SB Soft, gelöscht aber immer wieder da

#16 Hallo Profi Sabina,

bin mit diesem blöden "sb soft" auch infiziert worden und bin auf der Suche nach Hilfe hier gelandet. Schau dir mal bitte mein "HiJackThis" an. Echt nervig wenn ich wieder "Format C:" machen müßte :-( ...hilf mir biiiiitte :-)

Logfile of HijackThis v1.98.2
Scan saved at 22:11:21, on 23.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\AUDIO\PROGRAM\CTMIX32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\t-online\BSW4\ONLINE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\PROGRAMME\ATI MULTIMEDIA\MAIN\LAUNCHPD.EXE"
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1225f8dbc043ba2e1c05/netzip/RdxIE601_de.cab

Oje, oje ..dieser BuchstabenZahlenSalat.. hehe[/b]

#17 Hallo @funklover007

Fixe mit dem HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

neustarten


#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*

#Loesche:
C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

Stelle eine neue Startseite ein und poste das Log noch mal.
_________________________________________________________________

Falls die Malware dann noch nicht weg ist:
Das "eScan AV Toolkit" (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
im entpackten Scanner Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
und scannen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Ein Hallo und Dankeschön an alle „Profis“ in diesem Forum.

Auch ich hatte das hier ausführlich erörterte Problem mit dem nicht löschbaren Ordner „SBSoft“. Dank der detaillierten Anweisungen ist es mir gelungen mittels „Hijack“ den Ordner zu entfernen sowie dem IE sein altes „Gesicht“ wiederzugeben. Allerdings habe ich wohl etwas zu viel des Guten getan, denn seit der Bereinigung des PC lässt sich die Hilfefunktion von XP (Windows-Starttaste – Hilfe u. Support) nicht mehr aufrufen.

Frage an die Profis: Ist dieser Schaden reparabel oder muss XP (Home Edition) neu aufgespielt werden?

Dann habe ich hier im Forum gelesen, dass man Viren- und Trojaner mittels eines Browsers namens „Mozilla-Firefox“ vom PC fernhalten könne. Ist das wirklich uneingeschränkt zutreffend? Mein PC wurde übrigens trotz Norton Internet-Security (monatlich mindestens zwei neue Updates) mit dem o.a. Ordner infiziert. Würde der Mozilla-Browser zusätzliche Sicherheit bringen?

Allen ehrenamtlichen Helfern dieses Forums schon an dieser Stelle herzlichen Dank für die uneigennützige Hilfe.

#19 Hallo @HugoRatlos

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Ueberpruefe, ob der Dienst fuer den Hilfe u. Support aktiviert ist. (automatisch)

#Hilfe und Support funktioniert nicht mehr
Durch den Einsatz von Registry-Cleanern, insbesondere EasyCleaner, kann es passieren, daß "Hilfe und Support" sich nicht mehr starten läßt. Durch die Korrektur der Registry kann man diesen Fehler beheben.

Dazu müssen die 11 Zeilen zwischen "beginn" und "ende" in eine Textdatei kopiert werden. Achte bitte auf eventuelle, nicht beabsichtigte Zeilenumbrüche. Diese Datei dann in hilfe.reg umbenennen. Durch einen Doppelklick auf die Datei wird die Registry modifiziert. Jetzt noch einen Reboot und die Hilfe sollte wieder funktionieren. Sofern Windows im Verzeichnis c:\Windows installiert ist, kann auch einfach die Datei hilfe.reg heruntergeladen werden: Registrierungsdatei Hilfe.reg
http://www.derfisch.de/hilfe.reg

Achtung: Eventuell muß in den Zeilen 5, 7, 9 und 11 der Laufwerksbuchstabe "C:" durch den entsprechenden ersetzt werden.

-------------------------- beginn --------------------------
REGEDIT4
; Restore Help access in Windows XP caused by ToniArts EasyCleaner
; 12:21 AM 10/10/2001
[HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{FC7D9E00-3F9E-11D3-93C0-00C04F72DAF7}\1.0\0\win32]
@="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\\1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{FC7D9E00-3F9E-11D3-93C0-00C04F72DAF7}\1.0\HELPDIR]
@="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\\"
[HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{FC7D9000-3F9E-11D3-93C0-00C04F72DAF7}\1.0\0\win32]
@="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\\2"
[HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{FC7D9000-3F9E-11D3-93C0-00C04F72DAF7}\1.0\HELPDIR]
@="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\\"
-------------------------- ende --------------------------

Um das Problem beim erneuten Einsatz von EasyCleaner zu vermeiden, sollte bei dem Aufruf des Punktes "Registry säubern" der Begriff Help bei "Ignoriere" hinzugefügt werden.
http://www.derfisch.de/xpnf.php#19

____________________________________________________________________________
Natuerlich haelt der Mozilla die Malware nicht "fern"
Es gibt Viele verschiedene Moeglichkeiten, den PC zu infizieren.
Wichtig ist, alle Windowsupdates geladen zu haben, eventuell eine Firewall (oder Router zu haben, den Antivirus immer zu updaten, un die Sicherheitseinstellungen im Browser auf mittel oder hoch zu stellen.

#IE Spyad (ueber DOS)
http://www.pctipp.ch/downloads/dl/27634.asp
IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers.
Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks.

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/
Für Mozilla gibt es leider mittlerweile auch mehrere Exploits, weil die Hacker gemerkt haben, dass viele umgestiegen sind.
uf der Prefbar kann man dann verschiedene checkboxen einrichten. Bei mir sind es Popups, Javascript und Cookies. Im normalen Betrieb auf sicheren Seiten ist alles deaktiviert und durch drücken von F8 verschwindet die prefbar. Wenn eine Seite wirklich eines der drei Elemente benötigt drücke ich F8 und stelle ein was ich brauche. So muss man nicht immer in die Preferences wechseln was auf Dauer nicht durchzuhalten ist. So ist das superbequem.
Bei aktiviertem Javascript ist auch Mozilla verwundbar. Noch ein Tipp: Automatic Software Installation auch deaktivieren.

Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe
www.dingens.org
http://www.ntsvcfg.de/
www.windowsupdate.com besuchen und alle Updates installieren

Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Spywareblaster (alles aktivieren)
http://www.javacoolsoftware.com/sbdownload.html
____________________________________________________________________

Wenn du willst, kannst du das Log vom HijackThis posten:

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20 @sabina

Vorab meinen herzlichsten Dank für die ausführlichen Tipps vom 08.10. Sie haben mich als einfachen PC-Anwender und Informatiklaien zwar fast erschlagen aber sie waren durchaus nutzbringend. HILFE und SUPPORT funktioniert wieder und der Tipp bezüglich des Progamms TraXEx 2.2 wurde von mir befolgt.

Nachfolgend für die Spezialistin das Log vom HijackThis. Sollte es irgendwelche Besonderheiten aufweisen welche ein weiteres Tätigwerden erforderlich machen sollten lass’ es mich bitte wissen.
Noch etwas ist mir (und den anderen Familienmitgliedern) aufgefallen oder wir glauben zumindest, dass es so ist – der PC scheint langsamer zu sein als dies vor der ganzen Misere mit „SBSoft“ war. Kann das objektiv möglich sein oder bilden wir es uns nur ein?

Nochmals vielen herzlichen Dank und ebensolche Grüße

HugoRatlos

Logfile of HijackThis v1.98.2
Scan saved at 11:58:19, on 10.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Winamp3\winampa.exe
C:\WINDOWS\szchost.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\papa\lokale einstellungen\temp\gain_trickler_3202.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

#21 Hallo @HugoRatlos

Der PC ist verseucht, also Aermel hochkrempeln und reinigen...,)
#Oeffne das HijackThis, hake an, was ich schreibe, druecke auf <fix< und PC neustarten

O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\papa\lokale
einstellungen\temp\gain_trickler_3202.exe"
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
file)

neustarten

Gehe in die Registry
Start<Ausfuehren<regedit
loesche RECHTS in der Registry folgende Eintraege:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[Zone system] C:\WINDOWS\szchost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mrdodf\"winid"=[date and time of infection]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mctest\"Datu"=[IP address]

PC neustarten
#Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#Loesche:
<C:\WINDOWS\szchost.exe [Trojan.Mercurycas.A]
<C:\WINDOWS\Szchostc.exe (A legitimate proxy utility named 3[APA3A]tiny proxy)

Deinstalliere:
<c:\dokumente und einstellungen\papa\lokale
einstellungen\temp\gain_trickler_3202.exe" [Gator Advertising and Informational Network (GAIN)]
<C:\Programme\Dialer Control
<Loeschen, falls es noch da ist nach der Deinstallation. dc.exe, dc.dll, install.log und uninstall.exe

Normal neustarten

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/hijacker/escan.shtml
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

Dann poste das Log noch einmal.

mfg
Sabina

C:\WINDOWS\szchost.exe
http://securityresponse.symantec.com/avcenter/venc/data/trojan.mercurycas.a.htm
gain_trickler_3202.exe
This version of DivX Pro(tm) is available to you at no cost because it is supported by advertising delivered via the Gator Advertising and Informational Network (GAIN). GAIN occasionally delivers online advertising and informational messages selected based on Web sites you view. The GAIN software must be installed in order for this version of DivX Pro to operate properly."l
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo Sabina,

Seit ca. 1 ½ Stunden sitze ich nunmehr vor dem PC und versuche deine Anweisungen in die Tat umzusetzen. Es funktionieren allerdings nur die Erstanweisungen. Wenn ich nach dem Neustart in die Registry gehe finde ich unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Run… hier endet die Kette. [Zonesystem] C:\Windows\szchost.exe ist nicht auffindbar.

Unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\...
… findet sich KEIN „Mrdodf“ mit weiteren Unterordnern/Dateien

und unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\...
... gibt es auch kein Verzeichnis Mctest mit weiteren Unterordnern/Dateien

Nach einem PC-Neustart kann ich zwar mit F8 unterbrechen und gelange auch in den sog. „abgesicherten Modus“ wo die Betätigung der Eingabetaste gefordert wird um Windows XP zu starten. Der Bildschirm wird dann dunkel und in der oberen linken Ecke blinkt einsam ein Cursor (Unterstrich). Nach jeweils 3 ½ Minuten habe ich das Experiment durch Ziehen des Netzsteckers abgebrochen weil die Maschine auf keinerlei Tasten reagiert. Was nun?
Ich habe noch mal ein Log file mit HijackThis erstellt. Hier ist es:


Logfile of HijackThis v1.98.2
Scan saved at 21:22:09, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Vertrauensvoll auf eine Antwort wartend verbleibe ich – auch namens der am Verstand des Papas zweifelnden Familie –

Herzliche Grüße

HugoRatlos

#23 Hallo@HugoRatlos

Es scheint, du hast mehr gemacht, als in den abgesicherten Modus zu kommen und in der Registry zu suchen.....(die Familie kann schon fast aufatmen...fast)

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/hijacker/escan.shtml
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

und den Scanner starten. Alle Häkchen setzen :
Auswählen:
folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo Sabina,

ich glaube die Vorfreude war verfrüht und das Aufatmen muss noch etwas aufgeschoben werden. Deiner Anweisung folgend habe ich die „mwav.exe“ heruntergeladen und den Scan durchgeführt.

Das ist die “Virus Log Information” aus der Maske von Antivirus Toolkit Utility (Ver. 4.5.1)

File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\Recycled\Q330995.exe infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan.Win32.Qhost.o" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-f30ee60-57e63fea.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084400.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084401.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084402.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084403.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP84\A0085060.hta infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan.Win32.Qhost.o" Virus. Action Taken: No Action Taken.

Und das sind die über „Suchen“ in der mwav.log gefundenen Stellen:

Tue Oct 12 20:39:44 2004 => File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:39:44 2004 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:41:01 2004 => File C:\WINDOWS\System32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:41:08 2004 => File C:\Recycled\Q330995.exe infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:44:00 2004 => File C:\WINDOWS\system32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:46:52 2004 => File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:46:52 2004 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:46:53 2004 => File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:46:53 2004 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan.Win32.Qhost.o" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:49:10 2004 => File C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-f30ee60-57e63fea.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
Tue Oct 12 20:51:00 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\*.*
Tue Oct 12 20:51:00 2004 => Scanning File C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\IMG00001.GIF
Tue Oct 12 20:51:00 2004 => Scanning File C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\IMG00002.GIF
Tue Oct 12 20:51:00 2004 => Scanning File C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\IMG00003.GIF
Tue Oct 12 20:51:00 2004 => Scanning File C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\logo.gif
Tue Oct 12 20:51:00 2004 => Scanning File C:\Dokumente und Einstellungen\Mama\Eigene Dateien\Uni\studium\Semester_4_(SS2002)\Softwarepraktikum\Blatt3_Vorgabe\junit3.7\doc\testinfected\testing.htm
Tue Oct 12 21:11:41 2004 => File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084400.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:11:42 2004 => File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084401.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:11:42 2004 => File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084402.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:11:42 2004 => File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP83\A0084403.EXE infected by "Goblin.1759" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:12:01 2004 => File C:\System Volume Information\_restore{25FCFAFA-71D7-4CBF-AF88-8B07F39149C9}\RP84\A0085060.hta infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:16:35 2004 => File C:\WINDOWS\system32\GKSUI16.EXE infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:19:18 2004 => File C:\WINDOWS\szchost.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:19:18 2004 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:19:19 2004 => File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
Tue Oct 12 21:19:19 2004 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan.Win32.Qhost.o" Virus. Action Taken: No Action Taken.

Ein für den humorvoll veranlagten Laien respektables Resultat. Wäre es nicht vielleicht besser die Dateien von denen man weiß, dass man sie benötigt (Adressdateien, Spiele, Musik usw. usw.) und die nach dieser Liste offensichtlich nicht infiziert sind auf Laufwerk D zu kopieren, anschließend Laufwerk C komplett zu löschen um sodann WindosXP HomeEdition einfach neu aufzuspielen? Oder besteht die Möglichkeit den Computer wieder richtig „sauber“ zu bekommen?

Ich habe mir übrigens mal den Spaß gemacht und einen Virenscan mit Norton AntiVirus (neuestes Update) durchgeführt. Hier der Vergleich:

Antivirus Toolkit Norton Anti Virus

Gescannte Dateien 73.408 70.784
Gefundene Viren 20 2(!!)
Zeit 42:21 min 10:47 min.

Auch für den Laien ist jetzt ersichtlich wer über welche Kompetenz verfügt.

Nun natürlich wieder zum Ernst des Lebens. Ist der PC mit vernünftigem Aufwand zu säubern oder sollte nicht wirklich die von mir angedachte „Radikalkur“ durchgeführt werden?

Ich freue mich wie immer auf deine Antwort für welche ich mich schon jetzt herzlich bedanke

HugoRatlos


PS: Wieso findet eigentlich das Antivirus Toolkit Utility immer noch „C:\WINDOWS\szchost.exe“ während sie von „Hijackthis“ nicht mehr angezeigt wird (oder sollte ich als Laie lieber nicht nachfragen)?

#25 Hallo @HugoRatlos

Nun, es gibt mehrere Moeglichkeiten, das Problem zu loesen.

1. Du loescht manuell :
<C:\WINDOWS\szchost.exe
<C:\WINDOWS\System32\GKSUI16.EXE
<C:\Recycled\Q330995.exe (Papierkorb leeren)
<C:\WINDOWS\Downloaded Program Files\rundlg32.dll
<C:\WINDOWS\Downloaded Program Files\load.exe
<C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-f30ee60-57e63fea.zip
#Deaktivierst die Wiederherstellung,
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

und saeuberst auch die Hosts.
XP:
die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei
In dem Ordner ETC finderst du vermutlich 5 Dateien, alle ohne Dateiendung. Die Datei hosts klickst du mit der rechten Maustaste an und wählst Öffnen... Es öffnet sich ein Fenster, dort selektierst du die Option "Programm aus einer Liste auswählen". In der Liste suchst du nach "Editor" und wählst den Eintrag aus. Nun öffnet sich der Texteditor in dem du die Änderungen vornehmen kannst.

Download Hoster : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

und scannst mit der Erkennungssoftware vom <escan<, bis nichts mehr angezeigt wird.

2.Variante
Du laedst die 15-Tage free-Version von eScan (dazu muss aber der Symantec deaktiviert oder deinstalliert werden)
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp

3.Variante
Neuinstallation
________________________________________________________________

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
7.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
8) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
9) alle Passworte aendern
10)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
11)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
12)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Hallo Sabina,

ich habe – vergnügungssüchtig wie ich bin - alle Einzelschritte der ersten Variante ausgeführt. Das Resultat des sich anschließenden escans siehst du hier:

File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\Recycled\Q330995.exe infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan.Win32.Qhost.o" Virus. Action Taken: No Action Taken.

Gerne würde ich sie manuell löschen, aber ich finde sie nicht! Unter C:\WINDOWS gibt es keine Subdirectory mit dem Namen „hosts“. Ebenso wenig gibt es im Laufwerk C: ein Verzeichnis mit dem Namen „Recycled“ (oder soll ich den Papierkorb insgesamt löschen?). Eine Datei mit dem Namen „Q330995.exe-034E42Ce.pf“ befindet sich allerdings unter C:\WINDOWS\Prefetch\. Diese Datei habe ich unangetastet gelassen. Auch ein Prgramm namens „load.exe“ gibt es nicht, zumindest nicht unter C:\WINDOWS\Downloaded Program Files. (Anm.: Dort war auch nicht die Datei „rundlg32.dll“. Die wurde mir über die Suchfunktion als „search bar“ angezeigt. Seit sie gelöscht ist wird „rundlg32.dll „ vom escan nicht mehr angezeigt – Teilerfolg!).

Ich trage mich jetzt mit dem Gedanken Variante zwei anzuwenden. Dazu müsste ich aber wissen wie man Symantec deaktiviert. Dazu gleich noch die Frage ob nach Durchführung von Variante zwei die Norton-Tools (Anti-Virus und AutoProtect) wieder aktiviert werden können.

Wenn alles nichts helfen sollte wird wohl die Radikalkur nach Variante 3 zur Anwendung kommen. Davor graut mir ein wenig denn ich habe unter der von dir mitgeteilten Adresse (http://8ung.at/chemikers-home/SETUP-html) nachgelesen,dass es bei der Installation zu Problemen kommen kann welche einen Austausch der Grafikkarte erforderlich machen. Unser „Rechenknecht“ ist jetzt zwar erst zwei Jahre alt, aber nach PC-Zeitmaßstäben ist das vermutlich so als wäre ein Auto schon zwanzig Jahre alt . Und an die Hardware möchte ich nun wirklich nicht auch noch rangehen müssen.

Wie immer – vorab im Namen der ganzen Familie unser herzliches Dankeschön. So warte ich RATLOS und voller Spannung auf deine Antwort.

HR

#27 Hallo @HugoRatlos

1. Q330995.exe-034E42Ce.pf“ unter C:\WINDOWS\Prefetch\ kannst du selbstverstaendlich loeschen, so wie alles in dieser Datei (nur die Hauptdatei nicht), dass soll man von Zweit zu Zeit machen, damit es nicht zuviel wird.
____________________________________________________________________________

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
4.ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
5. Markieren Sie dazu einen Eintrag mit der rechten Maustaste, und wählen Sie Eigenschaften aus dem Kontextmenü.

#. Lade einen Virenscanner, damit er das restliche Loeschen uebernimmt.
Natuerlich gibt es eine <C:\WINDOWS\hosts<
---«««C:\WINDOWS\system32\drivers\etc\hosts
Aber ich weiss nicht, ob man das so einfach loeschen kann , ich weiss nur, dass man Eintraege mit Hilfe des Editor loeschen kann, aber die Datei...das glaube ich nicht.

Um nichts zu zerstoeren, lade diese Version (Trial)
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

Wenn du gescannt hast, mache nochmal die Ueberpruefung mit eScan.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hallöchen ich hab auch das selbe problem mit dieser SB-Soft, habe eine Hijackthis-log gemacht kann mir einer bitte helfen, dankeschön

Logfile of HijackThis v1.98.2
Scan saved at 6:41:58 PM, on 10/14/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\MOTHERBOARD MONITOR 5\MBM5.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\D-TOOLS\DAEMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\MYSQL\BIN\MYSQLD-OPT.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOTHERBOARD MONITOR 5\DLL\DISPLAY.DLL
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [MBM 5] C:\PROGRA~1\MOTHER~1\MBM5.EXE
O4 - HKLM\..\Run: [Ad-aware] C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE +c
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCtrl.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Microsoft Maus.lnk = C:\Programme\Microsoft Hardware\Mouse\Mousex32.exe
O4 - Startup: MySQLServer.lnk = C:\mysql\bin\mysqld-opt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe

#29 Hallo @l4pp3n

Fixe und starte PC neu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL

neustarten

#oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL <PC neustarten

#noch mal suchen und es loeschen, falls es noch da ist:
C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterlaesst
http://www.almisoft.de/traxex2.htm

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard [keine Ahnung , ob Win98 diese Funktion hat... ????)
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Danke Sabina, hat fast alles wunderbar geklappt.
Und zwar dieses fast meine ich bei

Zitat

sabina postete
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard [keine Ahnung , ob Win98 diese Funktion hat... ????)
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

...also in win98 kann ich nur das Laufwerk auswählen...was mach ich nun, soll ich ganz C: cleanen???

----------------------------------------------------------------------------
So ich hab jetz das eScan AV Toolkit ausgeführt, und das sind die infizierten Datein:

File C:\WINDOWS\SYSTEM\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-1f5b6b54-71383c02.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\count1.jar-3173f390-5164ca9f.zip infected by "Trojan.Java.Needy.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-17702fd5.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-10ffa0b5-2ba874d5.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-11faa9ed-7c1634a9.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-11faa9ed-75da1389.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-11faa9ed-24a1e8e0.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-11faa9ed-148a59d3.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Eigene Dateien\temp\Sam260Load.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File C:\backups\backup-20041015-104539-104.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File D:\temp\tools\Install ADaware.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Was mach ich nun???