Virusmeldung / Trojaner
Moderatoren: Asifish, king-pat
- Ranger-patrick
- MIA V.I.P.
- Beiträge: 918
- Registriert: 17 Dez 2004, 06:30
- Wohnort: Mir isses wieder eingefallen im MIABoard xD
- Rappyfan
- MIA V.I.P.
- Beiträge: 573
- Registriert: 28 Jan 2004, 18:18
- Spielt gerade: Phantasy Star Portable
- Wohnort: Bonn
Name des Virus: ka, bei jeder Meldung heisst er anders (sind wohl mehrere ._.)
Der letzte hies rxqhkjum.dll
Trojanisches Pferd " TR/Spy.VBStat.B.1"
hijackthis log:
Betriebssystem Version :
Windows XP Professional Version 2002 Service Pack 2 (wolltest du das wissen? )
Der letzte hies rxqhkjum.dll
Trojanisches Pferd " TR/Spy.VBStat.B.1"
hijackthis log:
Code: Alles auswählen
Logfile of HijackThis v1.99.1
Scan saved at 23:22:35, on 14.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.commonname.com/english/toolbar/sidebar.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [j0261736] rundll32 C:\WINDOWS\system32\j0261736.dll sook
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\buhkdwuq.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Windows XP Professional Version 2002 Service Pack 2 (wolltest du das wissen? )
- Clow Leed
- MIA Team Member
- Beiträge: 2282
- Registriert: 16 Dez 2004, 17:54
- Spielt gerade: Freedom Wars
Diablo 3 - Lieblingsspiel: Zelda: ALttP
- Wohnort: Forschungs- und Technologiestadt Karlsruhe
Die auffälligen Einträge habe ich mal übriggelassen.Rappyfan hat geschrieben:Code: Alles auswählen
O4 - HKLM\..\Run: [j0261736] rundll32 C:\WINDOWS\system32\j0261736.dll sook O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\buhkdwuq.dll",realset
SEGA? LOL!
- Rappyfan
- MIA V.I.P.
- Beiträge: 573
- Registriert: 28 Jan 2004, 18:18
- Spielt gerade: Phantasy Star Portable
- Wohnort: Bonn
sry aber was möchtest du jetzt damit sagen?^^"""
bzw was muss ich machen? ._.
Edit: ok das mit Hijackthis hat sich ^^"
Edit:
Weiteres Problem
Virusmeldung
bzw was muss ich machen? ._.
Edit: ok das mit Hijackthis hat sich ^^"
Edit:
Weiteres Problem
Virusmeldung
- Clow Leed
- MIA Team Member
- Beiträge: 2282
- Registriert: 16 Dez 2004, 17:54
- Spielt gerade: Freedom Wars
Diablo 3 - Lieblingsspiel: Zelda: ALttP
- Wohnort: Forschungs- und Technologiestadt Karlsruhe
Ich geh mal davon aus, daß du keine Ahnung von PC's hast.
Ok:
Die Dateien:
C:\windows\System32\ljjjkjk.dll
C:\WINDOWS\system32\ssqpq.dll
C\dokume~1\Admin\Lokale~1\Temp\kyofgrei.dll
sind verseucht, nicht nur _die_ Datei, die AntiVir zeigt!
Lösch alle diese Dateien mal manuell, was du aber möglicherweise nicht kannst
während der Explorer geladen ist.
Die einzige Möglichkeit die Files wegzubekommen ist per Eingabeaufforderung (cmd.exe)
oder mit der Funktion "Delete file on Reboot" von Hijackthis.
Weißt du wie man im DOS navigiert/löscht/attribute ändert?
Dann schieß per Taskmanager ->prozesse die "explorer.exe" ab.
Starte dann vom Taskmanager die cmd.exe per "Datei -> Neuer Task..".
Der Rest geht von selbst, Alt+Tab funzt immer noch, kannst also nen Editor offen lassen (Notepad z.b) und dort infos reinschreiben.
Ok:
Die Dateien:
C:\windows\System32\ljjjkjk.dll
C:\WINDOWS\system32\ssqpq.dll
C\dokume~1\Admin\Lokale~1\Temp\kyofgrei.dll
sind verseucht, nicht nur _die_ Datei, die AntiVir zeigt!
Lösch alle diese Dateien mal manuell, was du aber möglicherweise nicht kannst
während der Explorer geladen ist.
Die einzige Möglichkeit die Files wegzubekommen ist per Eingabeaufforderung (cmd.exe)
oder mit der Funktion "Delete file on Reboot" von Hijackthis.
Weißt du wie man im DOS navigiert/löscht/attribute ändert?
Dann schieß per Taskmanager ->prozesse die "explorer.exe" ab.
Starte dann vom Taskmanager die cmd.exe per "Datei -> Neuer Task..".
Der Rest geht von selbst, Alt+Tab funzt immer noch, kannst also nen Editor offen lassen (Notepad z.b) und dort infos reinschreiben.
SEGA? LOL!
- Rappyfan
- MIA V.I.P.
- Beiträge: 573
- Registriert: 28 Jan 2004, 18:18
- Spielt gerade: Phantasy Star Portable
- Wohnort: Bonn
schonmal danke clow ^^" und ja ich hab keine ahnung von pc's
Also...
C:\WINDOWS\system32\ssqpq.dll <<< "file not found"
C:\WINDOWS\system32\ljjjkjk.dll <<< kann nicht gelöscht werden ._.
ich hab so ein Programm das heisst Process Explorer und das zeigt mir an, dass die dateien auch von "WInlogon" benutzt werden ._. aber den Prozess kann ich nich beenden :/ was denn nu?
C:\WINDOWS\system32\lsscctvp.dll <<< is die auch böse? ^^"
Also...
C:\WINDOWS\system32\ssqpq.dll <<< "file not found"
C:\WINDOWS\system32\ljjjkjk.dll <<< kann nicht gelöscht werden ._.
ich hab so ein Programm das heisst Process Explorer und das zeigt mir an, dass die dateien auch von "WInlogon" benutzt werden ._. aber den Prozess kann ich nich beenden :/ was denn nu?
C:\WINDOWS\system32\lsscctvp.dll <<< is die auch böse? ^^"
- Clow Leed
- MIA Team Member
- Beiträge: 2282
- Registriert: 16 Dez 2004, 17:54
- Spielt gerade: Freedom Wars
Diablo 3 - Lieblingsspiel: Zelda: ALttP
- Wohnort: Forschungs- und Technologiestadt Karlsruhe
..is ja hartnäckiges teil..
nimm die hilfe von hijackthis.
"Delete file on reboot"
und schreib da die Dateien rein (+pfad)
beim nächsten Booten sollten die wegsein, außer sie benötigen Admin-Status, da sie dir nicht gehören (NTFS Dateisystem-Besitzerrecht).
Ansonsten musst du mal "Unlocker" installieren, die dateien markieren und "Unlock". Dann kannst du die löschen, außer Windows will das nicht (Zugriff verweigert)
bin mir da nicht sicher, die Datei gibt es bei mir nicht, aber die Datei könnte während einem Windows Update dazu gekommen sein und ist
daher mir nicht bekannt.
Kannste die mal packen (zip, rar, ace, gz) und mir geben?
nimm die hilfe von hijackthis.
"Delete file on reboot"
und schreib da die Dateien rein (+pfad)
beim nächsten Booten sollten die wegsein, außer sie benötigen Admin-Status, da sie dir nicht gehören (NTFS Dateisystem-Besitzerrecht).
Ansonsten musst du mal "Unlocker" installieren, die dateien markieren und "Unlock". Dann kannst du die löschen, außer Windows will das nicht (Zugriff verweigert)
Code: Alles auswählen
Datei C:\WINDOWS\system32\lsscctvp.dll nicht gefunden
daher mir nicht bekannt.
Kannste die mal packen (zip, rar, ace, gz) und mir geben?
SEGA? LOL!
- ØÃÎÑ
- Beiträge: 794
- Registriert: 15 Mai 2006, 20:03
- Spielt gerade: Skate
The Eye of Judgement
Okami - Lieblingsspiel: Secret of Mana
- Wohnort: Hattingen
- Kontaktdaten:
Meine rmeckert auw ieder rum.....jetz krieg ich oft Fehlermeldungen von irgendwelchen Dateien, wo ich sofort auf löschen gehe, die dann au ruhig sind. Das aba bestimmt 5-10mal am Tag, wenn ich Antivir mache, findet er aba au nur, 2 Dateien, oda au nur 1, immernoch diese "winuq32.dll", diese meldet sich au wenn ich irgendwas, zb bei mir letzten neue iTunes, installieren möchte. Wie werd ich das los....das nervt total
***PSU: Sephiroth/Human M/Wartecher(Lv. 3) Lv.45***
Nintendo Wii-Code: 6460 6420 5667 4910
Nintendo Wii-Code: 6460 6420 5667 4910