notepad.exe befallen! Oh je!

#16 Die rundll32.exe befindet sich im Verzeichnis c:\windows\system32\.

Die Eiträge habe ich gefixt.

Das tritt jeden Mal nach dem Windowsstart auf.


Viele Grüße
Eyeliner

#17 Da gehoert die rundll32 auch hin, was das verursacht ist aus dem Log nicht zu ersehen. Wohin will die rundll32 denn hin? Zu welcher IP Adresse? Ist halt schwer zu sagen, Zonealarm ist auf dem neusten Stand denke ich?
__________
MfG Ralf
SEO-Spam Hunter

#18 Jetzt ist das Problemchen zum Problem geworden.

Ich kam plötzlich nicht mehr ins Internet (das ist an diesem PC noch immer der Fall)!
Dann habe ich bemerkt, dass wieder folgende Einträge von Hijjackthis gefunden werden konnten:
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
Die habe ich erneut gefixt! Aber sie kamen immer wieder.

Wie kam ich auf die Idee? Ich weiß es nicht mehr (hab's irgendwo gelesen), aber jedanfalls dachte ich, dass die svchost.exe dafür verantwortlich ist. Der Taskmananger zeigte mehrere Prozesse der svchost.exe an.
Irgendwann habe ich es geschafft, alle zu beenden und habe die c:\windows\system32\svchost.exe und die c:\windows\system32\svcpack.dll gelöscht.

Das war wohl ein großer Fehler!
Nun kann ich noch immer nicht ins Internet, aber die Probleme häufen sich.
Windows läuft wohl nicht mehr richtig rund. Z.B. wird die Taskleiste nicht mehr angezeigt.

Wie kann ich mich jetzt noch retten?

Eure
Eyeliner

#19 Diese Datei zu loeschen war "toedlich" fuer dein Betriebsystem: c:\windows\system32\svchost.exe ! Warum hast du nicht nachgefragt?

Schreibe mir eine PM und ich kann dir die Dateien zuschicken, WinXP SP1 habe ich hier auch noch.

Hast du die Datei C:\WINDOWS\sdkqh32.dll schon an virus@protecus.de geschickt?
__________
MfG Ralf
SEO-Spam Hunter

#20 Ja, ich habe irgendwo im Internet gelesen, dass man das löschen sollte! Tja, das war blöde!

PM kommt!(Ich danke dir!)

virus@protecus.de habe ich natürlich die Datei geschickt.

Viele Grüße
Eyeliner

#21 Hallo,

Ich hab mich grad extra hier angemeldet weil ich das Problem mit der Notepad.exe ebenfalss habe!

Um nicht genauso zu enden wie eyeliner ... frag ich lieber nach was ich löschen soll!

Ich hab mit Hijackthis gescannt, gefixt, gespeichert!

Hier jetzt mein Log, Ich hoffe, das mir einer sagen wird was ich jetzt wie machen soll!



Logfile of HijackThis v1.97.7
Scan saved at 13:45:18, on 28.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Wecker6\Wecker.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
E:\icq-received\Yakup\CCC\txccc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\eMule\eMule.exe
C:\Programme\ICQPlus\VPlus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Soulseek\slsk.exe
C:\Dokumente und Einstellungen\ABE-hater\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1400.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\PROGRA~1\Lycos\IEagent\Loader.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe
O9 - Extra button: Sidesearch (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF973E9-21D2-4BCE-AB51-9DE67165A7C4} (ActiveGL Control) - http://nl.mirrors.gtaskins.com/viewer/modelviewer.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37850.8998032407
O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F88333DA-6974-4572-9296-9113A831268A}: NameServer = 217.237.151.33 194.25.2.129




Ich hoffe mir kann jmd helfen ...
Vielen Dank im voraus!
MfG

Jeda

#22 @jeda

scanne mit dem HijackThis, dann hake an, was ich poste und fix

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm

O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file)

O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe

neustarten


loesche
C:\WINDOWS\twaintec.dll

Lade
#Adaware free ...update und scanne
http://www.lavasoft.de/
#Spybot
http://beam.to/spybotsd
#Cwhredder
http://www.spywareinfo.com/~merijn/downloads.html

#Mit dem XP/Clean, Version 5.5. musst du die Hostdatei ueberpruefen,

81.211.105.69 loeschen
81.211.105.68 loeschen

http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm

#Lade escan ...mwav.exe und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

#Loesche unter InternetOptionen die TemporaryInternetFiles .

1.Poste dann bitte das Endergebnis vom Scann des Tools mwav.exe
2.Beschreibe genauer die Probleme mit dem notepad
3.Poste das Log noch einmal.
.............................................................................................
Kannst du sagen, ob dir das ein Begriff ist ????
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
The National Sourcing Database ????????/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo,
neulich habe ich mir auch den Trojaner reingeholt, der die Startseite im IE auf about:blank ändert. WEnn man "about:blank" in google eingibt, erhält man genügend Lösungvorschläge. Doch alle Versuche, die Registry zu ändern - HomeoldSP und Zugriffe auf sp.html löschen etc. - wurden wieder rückgängig gemacht. Im Ordner "Windows/system32" tauchte immer wieder "sp.html" auf. Zum Glück wusste ich etwa die Uhrzeit, zu der der Rechner befallen worden war. Und unter den Dateien, die zu der Uhrzeit verändert worden waren, befanden sich notepad.exe und eine Datei namens pdll.dll.
Wenn man im Windows-Explorer nach "notepad" sucht, taucht ein notepad.exe auch im dll-Verzeichnis auf. Das ist das Übel Nr. 1! Ich bin in den abgesicherten modus und hab' es gelöscht. In der verbliebenen Version von Notepad.exe hat sich in dem Moment ganz von selbst auch das Erstellungsdatum automatisch auf das Jahr 2001 zurückgesetzt!!! Außerdem habe ich pdll.dll (Übel Nr. 2) gelöscht und die Anwendung über BHO-Demon disabled. (Andersrum wäre es allerdings wohl klüger...)
Das war wohl der Befreiungsschlag! Ich habe dann - immer noch im abgesicherten Modus - wie vielerorts beschrieben erneut die Registry geändert. Seither läuft der PC fehlerfrei. Notepad.exe hat allerdings immer noch eine Macke. Mal sehen, wo ich ein fehlerfreies herbekomme...
Ich weiß nicht genau, was ich alles gemacht habe, aber in der Summe war's wohl richtig. ;-)

#24

Zitat

raman postete
Nagut, knapp daneben ist auch vorbei.

Versuche es mal hiermit:

Diesen Scanner( http://www.mwti.net/antivirus/free_utilities.asp ) herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann, im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen.
Hier die mwav.exe runterladen


abgesicherter Modus:
http://www.bsi.de/av/texte/winsave.htm

vielen Dank!
Du hast mir (uns) geholfen, möge Gott dir helfen!

#25 Hallo Ihr,

Sry, ich war ne Woche im Urlaub! (Leider hat das meine Probleme nicht weniger gemacht!)

Also ...
Ich hab jetzt alles gemacht wie du gesagt hast Sabina!

Erst mit Hijackthis ... und dann auch sämtliches runtergeladen! (adaware/XPClean/eScan ....!!! spybot und cwshredder hat ich bereits!)
Hat erschreckender Weise ne Menge gefunden! :/

Allerdings muss ich gestehn, dass ich mit XPClean nicht klar kam ... und insofern auch nicht wusst wie ich die Hostdatein finden bzw. löschen könnte ...
(kannst Du mir das nochmal erklärn?)


Dann bin ich mir nicht sicher welche Logs Du nun brauchst!
Der von eScan ist ja sowas von gross ... wolltest Du den?
(sry ... aber ich bin wirklich noch grün in der Hinsicht!)


Meine Notepad.exe ist(so glaub ich) komplett im ***** ... zumindest kann ich keine Textdokumente mehr öffnen!! (und ich wüsste nicht woran das sonst liegen kann!) ... Weisst du wie ich die jetzt wiederherstelle? Oder wo ich sie neu herkriege? (((alles nich mehr schön langsam!)))



.............................................................................................
"Kannst du sagen, ob dir das ein Begriff ist ????
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
The National Sourcing Database ????????/ "


...............................................................................................

Nein, ist mir absolut kein Begriff ... und ich habs auf meinem Rechner gesucht,
und auch nix gefunden! (ich schätze Gott sei Dank!)



Dann hab ich eine Frage zu raman's Beitrag! Und zwar soll man die mwav.exe in c:\bases entpacken ... (WICHTIG!!!) ... ?!?
(Wieso find ich das Verzeichnis nicht?) und was passiert wenn ichs nicht dort entpacke?



Fragen über Fragen ... vl kannst Du/Ihr mir ja nochmal helfen!?!? :)
Vielen Dank! Und schönen Abend erstmal! Ich schau morgen wieder rein!
Jenny

#26 @jeda

Ich antworte dir auch morgen, heute gehts nicht mehr, denn es sind zu viele Dinge, die ich zusammensuchen muss.
Bis Morgen
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo,

... und es wird und wird nicht besser!!

Ich wollt grad auf ne Seite ... und da bin ich gelandet!
http:///?%20modernrocklyrics.com
Diesen komischen **** macht er jetzt immer vor alle Seiten!

Mir ist klar wie ich das geändert kriege ... unklar allerdings wie ich es hinkriege das diese Startseiten nicht immer wieder kommen!!

HILFE SABIIINA!

#28 jeda


Vom alten Log ausgehend
Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1400.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file)

O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\PROGRA~1\Lycos\IEagent\Loader.exe

O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

neustarten
und gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
Konfiguriere
Antivirus-Einstellungen :

Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

Mache einen Vollscann

#Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 Lokalhost drinstehen .
Alles andere loeschen

normal neustarten


Lade
#Adaware free ...update und scanne
http://www.lavasoft.de/
#Spybot
http://beam.to/spybotsd
#Lade mwav.exe und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp
#Lade spysweeper
http://www.spysweeper.com/download.html
#Loesche unter InternetOptionen die TemporaryInternetFiles .

1.Poste dann bitte das Endergebnis vom Scann des Tools mwav.exe UND DAS LOG NOCH EINMAL.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo erstmal an alle ich bin neu hier und hab das selbe Problem

Scanned file: Notepad.exe

Notepad.exe - infected by TrojanDownloader.Win32.Small.ix


ich hab mir jetzt das hijackthis runtergeladen und weis jetzt nicht genau was ich weiter machen muss

MfG Luki

wie kopier ich die sachen von hijack hier rein? ich kann die nicht makieren *dumb* :-)

thx 4 Help

#30 baddi
nach dem <scann< mit dem HijackThis, drueckst du auf <save< und das kannst du kopieren....hier ins Forum.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit