Auswertung der Logfile

Hallo!

Hatte mich mit meinem Problem zuerst im "Xp - Forum" gemeldet; melde mich zur Sicherheit jetzt doch einmal hier

Hier erst ein mal der Link zum alten Forum, damit ich das jetzt nicht in einem Roman erklären muss....:

http://www.pcwelt.de/forum/thread166363.html

Dazu dann der Link zur HJT-Logfile-Auswertung:

http://www.hijackthis.de/logfiles/20990a32f10e1ad0643363bc9ee39aa3.html

Wie schon im XP-Forum erwähnt, bin ich Laie auf diesem Gebiet und folglich dankbar für Hilfe!

 

Hallo,
wie auch schon in dem anderen Thread vermutet kommt mir ide Datei hier komisch vor:
C:\WINDOWS\system32\rDcpldlg.dll
überprüfe sie mal hier


Grüße Jasager

 

File kann nicht hochgeladen werden!

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

 

Hallo,
versuche mal das ganze im abgesicherten Modus(F8 beim booten). Wenn das nicht funktioniert lass mal Escan drüberlaufen.


Grüße Jasager

 

Nachdem ich im abgesicherten Modus genauso gescheitert bin wie vorher, habe ich eScan wie empfohlen mal drüberlaufen lassen: 4 Viren gefunden.

Ehrlichgesagt bin ich mir jedoch nicht im Klaren, wie ich nun weiter vorgehen soll? Inwiefern kann ich die mwav.log-Datei von eScan denn jetzt weiter verwenden/auswerten/auswerten lassen?

Dank und Grüße

 

Poste einmal die Namen der gefundenen Viren (die die Kaspersky-Engine von eScan ausgespuckt hat).. wir müssen eine Google Recherche durchführen um zu sehen wie gefährlich die Viren sind und ob der Rechner noch zu retten ist.

Wolfgang77

 

Die Auswertung machen wir, die Viren werden per Handarbeit und mit HiJackThis entfernt.

Wolfgang

 

Erläuterungen zu O20-Einträgen in HiJackThis

O20 - AppInit_DLLs-Autostarteinträge in der Registry

Beispieleinträge:
O20 - AppInit_DLLs: msconfd.dll

Dieser Registry-Wert, zu finden unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,
lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art. Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt.

Wolfgang

 

Wenn ich mich jetzt nicht total vertue, dann dürften zumindest dies hier die Virennamen sein (zumindest sind solche auch in der Virenliste genannt):

Unter C:\WINDOWS\system32\oneacc.dll "not-a-virus:AdWare.Look2Me.ag"

Unter C:\WINDOWS\system32\vzdex.dll "not-a-virus:AdWare.Look2Me.ag"

Und dann noch folgende zwei:

Object "AltNet Spyware/Adware" found in File System!

Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System


Hinzu kommen noch "66 Errors".....

 

Sagt die eScan-Log nichts zu der "rDcpldlg.dll" die fällt durch ihren raffinierten Starteintrag besonders auf siehe Erläuterungen zu O-20..

Wolfgang

 

Seit vorhin schleicht sich beim Öffnen von Websites folgende Fehlermeldung ein:

Microsoft Visual C++ Runtime Library

Buffer overrun detected!

Program: C:\WINDOWS\system32\rundll32.exe
A buffer overrun has been detected which has corrupted the program's internal state. The program cannot safely continue execution and must now be terminated.

 

Verwende einmal Spybot-S&D gegen die Adware und Spyware auf deiner Maschine..

Download:
http://download.freenet.de/download.php?file_id=4656&download=spybot_search_und_destroy

 

Hallo,
hat er wahrscheinlich schon versucht, Eintrag im HjT-Log:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Ich würde vorschlagen mal die 4 Dateien die Escan gefunden hat manuell zu löschen. Was mit der rDcpldlg.dll ist weiss ich jetzt auch nicht, aber vielleicht ist das jetzt die vzdex.dll und wird bei jedem Neustart generisch neu erzeugt, ist aber nur eine Vermutung. Also erstmal die Systemwiederherstellung deaktivieren:
Rechtsklick auf Arbeitsplatz, Eigenschaften, bei Systemwiederherstellung deaktivieren den Haken reinmachen. Dann im abgesicherten Modus starten und die vier von Escan monierten Dateien löschen. Erstell dann noch mal ein Hijackthis Logfile und poste es wieder.
Hattest du eigentlich schon mal früher Probleme mit Viren/Würmern?


Grüße Jasager

 

Spybot benutze ich schon seit langem; scheint zur Zeit trotz Updates bei mir jedoch nicht sonderlich effektiv gegen Spyware zu sein

Habe in der mwav.log noch einmal nachgesehen, die rDcpldlg.dll - Datei wurde gescannt, aber es stand keine weitere Bemerkung dort...

 

Naja, auf einen Versuch käme es an, obwohl ich noch bezweifle, dass die sich so ohne weiteres löschen lassen....

Also bisher hatte ich nie Probleme mit Viren o. ä. - Aber vielleicht wusste ich es auch nicht

 

Hallo,
falls sie sich nicht löschen lassen gibt es dan noch ein feines Tool in der Misctool section von Hijackthis, "delete on reboot" da dürften sie sich dann spätestens mit löschen lassen. Vielleicht läßt du deinen Rechner mal noch zusätzlich mit Adaware und mit Microsoft Antispyware .


Grüße Jasager

 

Die Zahl der gefundenen Viren bei eScan hat sich ein klein wenig gesteigert:

319 Error;57 gefundene Viren:
darunter vor allem

not-a-virus:Adware(...)
Trojan-Clicker(...)
Trojan-Downloader(...)
Exploit.HTML.Mht

 

Hallo,
also wenn du mich fragst ist dein System komromittiert und gehört neu aufgesetzt, gerade bei den weiteren Auswirkungen die sich gezeigt haben. Kannst du mal noch die Trojan-clicker und die Trojan-downloader Einträge posten, es wundert mich ja doch wie es geschaft wurde das in Hijackthis quasi nichts zu sehen ist.Von Norton hätte ich ja sowieso nichts anderes erwartet Ansonsten hier noch eine Anleitung zum Neuaufsetzen.


Grüße Jasager