|
Trojaner öffnet ständig Popus und will sich nicht entfernen lassen Hallo! Ich habe hier auf einem Rechner einen Trojaner, der im Minutentakt Popus (meist PartyPoker-Seiten) öffnet und sich sehr hartnäckig entfernen lässt. In der Registry befindet sich folgender Eintrag: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\l2p2lc7o1f.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" Der Registry-Name (Applets) sowie der Dll-Name (l2p2lc7o1f.dll) ändert sich ständig. Löschen und ändern lässt sich der Eintrag nicht. ("DllName kann nicht bearbeitet werden. Fehler beim Lesen des Inhalts des Werts"). Und das sogar im abgesicherten Modus. Ich habe XP Service Pack 2 nachinstalliert, hat nichts geholfen. Weitere Updates dauern noch, is leider ein PC mit Modem ... :( Weiß jemand eine Abhilfe, ausser "format c:" ? Viele Grüße Egon Schmid |
Poste bitte ein HJT-Logfile (siehe FAQ), achte aber darauf, aktive Links und persönliche Angaben zu editieren. |
Logfile of HijackThis v1.99.1 Scan saved at 11:03:24, on 14.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe c:\programme\freenet\WsRasMon.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\update.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\regedit.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\notepad.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\N.N\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://***.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=***.freenet.de:8080 F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\Dokumente und Einstellungen\N.N\Anwendungsdaten\ntos.exe, O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [userinit] C:\Dokumente und Einstellungen\N.N\Anwendungsdaten\ntos.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing O14 - IERESET.INF: START_PAGE_URL=****://***.freenet.de O17 - HKLM\System\CCS\Services\Tcpip\..\{B13836BF-8FF2-4E88-A316-E12493299CBB}: NameServer = 62.104.191.241 62.104.196.134 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\l2p2lc7o1f.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe |
Scanne nacheinander die drei folgenden Dateien bei Virustotal: Zitat:
Bei Datei Nr. 2 musst du möglicherweise nach einem umbenannten Dateinamen suchen. |
Es ist zum Verzweifeln hier. Schon seit 5 Stunden kämpf ich an diesem Rechner und es treten ständig neue Probleme auf. Der Avira-Virenschutz ließ sich nicht mehr starten, dann gings Internet nicht mehr, mußte über die Systemwiederherstellung alles rückgängig machen. Virustotal.com ist grad überlastet, große Warteschleife... Dazu das langsame Modem... Für manche Dinge bräuchte ich den Unlocker, doch der funktioniert nicht (Fehler wegen mangelnder Debug-Rechte). Nur eine Datei konnte ich scannen weil ich für die anderen beiden den Unlocker bräuchte: 1. c:\windows\system32\spywinclean.exe: AhnLab-V3 2007.5.15.0 05.14.2007 no virus found AntiVir 7.4.0.15 05.14.2007 TR/Cimuz.L Authentium 4.93.8 05.12.2007 no virus found Avast 4.7.997.0 05.13.2007 no virus found AVG 7.5.0.467 05.13.2007 Proxy.NUI BitDefender 7.2 05.14.2007 Trojan.Cimuz.L CAT-QuickHeal 9.00 05.14.2007 TrojanProxy.Agent.ly ClamAV devel-20070416 05.14.2007 Trojan.Agent-1444 DrWeb 4.33 05.14.2007 Trojan.Proxy.1755 eSafe 7.0.15.0 05.13.2007 Win32.Agent.ly eTrust-Vet 30.7.3632 05.14.2007 no virus found Ewido 4.0 05.14.2007 Proxy.Small FileAdvisor 1 05.14.2007 no virus found Fortinet 2.85.0.0 05.14.2007 W32/Agent.LY!tr F-Prot 4.3.2.48 05.12.2007 no virus found F-Secure 6.70.13030.0 05.14.2007 Trojan-Proxy.Win32.Agent.ly Ikarus T3.1.1.7 05.14.2007 Trojan-Proxy.Win32.Agent.ly Kaspersky 4.0.2.24 05.14.2007 Trojan-Proxy.Win32.Agent.ly McAfee 5029 05.11.2007 no virus found Microsoft 1.2503 05.14.2007 TrojanProxy:Win32/Agent!60F8 NOD32v2 2264 05.14.2007 no virus found Norman 5.80.02 05.11.2007 W32/Agent.BMPD Panda 9.0.0.4 05.14.2007 Trj/Cimuz.DH Prevx1 V2 05.14.2007 Malicious Sophos 4.17.0 05.11.2007 no virus found Sunbelt 2.2.907.0 05.12.2007 Trojan-Proxy.Win32.Agent.ly Symantec 10 05.14.2007 Trojan Horse TheHacker 6.1.6.115 05.14.2007 no virus found VBA32 3.12.0 05.13.2007 Trojan.Proxy.1755 VirusBuster 4.3.7:9 05.13.2007 Trojan.PR.Agent.TSR Webwasher-Gateway 6.0.1 05.14.2007 Trojan.Cimuz.L Die 58jährige Frau, der der Rechner gehört, fragt sich auch schon, warum ich so lange brauche... Ich tendiere eher dazu, das Windows neu zu installieren, um nicht noch mehr Zeit unnötig zu verpulvern und die Nerven zu schonen... Nur, das ist das nächste Problem: Den Rechner hat sie von einem Bekannten, und die Original-CD mit dem Lizenz-Code fehlt... Ich weiß nur noch eine Lösung - den ERD-Commander booten und damit die verseuchten Dateien und Registry-Einträge löschen, und hoffen, daß es danach läuft... Gruß Egon Schmid ... |
Hallo, Zitat:
Zitat:
Ich glaube das einer deiner Notepad.exen ein ganz üblen Backdoor trägt...... Lade mal beide Notepad.exe bei Virustotal hoch und poste das Ergebnis. Irrlicht |
Also das notepad.exe ist sauber. Wie kommste da drauf, dass es infiziert sein soll? Bei der DLL-Datei handelte es sich übrigens um dem Trojaner Look2Me...2007 most impressive screensavers myscreensavers.info |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board