Hallo!
Hoffe, ihr könnt mir helfen.
Als icH meinen Rechner hochgefahren habe, kommen immer 2 Fehlermeldungen:
lefz hat in Kernel32.dll einen Fehler verursacht. Lefz wird geschlossen.
Anstatt lefz kommt diese Meldung auch mit MSDY32.
Auserdem habe ich auf dem Desktop eine Meldung von wegen Trojaner.
Ist nur ein Hintergrundbild, kann es aber net mehr ändern.
Brauche dringend Hilfe!!!
MfG.
Marcel
Poste mal Dein aktuelles HijackThis.log.
antivirenprogramm uptaden und im abgesicherten modus suchen....
"C:\WINDOWS\system32\msdy32.exe"
Das ist eigentlich ein Trojaner.
Hi!
Danke für die schnellen Antworten.
Mit dem Hijack-File gibt es ein Problem: der PC, um den es geht, ist der meiner Freundinn.
Daher komm ich da nur selten dran, da wir noch nicht zusammen wohnen.
Aber sobald ich wieder da bin, denke mal, Fr., poste ich.
Ein Virenscan werd ich nochmal´s durchführen, da war jetzt Norton drauf, der hat aber nix gefunden, obwohl geupdatet.
Ich werde es jetzt nochmal mit dem Virenscanner von AVG (AVG Anti-Virus Free Edition), versuchen, mal sehen, ob der was findet.
Oder wisst ihr noch einen guten Viren-Scanner?
Die MSDY32.exe einfach löschen? Am besten doch mit einem Prog., was die Dateien sicher löscht, oder?!
Nun noch eine Frage: Um das ganze Handelt es sich doch "nur" um einen Virus, oder?
Achja, das mit dem Hintergrund hab ich jetzt wieder hin bekommen, hab Ad-Aware und Spybot drüber laufen lassen, die haben dann auch gleich was gefunden...
Danke schon mal für eure Hilfe!
MfG
Marcel
Zitat von: MATZE-ATZE-SCH am 12. Januar 2006, 17:15:45 Uhr
Die MSDY32.exe einfach löschen? Am besten doch mit einem Prog., was die Dateien sicher löscht, oder?!
Lösche die Datei im abgesicherten Modus (F8) und leere vor dem Neustart sicherheitshalber den Papierkorb.
ja im abgesicherten!
und avg kann ich dir empfehlen verwende das selber gerade...
OK, ich werd das morgen ausprobieren.
Aber was hat das mit der lefz-Fehlermeldung auf sich?
Oder gehört das beides zusammen, also wenn eins weg ist, ist das andere auch weg?
PS: Auf dem Rechner läuft Win ME, falls irgendwer von euch das noch braucht...
[Scherz]WinME braucht keiner von uns.[/Scherz] ;)
Ich würd ja gerne was dagegen machen, aber ich darf nicht ^^
Die meldungen die beim Hochfahren kommen, lassen sich wohl darauf berufen das des zeug im Autostart hockt. Schau mal ob du es da raus Löschen kannst.
Ja, werd ich mal versuchen.
Hoffe, das das klappt ^^
Könnt ihr mir noch ein paar tool´s nennen, damit sowas nicht mehr passiert?
Dachte da an folgende: Ad-Aware, Spybot, XP-Anti-Spy, ClearProg, a², SpywareBlaster...
Habt ihr noch mehr, oder würdet ihr etwas ändern?
Danke an alle,
Marcel
Wie sieht es denn bei Dir mit einer Firewall aus?
Sie geht per W-Lan ins Internet...
Ich denke, im W-Lan-Router ist eine Firewall integriert... Genau weiß ich es aber nicht.
Was habt ihr den für empfehlungen in Sachen Firewall?
Wie siehts den mit ZoneAlarm aus? Oder wisst ihr bessere?
Ich kann die sygate Firewall empfehlen. Die Deutsche Version wird noch weiter Vertrieben.
www.sygate.de
Wenn der Router allerdings eine Hardware Firewall hat, sollte es ausreichen. Mit einer desktop Firewall würdest du dann nur noch bestimmen, welches Programm ins Internet sendet.
OK, danke, werd das morgen dann mal fertig machen...
Hallo, ich bins mal wieder ^^
Hab die msdy32.exe gelöscht, das Problem ist jetzt weg. Dafür sind neue aufgetaucht...
Ich hab mal die Details kopiert, und unten noch ein Hijack-Log (erstellt, nachdem die msdy32.exe gelöscht wurde)
Thx für eure Hilfe!!!
Fehler Nr. 1
IEFZ verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 0187:bff6bb07.
Register:
EAX=00000000 CS=0187 EIP=bff6bb07 EFLGS=00000246
EBX=10042708 SS=018f ESP=0063c5f4 EBP=0063c630
ECX=10084750 DS=018f ESI=10042708 FS=2027
EDX=bffbb490 ES=018f EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
10084750 1001c255 10042708 00000000 00762668 10000000 1001cb23 00000000 1001cbb8 10000000 00000000 00000000 00000000 10000000 81922d60 0063c7f8
Fehler Nr. 2
SYSLL verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 0187:bff6bb07.
Register:
EAX=00000000 CS=0187 EIP=bff6bb07 EFLGS=00000246
EBX=02b02708 SS=018f ESP=0064e84c EBP=0064e888
ECX=02b44750 DS=018f ESI=02b02708 FS=599f
EDX=bffbb490 ES=018f EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
02b44750 02adc255 02b02708 00000000 007728c8 02ac0000 02adcb23 00000000 02adcbb8 02ac0000 00000000 00000000 00000000 02ac0000 819b1358 0064ea50
Fehler Nr. 3
IEXPLORE verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 0187:bff6bb07.
Register:
EAX=00000000 CS=0187 EIP=bff6bb07 EFLGS=00000246
EBX=02b02708 SS=018f ESP=0058ea84 EBP=0058eac0
ECX=02b44750 DS=018f ESI=02b02708 FS=1bb7
EDX=bffbb490 ES=018f EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
02b44750 02adc255 02b02708 00000000 006e6408 02ac0000 02adcb23 00000000 02adcbb8 02ac0000 00000000 00000000 00000000 02ac0000 8190ef2c 0058ec88
Das Hijack-Logfile vom abgesichertem Modus...
Logfile of HijackThis v1.99.1
Scan saved at 21:28:01, on 13.01.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von BusinessOnline
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_1.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - (no file)
O2 - BHO: Class - {DEDACC99-C243-AF00-5936-3C8FA5E683C6} - C:\WINDOWS\SYSTEM\IPCH.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: (no name) - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\PROGRAMME\BUSINESSONLINE\BOLOG.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\BUSINESSONLINE\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [4030.TMP] C:\WINDOWS\TEMP\4030.TMP.exe
O4 - HKLM\..\Run: [4042.TMP] C:\WINDOWS\TEMP\4042.TMP.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [MSDY32.EXE] C:\WINDOWS\MSDY32.EXE
O4 - HKLM\..\Run: [SYSLL.EXE] C:\WINDOWS\SYSLL.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe
O4 - HKLM\..\RunServices: [IEFZ.EXE] C:\WINDOWS\SYSTEM\IEFZ.EXE /s
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.telekom.de/bo
Solltest folgendes im abgesicherten Modus fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\arjmq.dll/sp.html#17702%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - (no file)
O2 - BHO: Class - {DEDACC99-C243-AF00-5936-3C8FA5E683C6} - C:\WINDOWS\SYSTEM\IPCH.DLL
O3 - Toolbar: (no name) - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - (no file)
O4 - HKLM\..\Run: [4030.TMP] C:\WINDOWS\TEMP\4030.TMP.exe
O4 - HKLM\..\Run: [4042.TMP] C:\WINDOWS\TEMP\4042.TMP.exe
O4 - HKLM\..\Run: [MSDY32.EXE] C:\WINDOWS\MSDY32.EXE
O4 - HKLM\..\Run: [SYSLL.EXE] C:\WINDOWS\SYSLL.EXE
O4 - HKLM\..\RunServices: [IEFZ.EXE] C:\WINDOWS\SYSTEM\IEFZ.EXE /s
Hallo TMK!
Danke für die Hilfe und das du das Hijackthis-File durchgesucht hast.
Habe die einträge gefixt, und nun läuft alles wieder super *freu*
Und auch an alle anderen, die mir bei dem Prob. geholfen haben!
Thx!!!!!!
Noch nen schönen Abend,
Marcel