![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() ![]() |
![]() |
![]()
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Hallo,
anbei die log-datei. Ich habe bereits mehrere Versuche zusammen mit symantec und anderen ideen durchgeführt. Dieses Datei wdmm.dll lässt sich nicht löschen oder umbennen. Auch im abgesicherten Modus kann ich diese nicht killen. Kaum ist der Computer an, entstehen nach ca 1 minute, vielleicht wenn der Druckertreiber sich lädt wieder dieses Vorgänge von Norton Anti Virus, welcher in der WDMM.DLL oder auch wdmm.dll den Backdoor.trojan ausmacht. mit Hijack entsteht dieses Protokoll. Wenn ich die letzte Zeile anhacke und fix checked bestätige passiert nichts. ein erneuert scan und es ist wieder da. Sieht aus wie ein perpetuum mobile. Angefangen hatte alles mit der Problematik eines Hijackers about:blank Inzwischen arbeite ich mit Firefox. Für hilfe bin ich dankbar !! Logfile of HijackThis v1.98.0 Scan saved at 07:39:52, on 20.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\System32\khooker.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Keyboard\Keyboard Hotkey\Hotkey.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Palm\HOTSYNC.EXE C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\bin\hpostr05.exe C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\bin\HPOVDX05.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Outlook Express\msimn.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Dietrich\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Startup: Officejet.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\Bin\HPOmnu05.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Hotkey.lnk = C:\Programme\Keyboard\Keyboard Hotkey\Hotkey.exe O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O20 - AppInit_DLLs: C:\WINDOWS\System32\wdmm.dll |
|
|
![]()
Beitrag
#2
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
SChicke die Datei bitte mal an virus@rokop-security.de . Kannst du die Datei im abgesicherten Modus umbenennen? Wenn ja, bitte machen und neu starten. Im zweifelsfalle mal im abgesicherten Modus Winzip oder Winrar laden, den Explorer task beenden und die datei packen, umbenennen/verschieben.....
Du kannst auch mal bei hijackthis1.98 unter Config/misc tools/ open Processmanager "show .dlls" anhaken und schauen mit welchem task die Datei "verbunden" ist. Sollte der Explorer Task sein..... Der Beitrag wurde von raman bearbeitet: 20.07.2004, 08:36 -------------------- MfG Ralf
|
|
|
![]()
Beitrag
#3
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
@pimperantum
Notfalls lösch den Eintrag mal händisch Registry Starten Start/ausführen/regedit navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows und editiere den Eintrag in "AppInit_DLLs" von Hand Mach einen Neustart und schau ob er weg ist. Gruß paff |
|
|
![]()
Beitrag
#4
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Hallo, danke für die Tipps,
funktionieren leider nicht Die datei kommt immer wieder ! im abgesicherten Modus nur unter Benutzer zu finden. verändern, löschen ja. Beim nächsten Start wieder da. in der Hijack - misc tools show dll ist keine Verbindung zu finden ! Gefunden habe ich die wdmm.dll unter HKEY... Explorer\comDLG32\OpenSaveMRU\* darunter war noch eine jdgbhfacie !?? Gruß Andreas |
|
|
![]()
Beitrag
#5
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
@pimperantum
Wichtig, schick mal bitte die Datei "C:\WINDOWS\System32\wdmm.dll" an virus@rokop-security.de und an mich mike_hangover@gozomail.com (Meine FakeEMail) Dann wissen wir wenigstens was das ist. Und man kann reagieren! QUOTE Gefunden habe ich die wdmm.dll unter HKEY... Explorer\comDLG32\OpenSaveMRU\* Das kannst du vergessen , das heißt nur das die Datei mit irgendwas geöffnet wurde. Hast du mal den Eintrag im AppsInit_Dlls von Hand gelöscht???? Gruß paff --------------------------------- Nachtrag Das scheint eine Abart des ElKern Trojaners zu sein http://hq.mcafeeasap.com/dispVirus.asp?virus_k=99238 Irgendwo in den laufenden Prozessen muß sich noch der Virusprozess sein. Ich glaube es gibt wieder was zu erforschen ![]() Der Beitrag wurde von paff bearbeitet: 20.07.2004, 16:28 |
|
|
![]()
Beitrag
#6
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Diese Datei lässt sich nicht packen, verschicken, verschieben oder sonst was.
Direkt in appinit löschen ? über hijacker gelöscht, wieder da - und täglich grüßt das murmeltier ! Bin noch da ! Gruß Andy |
|
|
![]()
Beitrag
#7
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
QUOTE(pimperantum @ 20. July 2004, 18:57) Diese Datei lässt sich nicht packen, verschicken, verschieben oder sonst was. Direkt in appinit löschen ? über hijacker gelöscht, wieder da - und täglich grüßt das murmeltier ! Bin noch da ! Gruß Andy @pimperantum aber kopieren lässt Sie sich doch , oder? Dann kopieren und dann verschicken an die beiden EMailAdressen Dann probiere mal direkt, direkt in der Registry den Inhalt von appinits_dlls zu löschen. Gruß paff Der Beitrag wurde von paff bearbeitet: 20.07.2004, 18:38 |
|
|
![]()
Beitrag
#8
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Halllo
die Datei lässt sich auch nicht kopieren ! In der Registy habe ich die Datei gelöscht. sie kommt dann wieder, wenn die wdmm.dll wieder da ist ! Gruß Andreas |
|
|
![]()
Beitrag
#9
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Hallo
kann es sein das das "Programm, welches die Datei immer wieder erscheinen lässt, an der Maus, TAstatur, am Drucker oder an einer anderen verwendabren Datei dran hängt ? Bringt es was Drucker, treiber, Notepad, Image transfer und solche Programme zu deinstallieren und wieder neu aufzuspielen ? Ich kann mich erinnern, das der VDI MAnager von HP und explorer.exe sich hier un da verabschiedet hatten. Gruß Andreas |
|
|
![]()
Beitrag
#10
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
@all
Hier mal ein paar Links von "ähnlichen Fällen" Keine LÖSUNG! Nur Denkansatz Alles englisch http://home8.inet.tele.dk/fbj/NewHJTEntries.htm Alle Einträge mit O20 Hier scheints jemand geschafft zu haben. DLL war auch unbewegbar http://computercops.biz/print-1-57520.html Das ist auch interessant http://forum.emsisoft.com/viewtopic.php?t=1485 @pimperantum Noch eine Bitte, ist ein bißchen Arbeit aber lohnt sich vielleicht ![]() Das hier downloaden http://tools.zerosrealm.com/pv.zip Entpacken und Runme.bat starten Drücke 1 dann Return Nun erscheint einen Logdatei. Diese Speichern Dasselbe bis 6 machen , Dann alle Dateien in ein ZipFile packen und mir schicken an mike_hangover@gozomail.com (Meine FakeEMail) Wenn du dann noch Lust hast lade dir http://downloads.subratam.org/FINDnFIX.exe starten und das Logfile posten Gruß paff Der Beitrag wurde von paff bearbeitet: 21.07.2004, 12:30 |
|
|
![]()
Beitrag
#11
|
|
![]() Fühlt sich hier wohl ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 419 Mitglied seit: 31.01.2004 Mitglieds-Nr.: 390 Betriebssystem: Linux Mint------WIN7 Virenscanner: Avast Firewall: Router ![]() |
@all,
zwischenfrage für mich zum lernen: dieser prozess C:\WINDOWS\system32\slserv.exe ? ist in jedem falle o.k. weil das hier läuft ? C:\WINDOWS\System32\sistray.EXE gruß sam -------------------- Gruß SAM
|
|
|
![]()
Beitrag
#12
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
QUOTE(SAM @ 21. July 2004, 13:14) @all, zwischenfrage für mich zum lernen: dieser prozess C:\WINDOWS\system32\slserv.exe ? ist in jedem falle o.k. weil das hier läuft ? C:\WINDOWS\System32\sistray.EXE gruß sam @SAM So hab ich mir das auch erklärt ![]() Sollte beides zum SiS Utility gehören Gruß paff |
|
|
![]()
Beitrag
#13
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Hallo alle
Danke für die Tipps, bin leider aktuell unterwegs, mach am Wochenende weiter und versuche noch das ein oder andere durchzuziehen. Ich kann ja nicht jeden Tag Tasten quälen ! Gruß Andreas |
|
|
![]()
Beitrag
#14
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 18.07.2004 Mitglieds-Nr.: 1.232 ![]() |
Hallo !
ich habe folgendes gemacht: 1 HP Drucker Software deinstalliert 2 dann tauchte auf Backdoor Agent B statt Trojan Backdoor, immer noch mit wdmm.dll 3. im abgesicherten modus nach der Anweisung von symantec verfahren mit in registry windows in windows0 umbennen usw. dann einen Teil des Namens killen... 4. Momentan läuft alles als wäre nichts. ich hoffe nicht der Schein trügt. Gruß Andreas |
|
|
![]()
Beitrag
#15
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
@pimperantum
Mach doch mal bitte das was ich meinem Post vom 21. July 2004, 10:07 egschrieben habe. Dann wissen wir was Sache ist Gruß paff Der Beitrag wurde von paff bearbeitet: 27.07.2004, 07:09 |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 25.06.2024, 20:34 |