Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


trojaner- cax[1].cab -dller --> Ole32ws.dll

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

trojaner- cax[1].cab -dller --> Ole32ws.dll

Beitragvon digismo am 28.01.2005, 11:20

hab das problem dass ich 1 oder 2 trojaner auf dem compi hab. und zwar in archiven die ich nicht löschen kann, da nicht zugängig. habs auch schon im abgesicherten modus versucht.
er findet einen tojaner in ole32ws.dll aber der kommt trotz löschens immer wieder.

C:\Dokumente und Einstellungen\awvm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKF2HM5
cax[1].cab
ArchiveType: CAB (Microsoft)
--> Ole32ws.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.JH


E:\System Volume Information\_restore{292557DE-C246-4688-91F3-1C22F8E6EA2F}\RP14
A0002666.exe
ArchiveType: ZIP SFX (self extracting)
--> DNETC.COM
[FUND!] Ist das Trojanische Pferd TR/DNet.Drop

_________________________________________
mit findit:
Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F80F-6825

Verzeichnis von C:\WINDOWS\System32

15.01.2005 13:35 <DIR> dllcache
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 15.724.544.000 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F80F-6825

Verzeichnis von C:\WINDOWS\System32

28.01.2005 08:55 526 vsconfig.xml
17.01.2005 09:30 4.212 zllictbl.dat
15.01.2005 13:51 488 logonui.exe.manifest
15.01.2005 13:51 488 WindowsLogon.manifest
15.01.2005 13:51 749 cdplayer.exe.manifest
15.01.2005 13:51 749 ncpa.cpl.manifest
15.01.2005 13:51 749 sapi.cpl.manifest
15.01.2005 13:51 749 wuaucpl.cpl.manifest
15.01.2005 13:51 749 nwc.cpl.manifest
15.01.2005 13:35 <DIR> dllcache
9 Datei(en) 9.459 Bytes
1 Verzeichnis(se), 15.724.544.000 Bytes frei

---------- Files Named "Guard" -------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F80F-6825

Verzeichnis von C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F80F-6825

Verzeichnis von C:\WINDOWS\System32

18.08.2001 11:00 2.951 CONFIG.TMP
1 Datei(en) 2.951 Bytes
0 Verzeichnis(se), 15.724.544.000 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------


-------------- Locate.com Results ---------------


C:\WINDOWS\SYSTEM32\
ncpacp~1.man Sat 15 Jan 2005 13:51:24 A..HR 749 0,73 K
nwccpl~1.man Sat 15 Jan 2005 13:51:24 A..HR 749 0,73 K
sapicp~1.man Sat 15 Jan 2005 13:51:24 A..HR 749 0,73 K
wuaucp~1.man Sat 15 Jan 2005 13:51:24 A..HR 749 0,73 K
cdplay~1.man Sat 15 Jan 2005 13:51:24 A..HR 749 0,73 K
logonu~1.man Sat 15 Jan 2005 13:51:32 A..HR 488 0,48 K
window~1.man Sat 15 Jan 2005 13:51:32 A..HR 488 0,48 K
vsconfig.xml Fri 28 Jan 2005 8:55:20 A..H. 526 0,51 K
zllictbl.dat Mon 17 Jan 2005 9:30:14 ...H. 4.212 4,11 K

9 items found: 9 files, 0 directories.
Total of file sizes: 9.459 bytes 9,23 K

________________________________________
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.099 items found: 1.099 files, 0 directories.
Total of file sizes: 204.458.760 bytes 194,98 M

Administrator Account = True

--------------------End log---------------------


mit hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 10:18:47, on 28.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\smbdins.exe
C:\WINDOWS\System32\sethcd.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\WINDOWS\System32\nbtrstat.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\tools\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AntiVir XP.LNK = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.tradesignal.com/wpa/tsb/2.6. ... -6-2-2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3786592A-3518-43B6-82A9-E1D6AC017573}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B14BBB-01D5-4031-B92D-6B319059BECE}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6B74512-0C85-430E-9B76-4F29FFC083DD}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{3786592A-3518-43B6-82A9-E1D6AC017573}: NameServer = 69.50.176.156 195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
digismo
 
Beiträge: 17
Registriert: 28.01.2005, 11:15
Nach oben

Beitragvon miezmutz am 31.01.2005, 15:53

bist wohl übersehen worden...
miezmutz
Moderator
 
Beiträge: 2411
Registriert: 19.07.2004, 13:04
Wohnort: Rendsburg
Nach oben

Beitragvon Nikita am 02.02.2005, 14:39

Hallo@digismo

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.tradesignal.com/wpa/tsb/2.6. ... -6-2-2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3786592A-3518-43B6-82A9-E1D6AC017573}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B14BBB-01D5-4031-B92D-6B319059BECE}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6B74512-0C85-430E-9B76-4F29FFC083DD}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{3786592A-3518-43B6-82A9-E1D6AC017573}: NameServer = 69.50.176.156 195.225.176.31

PC neustarten

kopiere in die Killbox:

C:\Windows\System32\run_dos.dll
C:\WINDOWS\System32\msxmidi.exe
C:\WINDOWS\System32\update.exe
C:\WINDOWS\System32\wowdbe.exe
C:\WINDOWS\system32\msbsf.dll
C:\WINDOWS\System32\hdbvz.dll
C:\WINDOWS\System32\hdzow.dll
C:\WINDOWS\System32\iesp1.dll
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\system32\rdspclips.exe
C:\WINDOWS\system32\hdxfs.dll
C:\WINDOWS\system32\upncont.exe
C:\WINDOWS\system32\sprestrst.exe

C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\System32\sethcd.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\WINDOWS\System32\nbtrstat.exe

PC neustarten
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/vi ... mode.shtml

4) starte die datei rem.bat, scannen lassen.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k


5) starte den rechner anschließend im normalen modus.

6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Thema gesperrt

Ähnliche Themen

Kann zwei Trojaner nicht löschen!
Forum: Online- und PC-Sicherheit
Autor: istud
Antworten:
Hilfe Trojaner
Forum: Online- und PC-Sicherheit
Autor: Anonymous
Antworten:
Trojaner
Forum: Online- und PC-Sicherheit
Autor: AbcAeffchen
Antworten:
Trojaner scanner
Forum: Online- und PC-Sicherheit
Autor: AbcAeffchen
Antworten:
Trojaner als Spamroboter entdeckt
Forum: Aktuelles und News (hier sind die Forenregeln)
Autor: schwedenmann
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO