Downloader Trojan - wie beseitigen ?

von **HerrStrubbel** am 28.12.2003, 17:08

Hallo,
weiß jemand, wie man den Virus "Downloader TRojan" wieder loswerden kann. Norton Antivirus konnte ihn lediglich orten.
Vielen Dank,
HerrStrubbel

von **Computerdirk** am 28.12.2003, 17:24

Hallöchen,

Informationen dazu findest du auf http://web.zdnet.de/itsupport/virencenter/dict/virus/virus51548-wc.html

Wenn es der Virus ist, dann findest du dort ja auch den Autotstart-Eintrag wie beschrieben udn kannst diesen entfernen...

Danach sollte das Entfernen des Viruses kein Problem mehr sein...

von **HerrStrubbel** am 28.12.2003, 19:14

Vielen Dank für den Tipp.
Leider bin ich noch zu unbedarft und weiß nicht, wie vorgehen.
Der Pfad der infizierten Datei ist: C:/Dokumente und Einstellungen/HerrStrubbel/Lokale Einstellungen/Temporary Internet Files/Content. IE5/KXMJCD&V/loader[1].cab.
Kannst du damit was anfangen ?
Danke,
HerrStrubbel

von **Computerdirk** am 28.12.2003, 20:51

Hallöchen,

anscheined befindet sich die verdächtige Datei nur in den temporären Internet Dateien... Versuch doch mal folgendes:

Internet Explorer starten und dann unter Extras - Internetoptionen gleich auf der ersten Registerkarte gibt es Temporäre Internetdateien

Da einfach mal auf Dateien löschen klicken... Dauert dan nein weilchen und dann sollte das weg sein...

von **HerrStrubbel** am 29.12.2003, 00:39

Hallo Computerdirk,
mit Deiner Anleitung hat es geklappt.
Vielen Dank für die Unterstützung !
Freundlichen Gruß
HerrStrubbel

von **Glaumi** am 15.01.2005, 15:16

Hallo Allerseits.

Hab leider das Selbe Problem, nur das sich der Trojaner bei mir im Systeordner eingenistet hat...

Symantec Removal Instructions bringen definitiv NICHTS!! Norton erkennt ihn zwar, kann ihn aber nicht löschen bzw. isolieren. Manuelles Löschen ist auch nicht möglich!!

Keine Hinweise in der Registry!! Kann mir jemand helfen mit dem blöden Ding???

von **Nikita** am 16.01.2005, 01:52

Hallo@ Glaumi

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

von **Glaumi** am 16.01.2005, 12:25

okay...

Logfile of HijackThis v1.99.0
Scan saved at 11:24:35, on 16.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\tko2383.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

von **Nikita** am 16.01.2005, 14:12

Hallo@Glaumi

Lade die Killbox:(entpacke auf dem Desktop)
http://www.bleepingcomputer.com/files/killbox.php

Start<Ausfuehren --> schreib rein: cmd
dann kopiere rein:
del %temp%
bestaetige mit "Y" und "enter"-Taste

---------------------------------------------------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in die Registry

Start<Ausfuehren<regedit

Bearbeiten--> Suchen

gib ein:

naupoint

und loesche alles, was du findest

gib ein:

wuamgrd

und loesche alles, was du findest

zum Beispiel:

#HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU*
loeschen:
=a----------REG_SZ----------D:\HTML\naupoint
=b----------REG_SZ----------D:\HTML\naupoint3.jpg
=c----------REG_SZ----------D:\HTML\naupoint2.jpg
=d----------REG_SZ----------D:\HTML\registry_2611.psd
=e----------REG_SZ----------D:\HTML\tracing
=f----------REG_SZ----------D:\HTML\install properties
=g----------REG_SZ----------D:\HTML\naupoint4.jpg
=h----------REG_SZ----------D:\HTML\naupoint.jpg
=i----------REG_SZ----------D:\HTML\iesprt
=j----------REG_SZ----------D:\HTML\naupoint5.jpg

1. naupoint
#Software<
kompletten Schluessel loeschen:
Naupointbar Toolbar
Bar ID------- Reg_SZ -------- 2004082916352380108252196

#HKEY_CURRENT_USER <Software
kompletten Schluessel loeschen:
< Naupointbar Toolbar\.Ink
Standart --> Inkfile
Default_Page_URL -----> search.naupoint.com
Default_Page_URL -----> *http://search.naupoint.com*
Search Page -----> *http://search.naupoint.com*

#HKEY_LOKAL_MACHINE < Software < Classes \Ink.
Standart --> Inkfile
loeschen:
=Default_Page_URL --> search.naupoint.com
=Default_Page_URL --> *http://search.naupoint.com*
=Search Page --> *http://search.naupoint.com*

#HKEY_CLASSES_ROOT\
kompletten Schluessel loeschen:
CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\
InProcServer32\
=(Standart) --> REG_EXPAND_SZ----> %SystemRoot%\System32\browser
=Default_Page_URL--------------------->search.naupoint.com
=Default_Page_UR---------------------->search.naupoint.com
=Default_Page_URL--------------------->*http://search.naupoint.com*
=Lokal Page------------------------------>search.naupoint.com
=Search Page---------------------------->*http://search.naupoint.com*
=Start Page------------------------------->search.naupoint.com
=ThreadingModel------------------------>Both

Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt und melde dich als Administrator an)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html

O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\tko2383.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe (Backdoor)
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

Häkchen setzen -->> Button "Fix checked"

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

oeffne die Killbox.
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

Kopiere in die Killbox:

C:\WINDOWS\System32\tko2383.dll
C:\WINDOWS\system32\wuamgrd.exe

PC neustarten

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

MRU-Clear XP 1.2
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html

#ClaerProg..lade die neuste Version <1.4.0 Final
as Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

----------------------------------------------------------------------------------------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

um den Mutex vom Backdoor zu loeschen:

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

von **Glaumi** am 16.01.2005, 18:22

ich danke dir, hat auch alles soweit geklappt, nur die Datei die als Download.Trojan bei mir enttarnt wird ist nicht bei deinen Löschangaben dabei.

Es handelt sich um:

C:\WINDOWS\system32\ss3fs.dll

und diese Datei kann ich auch mit dem Killbox nicht Löschen!!!!!

von **Nikita** am 16.01.2005, 21:04

Hallo@Glaumi

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

Lade: FindIt.zip-->
http://bilder.informationsarchiv.net/Ni ... FindIt.zip
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

Lade: diese zip.pv
http://downloads.subratam.org/pv.zip
Oeffne--> pv folder -->Doppelklick: runme.bat
dos window oeffnet sich
waehle: option 1 fuer explorer dll's -->enter
Notepad oeffnet sich -->poste den Text

von **Glaumi** am 17.01.2005, 14:15

Logfile von DllCompare:

* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.197 items found: 1.197 files, 0 directories.
Total of file sizes: 241.007.147 bytes 229,84 M

Administrator Account = True

--------------------End log---------------------

Output.txt

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

14.01.2005 16:29 <DIR> dllcache
09.11.2004 16:35 56 1EB95E3D31.sys
09.11.2004 16:35 2.098 KGyGaAvL.sys
01.05.2004 18:33 <DIR> Microsoft
2 Datei(en) 2.154 Bytes
2 Verzeichnis(se), 9.990.459.392 Bytes frei

------- Hidden Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

14.01.2005 16:29 <DIR> dllcache
09.11.2004 16:35 56 1EB95E3D31.sys
09.11.2004 16:35 2.098 KGyGaAvL.sys
01.05.2004 18:18 488 logonui.exe.manifest
01.05.2004 18:18 488 WindowsLogon.manifest
01.05.2004 18:18 749 nwc.cpl.manifest
01.05.2004 18:18 749 sapi.cpl.manifest
01.05.2004 18:18 749 wuaucpl.cpl.manifest
01.05.2004 18:18 749 cdplayer.exe.manifest
01.05.2004 18:18 749 ncpa.cpl.manifest
9 Datei(en) 6.875 Bytes
1 Verzeichnis(se), 9.990.459.392 Bytes frei

---------- Files Named "Guard" -------------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

--------- Temp Files in System32 Directory --------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

02.05.2004 09:18 0 ~GLH0018.TMP
06.03.2004 03:06 214.528 rpcss.dll.tmp
18.08.2001 13:00 2.951 CONFIG.TMP
3 Datei(en) 217.479 Bytes
0 Verzeichnis(se), 9.990.459.392 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]
"DllName"=hex(2):73,73,33,66,73,2e,64,6c,6c,00
"Startup"="expF4"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

---------------- Xfind Results -----------------

No matches found.

PV-Text:

Module information for 'explorer.exe'
MODULE BASE SIZE PATH
explorer.exe 1000000 1011712 C:\WINDOWS\explorer.exe 6.00.2600.0000 (xpclient.010817-1148) Windows Explorer
ntdll.dll 77f40000 708608 C:\WINDOWS\System32\ntdll.dll 5.1.2600.114 (xpclnt_qfe.021108-2107) DLL für NT-Layer
kernel32.dll 77e40000 991232 C:\WINDOWS\system32\kernel32.dll 5.1.2600.153 (xpclnt_qfe.021108-2107) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.0 (xpclient.010817-1148) Windows NT CRT DLL
ADVAPI32.dll 77da0000 630784 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.0 (XPClient.010817-1148) Erweitertes Windows 32 Base-API
RPCRT4.dll 78000000 454656 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.135 (xpclnt_qfe.021108-2107) Remote Procedure Call Runtime
GDI32.dll 77c40000 253952 C:\WINDOWS\system32\GDI32.dll 5.1.2600.151 (xpclnt_qfe.021108-2107) GDI Client DLL
USER32.dll 77d10000 548864 C:\WINDOWS\system32\USER32.dll 5.1.2600.152 (xpclnt_qfe.021108-2107) Client-DLL für Windows XP USER-API
SHLWAPI.dll 772a0000 409600 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2750.167 (xpclnt_qfe.040728-2019) Shell Light-weight Utility Library
SHELL32.dll 773a0000 8359936 C:\WINDOWS\system32\SHELL32.dll 6.00.2750.166 (xpclnt_qfe.040728-2019) Allgemeine Windows-Shell-DLL
ole32.dll 77180000 1126400 C:\WINDOWS\system32\ole32.dll 5.1.2600.136 (xpclnt_qfe.021108-2107) Microsoft OLE für Windows
OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll 3.50.5014.0 Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
BROWSEUI.dll 71500000 1036288 C:\WINDOWS\System32\BROWSEUI.dll 6.00.2737.1600 Shell Browser UI-Bibliothek
SHDOCVW.dll 71700000 1343488 C:\WINDOWS\System32\SHDOCVW.dll 6.00.2750.167 Bibliothek für Shell-Dokumente und -Steuerelemente
UxTheme.dll 5b0f0000 212992 C:\WINDOWS\System32\UxTheme.dll 6.00.2600.0000 (xpclient.010817-1148) Microsoft UxTheme-Bibliothek
comctl32.dll 71950000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll 6.0 (xpclient.010817-1148) User Experience Controls Library
comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll 5.82 (xpclient.010817-1148) Common Controls Library
THSec.dll 61000000 114688 C:\Programme\TrojanHunter 3.9\THSec.dll
a2handler.dll 57800000 122880 C:\Programme\a2\a2handler.dll
asOEHook.dll 67320000 192512 C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll 2005.1.01.3 AntiSpam OE Hook
MSVCR71.dll 7c340000 352256 C:\WINDOWS\System32\MSVCR71.dll 7.10.3052.4 Microsoft® C Runtime Library
MSCTF.dll 60000000 311296 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.29 (xpclnt_qfe.010827-1803) MSCTF-Server-DLL
appHelp.dll 75ee0000 118784 C:\WINDOWS\system32\appHelp.dll 5.1.2600.0 (xpclient.010817-1148) Application Compatibility Client Library
CLBCATQ.DLL 7c620000 528384 C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.53
COMRes.dll 77010000 864256 C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42
VERSION.dll 77bd0000 28672 C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries
cscui.dll 765c0000 327680 C:\WINDOWS\System32\cscui.dll 5.1.2600.0 (xpclient.010817-1148) Clientseitige Cachebenutzeroberfläche
CSCDLL.dll 765a0000 110592 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.0 (xpclient.010817-1148) Offlinenetzwerk-Agent
themeui.dll 5b9b0000 462848 C:\WINDOWS\System32\themeui.dll 6.00.2600.0000 (xpclient.010817-1148) Windows-Design-API
Secur32.dll 76f50000 65536 C:\WINDOWS\System32\Secur32.dll 5.1.2600.0 (xpclient.010817-1148) Security Support Provider Interface
MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.0 (xpclient.010817-1148) GDIEXT Client DLL
USERENV.dll 52880000 675840 C:\WINDOWS\system32\USERENV.dll 5.1.2600.15 (xpclnt_qfe.010827-1803) Userenv
msutb.dll 1220000 221184 C:\WINDOWS\System32\msutb.dll 5.1.2600.0 (xpclient.010817-1148) MSUTB-Server-DLL
LINKINFO.dll 76930000 28672 C:\WINDOWS\System32\LINKINFO.dll 5.1.2600.165 (xpclnt_qfe.040728-2019) Windows Volume Tracking
ntshrui.dll 76940000 151552 C:\WINDOWS\System32\ntshrui.dll 5.1.2600.0 (xpclient.010817-1148) Shellerweiterungen für Freigaben
ATL.DLL 76ad0000 86016 C:\WINDOWS\System32\ATL.DLL 3.00.9238 ATL Module for Windows NT (Unicode)
NETAPI32.dll 71ba0000 315392 C:\WINDOWS\System32\NETAPI32.dll 5.1.2600.122 (xpclnt_qfe.021108-2107) Net Win32 API DLL
msi.dll 1330000 2088960 C:\WINDOWS\System32\msi.dll 2.0.2600.15 Windows Installer
WININET.dll 63000000 614400 C:\WINDOWS\system32\WININET.dll 6.00.2737.800 Interneterweiterungen für Win32
CRYPT32.dll 76260000 561152 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1123 (xpsp2.020921-0842) Krypto-API32
MSASN1.dll 76240000 65536 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.137 (xpclnt_qfe.021108-2107) ASN.1 Runtime APIs
SAMLIB.dll 71b70000 69632 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.0 (xpclient.010817-1148) SAM Library DLL
SETUPAPI.dll 76620000 937984 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows Setup-API
NETSHELL.dll 75c90000 1658880 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.0 (xpclient.010817-1148) Shell für Netzwerkverbindungen
credui.dll 76bc0000 188416 C:\WINDOWS\system32\credui.dll 5.1.2600.0 (xpclient.010817-1148) Benutzerschnittstelle für Anmeldeinformationsverwaltung
WS2_32.dll c00000 86016 C:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll c90000 32768 C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 Helper für Windows NT
iphlpapi.dll 76d20000 86016 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2 (xpclient.010817-1148) IP-Hilfs-API
netman.dll 76da0000 155648 C:\WINDOWS\system32\netman.dll 5.1.2600.0 (xpclient.010817-1148) Netzwerkverbindungs-Manager
MPRAPI.dll 76d00000 90112 C:\WINDOWS\system32\MPRAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows NT MP Router Administration DLL
ACTIVEDS.dll 76e00000 192512 C:\WINDOWS\system32\ACTIVEDS.dll 5.1.2600.0 (xpclient.010817-1148) ADs Router-Ebene-DLL
adsldpc.dll 76dd0000 147456 C:\WINDOWS\system32\adsldpc.dll 5.1.2600.0 (xpclient.010817-1148) DLL für ADs LDAP Provider C
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.0 (xpclient.010817-1148) Win32 LDAP-API-DLL
rtutils.dll 76e40000 53248 C:\WINDOWS\system32\rtutils.dll 5.1.2600.0 (xpclient.010817-1148) Routing Utilities
RASAPI32.dll 2110000 233472 C:\WINDOWS\system32\RASAPI32.dll 5.1.2600.28 (xpclnt_qfe.010827-1803) RAS-API
rasman.dll 76e50000 69632 C:\WINDOWS\system32\rasman.dll 5.1.2600.0 (xpclient.010817-1148) Remote Access Connection Manager
TAPI32.dll 76e70000 172032 C:\WINDOWS\system32\TAPI32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft® Windows(TM) Telefonie-API-Client-DLL
WINMM.dll 76af0000 184320 C:\WINDOWS\system32\WINMM.dll 5.1.2600.0 (xpclient.010817-1148) MCI API-DLL
WZCSvc.DLL 76d60000 196608 C:\WINDOWS\system32\WZCSvc.DLL 5.1.2600.0 (xpclient.010817-1148) Konfigurationsfreier Dienst für drahtlose Verbindung
WMI.dll 76cf0000 16384 C:\WINDOWS\system32\WMI.dll 5.1.2600.0 (XPClient.010817-1148) WMI DC and DP functionality
DHCPCSVC.DLL 76d40000 106496 C:\WINDOWS\system32\DHCPCSVC.DLL 5.1.2600.0 (xpclient.010817-1148) DHCP Clientdienst
DNSAPI.dll 76ee0000 151552 C:\WINDOWS\system32\DNSAPI.dll 5.1.2600.0 (xpclient.010817-1148) DNS Client API DLL
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\system32\WTSAPI32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Terminal Server SDK APIs
WINSTA.dll 76300000 61440 C:\WINDOWS\system32\WINSTA.dll 5.1.2600.0 (xpclient.010817-1148) Winstation Library
mslbui.dll 609d0000 61440 C:\WINDOWS\System32\mslbui.dll 5.1.2600.0 (xpclient.010817-1148) Add In für Eingabegebietsschemaleiste
webcheck.dll 74ab0000 274432 C:\WINDOWS\System32\webcheck.dll 6.00.2600.0000 (xpclient.010817-1148) Websiteüberwachung
stobject.dll 74a80000 131072 C:\WINDOWS\System32\stobject.dll 5.1.2600.0 (xpclient.010817-1148) Systray-Shell-Serviceobjekt
BatMeter.dll 74a70000 36864 C:\WINDOWS\System32\BatMeter.dll 6.00.2600.0000 (xpclient.010817-1148) Batteriemesshilfs-DLL
POWRPROF.dll 74a50000 28672 C:\WINDOWS\System32\POWRPROF.dll 6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL
printui.dll 74b00000 544768 C:\WINDOWS\System32\printui.dll 5.1.2600.0 (XPClient.010817-1148) DLL für die Druckerbenutzeroberfläche
WINSPOOL.DRV 72f70000 143360 C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.0 (XPClient.010817-1148) Windows-Spoolertreiber
CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL
MPR.dll 71a80000 69632 C:\WINDOWS\system32\MPR.dll 5.1.2600.0 (xpclient.010817-1148) Router-DLL für Mehrfachanbieter
drprov.dll 75f00000 24576 C:\WINDOWS\System32\drprov.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider
ntlanman.dll 71b90000 49152 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.165 (xpclnt_qfe.040728-2019) Microsoft(R) LAN-Manager
NETUI0.dll 71c50000 90112 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.0 (xpclient.010817-1148) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen
NETUI1.dll 71c10000 245760 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes
NETRAP.dll 71c00000 24576 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL
davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Web DAV
SXS.DLL 75e30000 667648 C:\WINDOWS\System32\SXS.DLL 5.1.2600.136 (xpclnt_qfe.021108-2107) Fusion 2.5
shdoclc.dll 27b0000 581632 C:\WINDOWS\System32\shdoclc.dll 6.00.2715.400 Bibliothek für Shell-Dokumente und -Steuerelemente
rarext.dll 20d0000 176128 C:\Programme\WinRAR\rarext.dll
NavShExt.dll 10000000 217088 C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll 11.0.2.4 Norton AntiVirusNAVShellExt Module
ATL71.DLL 7c120000 102400 C:\WINDOWS\System32\ATL71.DLL 7.10.3077.0 ATL Module for Windows (Unicode)
MSVCP71.dll 7c3a0000 503808 C:\WINDOWS\System32\MSVCP71.dll 7.10.3077.0 Microsoft® C++ Runtime Library
WSOCK32.dll e60000 36864 C:\WINDOWS\System32\WSOCK32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket-32-Bit-DLL
ccL30.dll 6af30000 249856 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccL30.dll 103.0.2.10 Symantec Library
a2contmenu.dll 2880000 425984 C:\Programme\a2\a2contmenu.dll
7-zipn.dll 1550000 118784 C:\Programme\7-Zip\7-zipn.dll 3, 13, 0, 0 7-Zip Shell Extension
CmdLineExt03.dll 3120000 106496 C:\WINDOWS\System32\CmdLineExt03.dll
wdmaud.drv 72c90000 36864 C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper
msacm32.drv 72c80000 32768 C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 81920 C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 C:\WINDOWS\System32\midimap.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI-Mapper
events.dll 3140000 155648 C:\Programme\Trillian\events.dll 2.0.1.112 Trillian Event Control
comdlg32.dll 76350000 286720 C:\WINDOWS\system32\comdlg32.dll 6.00.2600.0000 (xpclient.010817-1148) DLL für gemeinsame Dialoge
browselc.dll 723c0000 77824 C:\WINDOWS\System32\browselc.dll 6.00.2600.0000 (xpclient.010817-1148) Shell Browser UI-Bbibliothek
AcroIEHelper.ocx 1120000 32768 C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 1, 0, 0, 1 AcroIEHelper Module
urlmon.dll 1a400000 503808 C:\WINDOWS\system32\urlmon.dll 6.00.2745.2300 OLE32-Erweiterung für Win32
DUSER.dll 6c670000 274432 C:\WINDOWS\System32\DUSER.dll 5.1.2600.0 (xpclient.010817-1148) Windows DirectUser Engine
WINTRUST.dll 76bf0000 176128 C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 (xpclient.010817-1148) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 139264 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.0 (XPClient.010817-1148) Windows NT Image Helper
rsaenh.dll ffd0000 139264 C:\WINDOWS\System32\rsaenh.dll 5.1.2518.0 (main.010714-2114) Microsoft Base Cryptographic Provider
actxprxy.dll 71cc0000 110592 C:\WINDOWS\System32\actxprxy.dll 6.00.2600.0000 (XPClient.010817-1148) ActiveX Interface Marshaling Library
asfsipc.dll 70f00000 28672 C:\WINDOWS\System32\asfsipc.dll 1.1.00.3917 ASFSipc Object
MSISIP.DLL 609f0000 53248 C:\WINDOWS\System32\MSISIP.DLL 2.0.2600.0 MSI Signature SIP Provider
wshext.dll 74e20000 65536 C:\WINDOWS\System32\wshext.dll 5.6.0.6626 Microsoft (r) Shell Extension for Windows Script Host
wshDE.DLL 590c0000 57344 C:\WINDOWS\System32\wshDE.DLL 5.6.0.6626 Internationale Ressourcen für Microsoft (r) Windows Script Host
ScrTrust.dll 1900000 40960 C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrTrust.dll 11.0.2.4 Norton AntiVirus ScripBlocking Trust DLL
MCPS.DLL 365a0000 86016 C:\MICROS~1\Office10\MCPS.DLL 10.0.2625 Media Catalog Proxy/Stub
MSVCP60.DLL 76020000 397312 C:\WINDOWS\System32\MSVCP60.DLL 6.00.8972.0 Microsoft (R) C++ Runtime Library

von **Nikita** am 17.01.2005, 15:18

Bevor ich dich in die Registry schicke, versuchen wir es mal so.

oeffne das Notepad:

kopiere folgendes rein, speicher ab als: fixme.reg (auf dem Desktop abspeichern)

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]

PC neustarten

dann doppelklicken auf die fixme.reg und wenn die Frage kommt, zur Registry beifuegen, antworte mit "yes"

Kopiere in die Killbox:--> loeschen
C:\WINDOWS\system32\ss3fs.dll

PC neustarten

dann scanne noch mal mit: FindIt (Output.txt)
und dll-Compare und poste es

---------------------------------------------------------------------------

http://support.microsoft.com/kb/824146

von **Glaumi** am 17.01.2005, 16:59

Also ich weiß nicht obs geklappt hat mit dem Löschen...?!?

Output.txt:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

14.01.2005 16:29 <DIR> dllcache
09.11.2004 16:35 56 1EB95E3D31.sys
09.11.2004 16:35 2.098 KGyGaAvL.sys
01.05.2004 18:33 <DIR> Microsoft
2 Datei(en) 2.154 Bytes
2 Verzeichnis(se), 9.985.765.376 Bytes frei

------- Hidden Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

14.01.2005 16:29 <DIR> dllcache
09.11.2004 16:35 56 1EB95E3D31.sys
09.11.2004 16:35 2.098 KGyGaAvL.sys
01.05.2004 18:18 488 logonui.exe.manifest
01.05.2004 18:18 488 WindowsLogon.manifest
01.05.2004 18:18 749 nwc.cpl.manifest
01.05.2004 18:18 749 sapi.cpl.manifest
01.05.2004 18:18 749 wuaucpl.cpl.manifest
01.05.2004 18:18 749 cdplayer.exe.manifest
01.05.2004 18:18 749 ncpa.cpl.manifest
9 Datei(en) 6.875 Bytes
1 Verzeichnis(se), 9.985.765.376 Bytes frei

---------- Files Named "Guard" -------------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

--------- Temp Files in System32 Directory --------

Datentr„ger in Laufwerk C: ist Dark Temple
Volumeseriennummer: 3443-036B

Verzeichnis von C:\WINDOWS\System32

02.05.2004 09:18 0 ~GLH0018.TMP
06.03.2004 03:06 214.528 rpcss.dll.tmp
18.08.2001 13:00 2.951 CONFIG.TMP
3 Datei(en) 217.479 Bytes
0 Verzeichnis(se), 9.985.761.280 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]
"DllName"=hex(2):73,73,33,66,73,2e,64,6c,6c,00
"Startup"="expF4"

DllCompare:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.196 items found: 1.196 files, 0 directories.
Total of file sizes: 241.002.395 bytes 229,84 M

Administrator Account = True

--------------------End log---------------------

von **Nikita** am 17.01.2005, 17:03

nein, es hat nicht geklappt:
---------------------------------------------------------------------------------------------------
Start<Ausfuehren<regedit

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

* Wählen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify.

* Klicken Sie mit der rechten Maustaste auf "iexplore".

* Wählen Sie "Berechtigungen".

* Klicken Sie im Dialogfenster "Berechtigungen für..." auf "Erweitert".

* Im Dialogfenster "Erweiterte Sicherheitseinstellungen für..." wählen Sie "Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben."

* Klicken Sie zwei Mal auf "OK".

* Klicken Sie mit der rechten Maustaste auf "iexplore".

* Wählen Sie "Löschen".

* Klicken Sie auf "Ja", um den Schlüssel zu löschen.

* Schließen Sie den Registrierungseditor.
--------------------------------------------------------------------------------------------------------
dann scanne noch mal mit:
FindIt

folgender Eintrag muss weg.:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]
"DllName"=hex(2):73,73,33,66,73,2e,64,6c,6c,00
"Startup"="expF4"

Downloader Trojan - wie beseitigen ?

Downloader Trojan - wie beseitigen ?

Ähnliche Themen

Wer ist online?