Ich habe ein paar probleme mit meinem Rechner, kann mir jemand bitte helfen.
Hier die HiJack Logfile
Logfile of HijackThis v1.98.2
Scan saved at 17:19:24, on 15.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\scagent.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\services.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Wireless\IEEE802.11b WLAN PCI Card Utility\WLPCICfg.exe
C:\WINNT\Explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\calc.exe
C:\WINNT\System32\calc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B51D1CB0-E2C5-4EC5-A3F7-8C8C20105F8A} - C:\WINNT\madopew.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winltmpv] c:\winnt\winhelp.exe
O4 - Global Startup: IEEE802.11b WLAN PCI Card Utility.lnk = C:\Programme\Wireless\IEEE802.11b WLAN PCI Card Utility\WLPCICfg.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29599bc667a ... 601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{164774A2-AB99-46CD-AB98-F75A057C578F}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{164774A2-AB99-46CD-AB98-F75A057C578F}: NameServer = 192.168.123.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{164774A2-AB99-46CD-AB98-F75A057C578F}: NameServer = 192.168.123.254
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\httpfilter.dll
O18 - Filter: text/plain - {6C8F9E90-A6F7-4317-8575-C53028A05794} - C:\WINNT\madopew.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINNT\System32\vbsys.dll
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
C:\WINNT\system32\fservice.exe ---Troj/Prorat-D
3 Beiträge • Seite 1 von 1
von miezmutz am 16.10.2004, 17:16
Hallo kadir,
dein logfile sieht übel aus,
jetzt hilft nur noch Ruhe bewahren und auf nikita warten...
du kannst deine HijackThis logfiles übrigens auch selbst auswerten, und zwar hier:
http://hijackthis.de/
dein logfile sieht übel aus,
jetzt hilft nur noch Ruhe bewahren und auf nikita warten...
du kannst deine HijackThis logfiles übrigens auch selbst auswerten, und zwar hier:
http://hijackthis.de/
- miezmutz
- Moderator
- Beiträge: 2411
- Registriert: 19.07.2004, 13:04
- Wohnort: Rendsburg
Troj/Prorat-D \C:\WINNT\system32\fservice.exe
von Nikita am 16.10.2004, 18:44
Hallo @kadir
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Oeffne das HijackThis, hake an, was ich schreibe, <fix< und PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\fservice.exe [Troj/Prorat-D]
O2 - BHO: (no name) - {B51D1CB0-E2C5-4EC5-A3F7-8C8C20105F8A} - C:\WINNT\madopew.dll [Trojan.Win32.StartPage.is]
O4 - HKCU\..\Run: [internat.exe] internat.exe [PWSteal.Netsnake, Keylogger]
O4 - HKCU\..\Run: [winltmpv] c:\winnt\winhelp.exe [W32/Lovgate-J]
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29599bc667a ... 601_de.cab
neustarten und in den abgesicherten Modus (mit internetverbindung) gehen
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
Gehe in die Registry
Start<Ausfuehren<regedit
Troj/Prorat-D
Loesche RECHTS in der Registry folgende Eintraege:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
DirectX for Microsoft Windows = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Active Setup\Installed Components\
[A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\
StubPath = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Active Setup\Installed Components\
[5Y99AE78-58TT-11dW-BE53-Y67078979Y]\
StubPath = C:\<Windows System>[fservice.exe ]
HKCU\Software\Microsoft DirectX\WinSettings\
Trojan.Win32.StartPage.is
HKEY_CLASSES_ROOT\clsid\{09d62e7b-f1a0-46bf-a5ae-eff9e2e22d89}
HKEY_CLASSES_ROOT\clsid\{17016049-c758-4710-a3e8-2800c0c57f0f}
HKEY_CLASSES_ROOT\clsid\{453125c3-7a5e-4581-808c-a70eea670a9b}
HKEY_CLASSES_ROOT\clsid\{59e2d3c2-ab30-4295-b301-8849a2166e8c}
HKEY_CLASSES_ROOT\clsid\{71bafe05-b6c5-49db-9c61-397a60343877}
HKEY_CLASSES_ROOT\clsid\{771f4f1f-643b-4049-a6d5-bca4583424c2}
HKEY_CLASSES_ROOT\clsid\{bf333890-39cd-476c-94ec-29493712426c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{09d62e7b-f1a0-46bf-a5ae-eff9e2e22d89}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{453125c3-7a5e-4581-808c-a70eea670a9b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{59e2d3c2-ab30-4295-b301-8849a2166e8c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bf333890-39cd-476c-94ec-29493712426c}
W32/Lovgate-J
HKEY_CLASSES_ROOT den Eintrag:
HKCR\txtfile\shell\open\command\(Default)
Ändern Sie den Registrierungswert um in "notepad.exe %1"
HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhelp
= "<Windows-Systemordner>\winhelp.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinGate initialize
= "<Windows-Systemordner>\WinGate.exe -remoteshell"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
COM+ Event System = DRWTSN16.EXE
Löschen Sie diese Einträge, sofern sie existieren.
schliesse die Registry und starte den PC neu (wieder in den abges. Modus)
#loesche:
< WINKEY.DLL (das ist der Trojaner\Troj/Prorat-D)
Automatisches Loeschen:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren WINKEY.DLL <PC neustarten (immer in den abges. Modus !)
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren
C:\WINNT\madopew.dll <PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:wininv.dll <PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
< WINLOGON.EXE in den Windows-Ordner kopiert.(vom Trojaner:Troj/Prorat-D)
<C:\WINNT\system32\scagent.exe
<C:\WINNT\services.exe
<C:\WINNT\system32\fservice.exe
<c:\winnt\winhelp.exe
<C:\WINNT\System32\calc.exe
<C:\WINNT\System32\calc.exe (sind 2 (!) )
<C:\WINNT\madopew.dll
<wininv.dll
<sservice.exe
<XP_Update v1.5.3.exe
<internat.exe [wenn sie 82.5 KB gross ist]....nicht die andere mit 20 KB, dass ist die von Windows und nicht der Keylogger)
oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\madopew.dll <PC neustarten und wieder in den abges. Modus gehen
#Antivirentool EScan laden:
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp
Schritt 10:Das eScan AV Toolkit (mwav.exe) herunterladen,
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (die exe ist wahrscheinlich unter Start<Ausfuehren<%temp% (reinkopieren)
und den Scanner starten. (mwav.exe) Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
Dann poste das neue Log noch mal.
mfg
Nikita
http://www.sophos.de/virusinfo/analyses ... oratd.html
http://securityresponse.symantec.com/av ... snake.html
http://www.sophos.de/virusinfo/analyses ... gatej.html
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Oeffne das HijackThis, hake an, was ich schreibe, <fix< und PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\fservice.exe [Troj/Prorat-D]
O2 - BHO: (no name) - {B51D1CB0-E2C5-4EC5-A3F7-8C8C20105F8A} - C:\WINNT\madopew.dll [Trojan.Win32.StartPage.is]
O4 - HKCU\..\Run: [internat.exe] internat.exe [PWSteal.Netsnake, Keylogger]
O4 - HKCU\..\Run: [winltmpv] c:\winnt\winhelp.exe [W32/Lovgate-J]
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29599bc667a ... 601_de.cab
neustarten und in den abgesicherten Modus (mit internetverbindung) gehen
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
Gehe in die Registry
Start<Ausfuehren<regedit
Troj/Prorat-D
Loesche RECHTS in der Registry folgende Eintraege:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Windows Reg Services = C:\<Windows System>\[fservice.exe ]
DirectX for Microsoft Windows = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Active Setup\Installed Components\
[A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\
StubPath = C:\<Windows System>\[fservice.exe ]
HKLM\Software\Microsoft\Active Setup\Installed Components\
[5Y99AE78-58TT-11dW-BE53-Y67078979Y]\
StubPath = C:\<Windows System>[fservice.exe ]
HKCU\Software\Microsoft DirectX\WinSettings\
Trojan.Win32.StartPage.is
HKEY_CLASSES_ROOT\clsid\{09d62e7b-f1a0-46bf-a5ae-eff9e2e22d89}
HKEY_CLASSES_ROOT\clsid\{17016049-c758-4710-a3e8-2800c0c57f0f}
HKEY_CLASSES_ROOT\clsid\{453125c3-7a5e-4581-808c-a70eea670a9b}
HKEY_CLASSES_ROOT\clsid\{59e2d3c2-ab30-4295-b301-8849a2166e8c}
