Trojaner, chorp.dll

  • #1
F

FIGHTER

Bekanntes Mitglied
Themenersteller
Dabei seit
09.08.2001
Beiträge
60
Reaktionspunkte
0
Hallo.
Ich habe ein Problem. Mir wird jedesmal, wenn ich den IE erneut starte, gesagt, dass ein Trojaner vorhanden ist und mir wird die Auswahl gegeben die Datei CHORP.DLL zu löschen.
Die Datei wird jedesmal beim Neustarten eines IE Fensters in Windows/System32 erstellt.
Jetzt gerade, als ich hier am Tippen war, kam eine andere Trojanermeldung. Das ist TR/Dldr.Agent.Z.2 . Dabei wird die Datei mfcgx.exe in Windows/System32 erstellt. Das kommt wohl immer wieder nach bestimmter Zeit vor, da es auch gerade passiert ist.
Ich habe gerade aber mit AntiVir Xp scannen lassen, er hat nix gefunden.
Außerdem wurde gerade, als ich Wintotal.de (OHNE www davor ) eingetippt habe, folgende Seite angezeigt:
res://chorp.dll/url_error.html

Diese Seite war auch Startseite, bevor ich die Startseite wieder umgeändert habe.

Könnt ihr mir einw enig helfen?
Ich werde außerdem wieder versuchen, die Hijacker, sofern vorhanden, zu löschen.
Danke.
 
  • #3
--------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 14:33:10, on 23.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\appky.exe
C:\Dokumente und Einstellungen\Israfil\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://chorp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://chorp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [appky.exe] C:\WINDOWS\appky.exe
O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - HKLM\..\RunOnce: [mfcgx.exe] C:\WINDOWS\system32\mfcgx.exe
O4 - HKLM\..\RunOnce: [appqz.exe] C:\WINDOWS\appqz.exe
O4 - Startup: 75 Hz.txt
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra->Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F53C8F5-D9DA-4654-97B7-698C59DFB188}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F53C8F5-D9DA-4654-97B7-698C59DFB188}: NameServer = 217.237.151.225 194.25.2.129

--------------------
 
  • #4
Für den sp-Hijacker ist doch ein Tool verlinkt im Tipp ;)
 
  • #5
hab das tool ja auch geladen, hab mit hijackthis auch viel gefixed, aber es geth noch nicht. Wenn ich immer ein IE-Fenster neu starte, dann kommt der Fehler noch. CW Shredder hat auch nix gefunden.
Der andere Trojaner wird auch noch gemeldet. Was genau muss ich denn alles mit hijackthis entfernen ?

Ich hab übrigens so ein appzq oder wie das hieß, gefixed glaube ich. Es muss jedenfalls so gewesen sein, denn gerade beim Neustart von XP sagt mir das System, es hätte dieses appzq nicht gefunden.
 
  • #6
Dann poste nochmal ein aktuelles Log, ich kann ja nicht riechen, was du gefixt hast und was nicht ;)
 
  • #7
Hi Fighter,

hat es dich schon wieder erwischt.

Wie sieht es denn mal mit nen alternativen Browser aus?
 
  • #8
------------------------------------
Fighter schrieb:
Running processes:
C:\WINDOWS\appky.exe
Zum Vergrößern anklicken....
vorher den Prozess gekillt, bevor du ihn gefixst hast? ???

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://chorp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://chorp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\chorp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Israfil\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Zum Vergrößern anklicken....
und wieder diese Nummer 96676, lies hier:


O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
Zum Vergrößern anklicken....
O4 - HKLM\..\Run: [appky.exe] C:\WINDOWS\appky.exe
Zum Vergrößern anklicken....
O4 - HKLM\..\RunOnce: [mfcgx.exe] C:\WINDOWS\system32\mfcgx.exe
Zum Vergrößern anklicken....
O4 - HKLM\..\RunOnce: [appqz.exe] C:\WINDOWS\appqz.exe
Zum Vergrößern anklicken....
obere Link lesen und dann die exe und dll's Dateien löschen.
-----------------------------------

pan_fee
 
  • #9
Erst einmal Danke.
Jetzt geht alles wieder. Ich installiere gerade Netscape Navigator. Mal sehen ob das dort auch passiert.

Welche exe und DLL Dateien soll ich denn löschen?
appq.exe habe ich gelöscht, der Prozess war im abgesicherten Modus sowieso nicht aktiv.
Welche anderen meint ihr noch? Ich habe den Link gelesen, und auch mein System selber nach den dort aufgeführten Dateien in Windows und System32 durchsucht, aber diese waren bei mir gar nicht drauf. Und momentan läuft alles wieder gut.
Also, welche exe und dll's meitnet Ihr in dem Link und bei mir im Eintrag?
 
  • #10
Na die vier Stück die Pan_Fee für dich markiert hat.

O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll

O4 - HKLM\..\Run: [appky.exe] C:\WINDOWS\appky.exe

O4 - HKLM\..\RunOnce: [mfcgx.exe] C:\WINDOWS\system32\mfcgx.exe

O4 - HKLM\..\RunOnce: [appqz.exe] C:\WINDOWS\appqz.exe
Zum Vergrößern anklicken....

Und wieso Netscape?
Versuche mal Firefox ;)
 
  • #11
Jo, also die ganzen Sachen sind wohl nicht mehr drauf. Wieso Firefox, was spricht dafür ?
 
  • #12
Alles, was gegen den IE spricht, denn diese Problematiken gibts weder im Firefox noch unter Opera.
Musst dich mal ein bissel informieren auf entsprechenden Sicherheitsseiten.
 
  • #13
Fighter schrieb:
Wieso Firefox, was spricht dafür ?
Zum Vergrößern anklicken....

M.E. basieren Firefox und Netscape auf der Mozillatechnik.
Bei Firefox ist aber nur das benötigte zum Browsen im Internet vorhanden. Er ist ein schlanker und schneller Browser ohne Schnickschnack.
Dazu gibt es genug Infos im Netz.
Schlussendlich sollte aber dein eigener Geschmack darüber entscheiden.
 
Thema:

Trojaner, chorp.dll

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben