - winhld32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Wildone 23.05.2006 14:38
Hallo,
na super, von einem Problem direkt zum nächsten, denke mal ein wenig über deine Surfgewohnheiten nach, so kann das nicht weiter gehen.

Lösche deine Temp dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren.

Außerdem besorgst du dir folgendes Programm und läßt es mit der Option "2", wie in der Anleitung beschrieben laufen. Danach postest du den Inhalt der Datei C:\rapport.txt


Grüße Wildone

bilbo23 23.05.2006 15:08
datfind.bat:
Verzeichnis von C:\WINDOWS\system32

23.05.2006 15:56 4.947 OODBS.lor
23.05.2006 13:46 6.268 ikhcore.log
23.05.2006 11:05 156.672 oins.exe
23.05.2006 11:04 325.133 regperf.exe
23.05.2006 09:10 2 stera.log
22.05.2006 10:10 2.323.072 TUKernel.exe
21.05.2006 21:32 311.604 perfh009.dat
21.05.2006 21:32 39.992 perfc009.dat
21.05.2006 21:32 48.156 perfc007.dat
21.05.2006 21:32 316.594 perfh007.dat
21.05.2006 21:11 299.008 miccyhook.dll
18.05.2006 12:30 24.576 rmoc3260.dll
18.05.2006 05:48 112.584 FNTCACHE.DAT
15.05.2006 09:51 94.208 algchk.exe
07.05.2006 12:30 176.167 rmocx.dll
07.05.2006 12:23 6.656 pndx5016.dll
07.05.2006 12:23 5.632 pndx5032.dll
07.05.2006 12:23 278.528 pncrt.dll
04.05.2006 22:17 28 '
01.05.2006 11:42 1.989 sdbackup.reg
01.05.2006 09:56 895.600 PerfStringBackup.INI
27.04.2006 20:16 2.206 wpa.dbl
27.04.2006 20:13 90 spupdwxp.log
27.04.2006 17:49 288.417 SrchSTS.exe
27.04.2006 17:42 34.064 lhacm.acm
27.04.2006 15:20 3.157 jupdate-1.4.2_03-b02.log
26.04.2006 20:47 16.832 amcompat.tlb
26.04.2006 20:47 23.392 nscompat.tlb
26.04.2006 20:46 2.272 w95inf16.dll
26.04.2006 20:46 4.608 w95inf32.dll
23.04.2006 15:31 0 h323log.txt
23.04.2006 15:31 27.429 NULL
23.04.2006 15:11 22 ati64hlp.stb
23.04.2006 14:47 25.065 wmpscheme.xml
23.04.2006 14:40 249 $winnt$.inf
23.04.2006 14:37 2.951 CONFIG.NT
23.04.2006 14:36 488 WindowsLogon.manifest
23.04.2006 14:36 488 logonui.exe.manifest
23.04.2006 14:36 749 wuaucpl.cpl.manifest
23.04.2006 14:36 749 ncpa.cpl.manifest
23.04.2006 14:36 749 sapi.cpl.manifest
23.04.2006 14:36 749 cdplayer.exe.manifest
23.04.2006 14:36 749 nwc.cpl.manifest
23.04.2006 14:35 21.740 emptyregdb.dat

rapport.txt:

SmitFraudFix v2.46

Scan done at 15:51:58,25, 23.05.2006
Run from C:\Dokumente und Einstellungen\king.GOTT\Desktop\123\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\drsmartload1.exe Deleted
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\KING~1.GOT\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\KING~1.GOT\STARTM~1\PROGRA~1\MalwareWipe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

*** An error occured while opening C:\WINDOWS\system32\fyhhxw.dll ***


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End

bilbo23 23.05.2006 15:11
sorry, rapport.txt war falsch. guck dir mal diese an:

SmitFraudFix v2.46

Scan done at 16:00:27,34, 23.05.2006
Run from C:\Dokumente und Einstellungen\king.GOTT\Desktop\123\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\fyhhxw.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End

Wildone 23.05.2006 15:17
Hallo,
lösche noch folgende Dateien mit killbox (Option "delete on reboot"):

23.05.2006 11:05 156.672 oins.exe
23.05.2006 11:04 325.133 regperf.exe (falls vorhanden)

Untersuche mal folgende Dateien bei virustotal und poste wieder das Ergebnis:

C:\WINDOWS\system32\fyhhxw.dll
C:\WINDOWS\system32\algchk.exe


Grüße Wildone

bilbo23 23.05.2006 15:50
die dateien hab ich "gekillt".
C:\WINDOWS\system32\fyhhxw.dll
hab ich schon mit dem scanner entfernt. war eine schädliche datei

virustotal.com meint:
Complete scanning result of "algchk.exe", received in VirusTotal at 05.23.2006, 16:44:01 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.23.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.22.2006 no virus found
BitDefender 7.2 05.23.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.15 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 Backdoor.Win32.VB.ate
McAfee 4767 05.22.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 probably unknown NewHeur_PE virus
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 Suspicious file
Sophos 4.05.0 05.23.2006 no virus found
Symantec 8.0 05.23.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.23.2006 no virus found
VBA32 3.11.0 05.22.2006 no virus found

Aditional Information
File size: 94208 bytes
MD5: fab820f2588f0a277ea8247c75605612
SHA1: ccd11bfff8517ff985ac592e23242eb9c5abd7b6

sorry, gab ne fette warteschlange...

Wildone 23.05.2006 15:58
Hallo,
wenn sich der Verdacht eines Backdoors (Kaspersky) bestätigt, kannst du die Kiste komplett neu aufsetzen.
Schicke die Datei (algchk.exe) wie hier beschrieben an folgende Adressen:

virus@free-av.de
submit@ewido.net
vsamples@f-secure.com
avsubmit@symantec.com
samples@sophos.com

Die Antworten werden ein/zwei Tage dauern, poste diese dann.
Spyfalcon sollte soweit bereinigt sein, oder hast du noch Symptome?


Grüße Wildone

bilbo23 23.05.2006 16:02
danke, mein system funktioniert wieder sehr gut. spyfalcon is erledigt.
ich schick des mal dorthin. wenn ich antwort hab poste ich wieder.

nochmal ganz extrem vielen dank:aplaus:

Wildone 23.05.2006 16:04
Hallo,
achso, nachdem du sie verschickt hast, kannst du sie löschen.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131