HKEY_CLASSES_ROOT\clsid\{71bafe05-b6c5-49db-9c61-397a60343877}
HKEY_CLASSES_ROOT\clsid\{771f4f1f-643b-4049-a6d5-bca4583424c2}
HKEY_CLASSES_ROOT\clsid\{bf333890-39cd-476c-94ec-29493712426c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{09d62e7b-f1a0-46bf-a5ae-eff9e2e22d89}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{453125c3-7a5e-4581-808c-a70eea670a9b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{59e2d3c2-ab30-4295-b301-8849a2166e8c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bf333890-39cd-476c-94ec-29493712426c}
W32/Lovgate-J
HKEY_CLASSES_ROOT den Eintrag:
HKCR\txtfile\shell\open\command\(Default)
Ändern Sie den Registrierungswert um in "notepad.exe %1"
HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhelp
= "<Windows-Systemordner>\winhelp.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinGate initialize
= "<Windows-Systemordner>\WinGate.exe -remoteshell"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
COM+ Event System = DRWTSN16.EXE
Löschen Sie diese Einträge, sofern sie existieren.
schliesse die Registry und starte den PC neu (wieder in den abges. Modus)
#loesche:
< WINKEY.DLL (das ist der Trojaner\Troj/Prorat-D)
Automatisches Loeschen:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren WINKEY.DLL <PC neustarten (immer in den abges. Modus !)
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren
C:\WINNT\madopew.dll <PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:wininv.dll <PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
< WINLOGON.EXE in den Windows-Ordner kopiert.(vom Trojaner:Troj/Prorat-D)
<C:\WINNT\system32\scagent.exe
<C:\WINNT\services.exe
<C:\WINNT\system32\fservice.exe
<c:\winnt\winhelp.exe
<C:\WINNT\System32\calc.exe
<C:\WINNT\System32\calc.exe (sind 2 (!) )
<C:\WINNT\madopew.dll
<wininv.dll
<sservice.exe
<XP_Update v1.5.3.exe
<internat.exe [wenn sie 82.5 KB gross ist]....nicht die andere mit 20 KB, dass ist die von Windows und nicht der Keylogger)
oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\madopew.dll <PC neustarten und wieder in den abges. Modus gehen
#Antivirentool EScan laden:
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp
Schritt 10:Das eScan AV Toolkit (mwav.exe) herunterladen,
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (die exe ist wahrscheinlich unter Start<Ausfuehren<%temp% (reinkopieren)
und den Scanner starten. (mwav.exe) Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
Dann poste das neue Log noch mal.
mfg
Nikita
http://www.sophos.de/virusinfo/analyses ... oratd.html
http://securityresponse.symantec.com/av ... snake.html
http://www.sophos.de/virusinfo/analyses ... gatej.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
3 Beiträge • Seite 1 von 1
Ähnliche Themen
| System32 gelöscht (Virus drauf) Forum: Software-Hilfe Autor: noodlez Antworten: |
c:\windows\system32\config\system fehlerhaft oder beschädigt Forum: Hardware-Hilfe Autor: Svenman_1 Antworten: |
nach c:\windows\system32\config\system fehler großes problem Forum: Hardware-Hilfe Autor: bene86 Antworten: |
System32 Forum: Hardware-Hilfe Autor: Gpunkt Antworten: |
windows/system32 gelöscht. hilfe Forum: Software-Hilfe Autor: helmut Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste