Supportnet / Forum / Security/Viren
DLL Datei/Trojaner löschen
Frage
Ich habe mir einen dummen Trojaner eingefangen. Hijack bringt folgende Logs:
Logfile of HijackThis v1.99.1
Scan saved at 01:44:37, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\NETGEAR\Utility\NetgearAG.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\tcpsvcs.exe
C:\windows\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Steffen\Eigene Dateien\HijackThis.exe
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: SMDEn - C:\windows\system32\q686lgls16q6.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Ich weiß dass die "q686lgls16q6.dll" Datei der Trojaner ist. Doch ich hab keine Möglichkeit diese Datei zu löschen. Über die Funktion "fix" bei Hijack geht es nicht. Auch im abgesicherten Modus hab ich keine Chance. Das Komplizierte an dem Problem ist, dass die Datei nach jedem Neustart umbenannt wird. Also habe ich auch keine Möglichkeit mit Hilfe andere Programme die Datei zu löschen. AUch mit Killbox funktioniert es nicht. Ich hoffe es hat von euch jemand eine Idee.
Danke
Gruß Steffen
Antwort 1 von Oke
Hast Du mal versucht einen neuen Benutzer mit Adminrechten anzulegen und von dort aus die Datei zu löschen?
Antwort 2 von gast25
systemwiederherstellung deaktivieren
Antwort 3 von willy_wombat
Zeigt beides kein Erfolg :/ !
Weitere Ideen?
AV, Spybot und Ad-Aware erkennen den TRojaner auch nicht
Weitere Ideen?
AV, Spybot und Ad-Aware erkennen den TRojaner auch nicht
Antwort 4 von Das_Urmel
Zitat:
Weitere Ideen?
Weitere Ideen?
Sicher doch, die wird dir aber nicht gefallen?
HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon
Da würde ich einen der Initatoren deines Problems suchen.
Weiterhin "unnormale" Dateinamen in Windows und System32 die das Löschen der Datei verhindern.
Solange du abgesichert, aber mit Explorer startest, bist du von vornerein verloren -chancenlos.
bye
Michael
Antwort 5 von Solo
Hi, wenn du den Namen des Trojaners hast, gib ihn mal bei Googl ein. Da gibt es auch Anleitung, wie du ihn wieder los wirst.
MfG
MfG
Antwort 6 von RunningBug
Hey ich hab noch nen Tip für dich.
Da ich gerade das gleiche Problem hatte hab ich mich damit etwas beschäftigt.Wenn es funktioniert hat schick mir ne mail.
Und zwar gehst du wie folgt vor du öffnest regedit und gibst dort unter bearbeiten glaub ich und suchen den namen der erstellten Trojaner (.dll) Datei ein.Er müsste nun ein programm in der liste finden das den namen des trojaners beinhaltet und zusätzlich müsste dort hinter diesem namen irgendetwas wie rewrite oder recreate stehen.Diese Datei musst du als erstes löschen da nun keine weiteren trojaner erstellt werden kannst du die richtige trojanerdatei unter abgesicherten modus löschen.
So hat es jedenfalls bei mir gefunzt.
Da ich gerade das gleiche Problem hatte hab ich mich damit etwas beschäftigt.Wenn es funktioniert hat schick mir ne mail.
Und zwar gehst du wie folgt vor du öffnest regedit und gibst dort unter bearbeiten glaub ich und suchen den namen der erstellten Trojaner (.dll) Datei ein.Er müsste nun ein programm in der liste finden das den namen des trojaners beinhaltet und zusätzlich müsste dort hinter diesem namen irgendetwas wie rewrite oder recreate stehen.Diese Datei musst du als erstes löschen da nun keine weiteren trojaner erstellt werden kannst du die richtige trojanerdatei unter abgesicherten modus löschen.
So hat es jedenfalls bei mir gefunzt.