Virus, Wurm oder Trojaner?

[turrican75]

Hi,

mein Kumpel hat eben angerufen und meinte das sein PC spinnt.

AntiVir meldet beim starten von WinXP und dann beim starten von fast jedem Programm folgende drei Dateien als infiziert.

C:\Windows\System32\OLEEXT.DLL
\WININET.DLL
\WINSTYLE3.DLL

Ein löschen dieser Dateien bewirkt nichts, beim nächsten Aufruf eines Programmes kommen diese Meldungen wieder.

Er konnte im abgesicherten Modus noch nen Scan mit dem STINGER und AntiVir durchführen, hat aber nix gebracht.

Da ich nicht vor Ort bin, kann ich keine weiteren angaben dazu machen, die suche hier auf dem Board hat mir vorerst auch nicht weitergeholfen. Bin für jeden Tip dankbar.

 

[unskilled]

www.google.de

WINSTYLE3.DLL = Trojan.Downloader.Delf.H
OLEEXT.DLL = Troj/Spyjack-E

hijackthis hilft dir auch.
kannst ja mal das logfile posten.

so long

 

[turrican75]

@ unskilled, hast recht, manchmal bekommt man bei google auch treffende ergebnisse.

Kann man diese Dateien gefahrlos löschen, und ist das problem damit behoben?

Werd schon mal bei google nach der antwort suchen, aber wenn du es weißt, wäre schön wenn du postest.

hijackthis kann ich je erst ausführen wenn ich mal bei meinem Kumpel vorbeischaue, was wohl morgen der Fall sein wird.

 

[unskilled]

also WINSTYLE3.DLL & OLEEXT.DLL kannste löschen. die andere wird nicht zu löschen sein, weil die in benutzung ist.
also am besten du postest mal was für prozesse laufen -taskmanager- und vllt auch nochmal die startprozesse. (kriegste mit msconfig)
dann kann ich dir sagen was du machen kannst.

so long

 

[+++ATH0]

Also ich habe gerade meine Wininet.dll und meine kernel32.dll gelöscht. Ging alles

 

[unskilled]

so war des net gemeint. natürlich sollte er die Wininet.dll net löschen.

 

[+++ATH0]

die andere wird nicht zu löschen sein, weil die in benutzung ist.

Das ist falsch, man kann sie trotzdem löschen, auch wenn andere Prozesse sie schon gemappt haben.

 

[unskilled]

achso. hmm naja ich kanns net probieren habe kein xp!

 

[turrican75]

so, jetzt habe ich mal nen hijach-log

Logfile of HijackThis v1.99.0
Scan saved at 20:12:32, on 02.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll (file missing)
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {4418F36B-A9B2-4B80-8A3B-E44A4449F8C9} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {46C2A3C4-B861-468F-9F86-9D5943770038} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AC425807-4334-41D5-BAB9-15C8F6A7B4C8} - C:\WINDOWS\dkcpsapi.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll (file missing)
O2 - BHO: (no name) - {D714A94F-123A-45CC-8F03-040BCAF82AD6} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {F988CA85-C1B7-4E9A-986F-3BE8B5227702} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: SideStep - {3E230861-5C87-11D3-A1C6-00105A1B41B8} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {640B39C1-D713-464F-92C3-75BD972B95EE} - http://www.sidestep.com/get/k42037/sb02a.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.199.19.44/activex/AxisCamControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe


ich werde da nicht schlau draus, ihr vielleicht?

 

[unskilled]

http://www.hijackthis.de/

da kannste das logfile auswerten!

 

[turrican75]

so, nun habe ich mit dem Smitfraud Remover das System Clean bekommen, bekomme aber seitdem beim Starten von WinXP und bei so manchen Programmen folgende Fehlermeldung:

Der Prozedureinsprungspunkt "SHRegGetValueW" wurde nicht in der "SHLWAPI.dll" gefunden

Bin grad am recherchieren, aber fals jemand was drüber weiß, wäre nett wenn er es posten würde.