Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

DLL Datei/Trojaner löschen





Frage

Ich habe mir einen dummen Trojaner eingefangen. Hijack bringt folgende Logs: Logfile of HijackThis v1.99.1 Scan saved at 01:44:37, on 07.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\system32\svchost.exe C:\windows\system32\rundll32.exe C:\windows\system32\spoolsv.exe C:\windows\system32\Ati2evxx.exe C:\windows\Explorer.EXE C:\Programme\NETGEAR\Utility\NetgearAG.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Rainlendar\Rainlendar.exe C:\Programme\ObjectDock\ObjectDock.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\windows\system32\tcpsvcs.exe C:\windows\system32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Dokumente und Einstellungen\Steffen\Eigene Dateien\HijackThis.exe O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Utility\NetgearAG.exe -hide O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O20 - Winlogon Notify: SMDEn - C:\windows\system32\q686lgls16q6.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Ich weiß dass die "q686lgls16q6.dll" Datei der Trojaner ist. Doch ich hab keine Möglichkeit diese Datei zu löschen. Über die Funktion "fix" bei Hijack geht es nicht. Auch im abgesicherten Modus hab ich keine Chance. Das Komplizierte an dem Problem ist, dass die Datei nach jedem Neustart umbenannt wird. Also habe ich auch keine Möglichkeit mit Hilfe andere Programme die Datei zu löschen. AUch mit Killbox funktioniert es nicht. Ich hoffe es hat von euch jemand eine Idee. Danke Gruß Steffen

Antwort 1 von Oke

Hast Du mal versucht einen neuen Benutzer mit Adminrechten anzulegen und von dort aus die Datei zu löschen?

Antwort 2 von gast25

systemwiederherstellung deaktivieren

Antwort 3 von willy_wombat

Zeigt beides kein Erfolg :/ !

Weitere Ideen?


AV, Spybot und Ad-Aware erkennen den TRojaner auch nicht

Antwort 4 von Das_Urmel

Zitat:
Weitere Ideen?


Sicher doch, die wird dir aber nicht gefallen?

HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon
Da würde ich einen der Initatoren deines Problems suchen.
Weiterhin "unnormale" Dateinamen in Windows und System32 die das Löschen der Datei verhindern.

Solange du abgesichert, aber mit Explorer startest, bist du von vornerein verloren -chancenlos.
bye
Michael

Antwort 5 von Solo

Hi, wenn du den Namen des Trojaners hast, gib ihn mal bei Googl ein. Da gibt es auch Anleitung, wie du ihn wieder los wirst.

MfG

Antwort 6 von RunningBug

Hey ich hab noch nen Tip für dich.
Da ich gerade das gleiche Problem hatte hab ich mich damit etwas beschäftigt.Wenn es funktioniert hat schick mir ne mail.
Und zwar gehst du wie folgt vor du öffnest regedit und gibst dort unter bearbeiten glaub ich und suchen den namen der erstellten Trojaner (.dll) Datei ein.Er müsste nun ein programm in der liste finden das den namen des trojaners beinhaltet und zusätzlich müsste dort hinter diesem namen irgendetwas wie rewrite oder recreate stehen.Diese Datei musst du als erstes löschen da nun keine weiteren trojaner erstellt werden kannst du die richtige trojanerdatei unter abgesicherten modus löschen.
So hat es jedenfalls bei mir gefunzt.

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: