29. März 2024, 11:19:20 Uhr

dllcache

Begonnen von blackbasco, 05. Dezember 2005, 17:47:14 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

blackbasco

Hallo,

wir hoffen, hier kann uns jemand die nötigen tips geben!!   :'( :'( :'(

Es ist zum verzweifeln:

Wir hatten diverse viren und würmer auf dem pc, die wir dann dank verschiedenster programme entfernen konnten(antivir, evido-security, mcaffee etc.). Problem ist, wir erhalten immer noch reihenweise werbefenster und haben explorer-probleme. Sobald wir wieder über den ie verbindung ins internet aufnehmen, werden wir auf unzählige seiten weitergeleitet. Darüber hinaus können wir internetseiten immer erst nach mindestens einem aktualisierungsvorgang überhaupt einsehen - und das trotz popup-blocker, firewall usw. !!  ???  :-\

Wir haben gelesen, dass man infizierte dateien, die nicht vom antivirenprogramm in quarantäne gesetzt werden können, zunächst im dllcache-ordner und dann im system32-ordner löschen soll. Unser Problem ist aber, dass wir keinen Zugriff auf den dllcache-Ordner haben (TROTZ ANZEIGE DER VERSTECKTEN DATEIEN).

Nächstes Problem: Wir haben uns hijackthis runtergeladen, finden die betroffenen dateien aber dann nicht in dessen scan-report und werden auch aus den sonstigen reportdateien nicht schlau, welche zu fixen sind und welche nicht.

Die dateien lauten z.B.:

[1128] C\Windows\system32\mgwmdm.dll
[1904] C\Windows\system32\mgwmdm.dll

Darüber hinaus erscheint ständig ein fenster, dass wir, um schäden zu vermeiden, winfixer installieren sollen - den hat ein anderes scanprogramm aber auch schon als infiziert gekennzeichnet...

:hilfe:

TMK

Poste am Besten mal das komplett Logfile hier im Forum.

gschissenberger

und verwendet doch in zukunft einfach firefox statt dem ie.
und deaktiviert unter start/ausführen/"msconfig" eingeben/dienste   ...den nachrichtendienst.
mein rechner  


blackbasco

Zunächst vielen dank für die schnelle antwort  :D

Sofern das anfügen der logfiles klappt....   hier mal die letzten scanberichte von hijackthis, ewido und spy sweeper - (wir hoffen, ihr könnt damit mehr anfangen, als wir  ??? ).

Den firefox haben wir uns schon zugelegt (danke für den tip)  :)

In einer reportdatei kam die meldung, dass der trojaner SdBot 724 nicht beseitigt werden konnte. Können den report allerdings nicht mehr finden. Vielleicht entdeckt ihr davon ja was in den logfiles.



TMK

Okay, da ist einiges nicht in Ordnung. Folgende Einträge sollten in Hijackthis, am Besten im abgesicherten Modus gefixt (entfernt) werden:

O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\Run: [Winupdatee] winsvcc.exe
O4 - HKLM\..\Run: [MS-patch333] winservices.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe
O4 - HKLM\..\RunServices: [MS-patch333] winservices.exe

O4 - Startup: nze.exe

O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)

O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab

O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\mvl4l93q1.dll

Zudem solltet ihr das ServicePack 2 installieren und auch sonst Windows XP auf dem aktuellsten Stand halten.

Folgende Dateien könnt ihr anschließend dann noch manuell löschen:

C:\WINDOWS\System32\winsvcc.exe
C:\WINDOWS\System32\winservices.exe

...und SpyBot über das System laufen lassen:

http://www.spybot.info/de/index.html

Sobald ihr das gemacht habt und der Rechner auch neu gestartet wurde, könnt Ihr ja nochmals ein aktuelles Hijackthis-Logfile hier posten.

blackbasco

Das klingt vielversprechend...bevor wir damit anfangen....mal eine (blöde) frage:

Wie funktioniert das mit dem "abgesicherten modus" (xp prof.) ? Wir sind diesbezüglich absolute anfänger.

TMK

Während dem Hochfahren ein paar mal die F8-Taste drücken, dann sollte irgendwann eine Maske kommen, in der du den abgesicherten Modus aufrufen kannst.

blackbasco

 :) Danke....dann woll'n wir mal....

blackbasco

hallo nochmal,

wir haben jetzt die betroffenen dateien im abgesicherten modus gefixt....die zwei anderen (die wir manuell löschen sollten) wurden uns im system32-ordner nicht mehr angezeigt.

Den spybot haben wir laufen lassen - er hat 24 einträge gefunden und auch behoben.

Hier jetzt das hijack-logfile nach neuestem stand...

p.s.: wir haben immer noch das problem, dass ständig (sobald wir online sind) andere webseiten unsere startseite bügeln ;-(

gschissenberger

Zitat von: blackbasco am 06. Dezember 2005, 20:53:25 Uhr
p.s.: wir haben immer noch das problem, dass ständig (sobald wir online sind) andere webseiten unsere startseite bügeln ;-(

verwendet ihr denn jetzt schon firefox?
http://www.mozilla-europe.org/de/products/firefox/
mein rechner  


TMK

Bis auf folgende Einträge, welche noch gefixt werden sollten, ist das Logfile sauber:

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\g022lafo1d2c.dll

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

blackbasco

 :help:

Die beiden Einträge haben wir auch gefixt (wieder im abgesicherten modus). Und immer noch sind zwei dateien existent, die nicht repariert werden können.

Des weiteren haben wir den servicepack 2 installieren wollen, was jedoch nicht geklappt hat, da offensichtlich ein oder zwei systemdateien zerschossen sind (fehlten dem installationsprogramm). Daraufhin haben wir an diesem pc die xp professional cd durchlaufen lassen - in der hoffnung, der fehler würde dadurch behoben - und danach konnten wir sogar das servicepack 2 installieren. So weit so gut...

Nach der installation wollten wir dann das sp2 updaten.....war nix..... fehlermeldung: kein modem vorhanden
(wir haben ewetel isdn mit fritzcard) !!  Also haben wir gedacht... ewetel deinstallieren, neu installieren usw. ... aber fehlanzeige.... eine installation ist nicht möglich.

Dann wollten wir zur sicherheit unsere wichtigsten daten auf dem pc sichern, um im notfall alles runterschmeissen und neu installieren zu können - aber auch die datensicherung (kopie auf cdr) klappt nicht.

Dazu kam das problem, das spybot mit der installation vom sp2 nicht einverstanden zu sein schien... es kam beim hochfahren des pc's eine nur halb zu lesende fehlermeldung von spybot ".... register...veränderung nicht zulässig...." mit nicht lesbaren buttons wie weiter verfahren werden soll (da die bottons nicht lesbar waren, haben wir das fenster geschlossen und dann spybot wieder deinstalliert).

nun sitzen wir hier....nix geht...  :'( :'( :'(

da wir nicht zum aufgeben geboren sind *g*.... deinstallieren wir gerade das sp2 wieder... in der hoffnung, dass danach die datensicherung schon mal wieder funktioniert...

TMK

Würde wohl die wichtigsten Daten noch sichern und dann WinXP (inkl. SP2) komplett neu installieren. Eine Anleitung wie man eine entsprechende XP-CD erstellt, findet man hier:

http://www.hardwareecke.de/berichte/windows/winxp_sp2_boot_1.php

blackbasco

 :banghead: :closed:

Soweit alles prima.....cd ist erstellt.....bios ist so eingestellt, dass das cdrom laufwerk vor c abgefragt wird.... hilft uns leider bei dem pc nichts....er fährt trotzdem c hoch.... keine chance, eine cd oder auch floppy disk zu booten!!!!

Hiiiilllfeeeee.....was nu?????? das gerät aus dem fenster schmeissen???

TMK

Kannst ja im Bios die Festplatte mal komplett als Bootdevice entfernen. Vergiss nicht auf eine Taste zu drücken, sobald die entsprechende Meldung während dem Bootvorgang von CD dazu kommt, sonst bootet er immer wieder automatisch von der Festplatte.

blackbasco

 :)  :(
der tip war gut...danke :-)

leider haben wir dann beim installieren feststellen müssen, dass die festplatte einen fehler hat (installation wurde deshalb vom programm abgebrochen)

wir haben es dann mit einer partitionierung erneut versucht....leider ließ sich dann bei der installation aber nicht mit F8 die registrierung starten .... so muss wohl jetzt eine neue festplatte her....aber besser die, als ein neuer pc