Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Drop.Agent.adp.2 und adp.3 (https://www.trojaner-board.de/30157-tr-drop-agent-adp-2-adp-3-a.html)

Bibi 24.06.2006 12:16
TR/Drop.Agent.adp.2 und adp.3
 
Hallo zusammen,

AntiVir meldet mir o.g. Trojaner. Einer ist in WINNT* system32\remote.exe*.

Ist das ne wichtige Datei oder kann ich die einfach löschen? Und kann mir jemand sagen, wo ich ein removal tool für diese Trojaner finde?

Vielen Dank im voraus :)

Bibi 24.06.2006 12:49
na super, wollte die Datei gerade bei eurem Link Virus Total hochladen zum Check, aber auch über die Suchen-Funktion läßt sich die Datei garnicht finden auf meinem Compi :confused: Versteckte Dateien sichtbar machen hab ich bereits durchgeführt.

Peter80 24.06.2006 23:36
Hallo,
ich schließe mich meiner Vorrednerin der Übersichtlichkeit halber einfach mal an, statt einen neuen Thread aufzumachen, denn ich habe genau das gleiche Problem:
Antivir meldet seit ein paar Tagen regelmäßig, dass in WINNT\system32 der Trojaner Drop.Agent.adp3 auftaucht. Er wird zwar immer erfolgreich gelöscht, und bei nachfolgenden Systemüberprüfungen ist auch alles clean - aber nach so einem Tag ist der Trojaner dann wieder da und muss erneut gelöscht werden.
Escan zeigt ihn überhaupt nicht an (aber angebl. 27 ! Malwares wie ezula toptext, whenu.savenow und whenu.sidewinder, obwohl weder Antivir noch Adaware jemals etwas davon melden!).
Ich poste hier einfach mal den Hijackthislog meines Systems:

Logfile of HijackThis v1.99.1
Scan saved at 00:25:47, on 25.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\system32\DRIVERS\CDANTSRV.EXE
D:\PROGRA~1\eScan\TRAYSSER.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\hidserv.exe
D:\PROGRA~1\eScan\avpm.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\Programme\iISystem Wiper\SystemWiper.exe
D:\PROGRA~1\eScan\MAILSCAN.EXE
D:\PROGRA~1\ESCAN\SPOOLER.EXE
D:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
D:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
D:\PROGRA~1\eScan\kavss.exe
D:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Dokumente und Einstellungen\Peter\Desktop\PeterWWW\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PrinTray] D:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [IntelliType] "D:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [iIWiper] D:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Picture Package Menu.lnk = D:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\mwtsp.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122477678906
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com//tools/activex/fpu.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACB69520-4299-4CAA-935F-95860655C987}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\eScan\avpm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - D:\WINNT\system32\remote.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - D:\WINNT\SCARDS32.EXE


Hat jemand einen Rat, außer die Festplatte formatieren zu müssen? Hilft Kaspersky vielleicht?

Mit vielem Dank im Voraus! :)

Sunny 25.06.2006 09:11
Zitat:
Zitat von Bibi
Ist das ne wichtige Datei oder kann ich die einfach löschen?
Hallo Bibi,
nach 55#Posts solltest du langsam wissen/feststellen, das das reine löschen einer Datei nicht immer zum gewünschten Ergebnis führt. Sondern das sich da oftmals noch mehr dahinter verstecken kann..

Zitat:
Und kann mir jemand sagen, wo ich ein removal tool für diese Trojaner finde?
In diesem Falle gibt es kein Removal-Tool.
Erstelle ein Hiajcklog, Anleitung in meiner Signtur verlinkt, und poste dieses dann.
Wurde denn die Datei "remote.exe" von Antivir gelöscht oder in Quarantäne gestellt? Sieh wenn im Quarantäne Ordner nach.

@Peter80
Zitat:
Zitat von Peter80
ich schließe mich meiner Vorrednerin der Übersichtlichkeit halber einfach mal an, statt einen neuen Thread aufzumachen
Falsch! Eröffne einen neuen Thread um der Übersicht halber. Sonst gibt das hier nur ein großes Durcheinander!

Gruß
Daniel

Bibi 25.06.2006 12:02
ja, die remote.exe ist im AntiVir-Quarantäneverzeichnis. Direkt daraus kann ich sie nicht prüfen lassen. Wenn ich sie wiederherstellen lasse, um sie finden zu können, werden dann die Schädlinge nicht wieder aktiv?

Hier mal mein Hijacklog

Logfile of HijackThis v1.99.1
Scan saved at 13:07:07, on 25.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe
C:\WINNT\System32\locator.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Privat1\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Privat1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O16 - DPF: Yahoo! Freecell Solitaire - hxxp://yogxx.games.scd.yahoo.com/yog/y/fs10_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - hxxp://download.zxlxs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://secxrity.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://secxrity.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://updxte.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146089980906
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: bw+0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {15581356-39DB-4A77-A1F0-F9B723E81160} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NeroNET - Ahead Software AG - C:\Programme\Ahead\NeroNET\NeroNET.exe
O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

crypt 07.08.2006 22:19
"Lösungsvorschlag" (ohne Gewähr) für die, die keine Neuinstallation wollen und das Risiko eingehen. Habe mir das gestern zusammengegoogelt. Ich weiß, dass die Mods immer das Neuaufsetzen des Systems empfehlen. (Ich habe übrigens W2K. )

Eine differenzierte Meinung zu der folgenden Vorgehensweise würde mich trotzdem interessieren:

http://www.geocities.jp/kiskzo/kernel32.ime.html


Zitat:
1. Remove the service "Remote Procedure Call (RPC) Remote" (RpcRemote).
d.h. 2x "RpcRemote" Keys in der Registry (linke Spalte) mit regedit entfernen (Suchfunktion nutzen !! und vorher ggf. Backup von Einträgen machen)

1. unter

HK_LM\System\CurrentControlSet(bzw. ControlSet001)\Services\

und 2. unter

HK_LM\System\ControlSet002\Services\

sowie (und das war meine eigene Schlussfolgerung, konnte keine andere Quelle dafür finden) 2x "Legacy_RpcRemote" Keys analog mit regedt32 (ggf. erst Berechtigung einstellen) ebenfalls in der Registry entfernen

1. unter

HK_LM\System\CurrentControlSet(bzw. ControlSet001)\Enum\Root\

und 2. unter

HK_LM\System\ControlSet002\Enum\Root\


Wie gesagt, ich bin kein Profi, also keine Gewähr, aber bei mir hat es erst einmal funktioniert, damit folgender Service im Hijackthis-Log nicht mehr auftaucht:

O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131