service.exe und Isass.exe

#1 Hi @ all

ich habe mir seit dem ich meinen Rechner längere Zeit auf einer C.... Hompage on gehabt habe eine menge Dialer und Trojaner gezogen....

Ich habe mir darauf Adaware und Spybot instaliert die aber die oben genannten nicht entfernen können... Jedes mal wenn ich den Iexplorer starte nimmt der eine andere Startpage und zwar von "Search for...."

Darauf habe ich dann danach gesucht und bin auf das Programm Hijackthis gefunden und hab mich Schlau gemacht wie das funktioniert. Wäre nett wenn mir einer von euch sagen könnte was ich löschen oder besser gesagt tun muss damit mein System wieder einwandfrei läuft.

Hier also die Hijack Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:21:34, on 30.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\Balu\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe beem.dll, DllRegisterServer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll


Thx schon mal in Vorraus

#2 Folgende Einträge musst du fixen:
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe beem.dll, DllRegisterServer
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

Anschließend die beem.dll löschen und den IE auf www.windowsupdate.com updaten.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Thx schon mal aber die beem.dll lässt sich nicht löschen er sagt mir das ein anderes Programm im moment darauf zugreift

#4 Dann bemüh doch mal Killbox.
http://www.downloads.subratam.org/KillBox.zip

Wähle die Datei aus, geh auf Delete File on Reboot und klick auf das rote Kreuz.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Hallo@MC-Balu

Fixe mit dem Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe beem.dll, DllRegisterServer
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\beem.dll

PC neustarten

Gehe in die Registry
Start<Ausfuehren<regedit

<HKEY_CLASSES_ROOT\CLSID\
loesche:
{B72F75B8-93F3-429D-B13E-660B206D897A}

<HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no" --> aendere in "yes" (ohne Anfuehrungsstriche)

<HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>
loesche:
{B72F75B8-93F3-429D-B13E-660B206D897A}

<HKEY_LOCAL_MACHINE>Software>Microsoft>
Internet Explorer>Main
loesche:
HOMEOldSP = "about:blank"

<HKEY_CURRENT_USER>Software>Microsoft>
Internet Explorer>Main
loesche:
HOMEOldSP = "about:blank"

<HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no" --> aendere in "yes"

<HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
[Systems Restart] Rundll32.exe beem.dll, DllRegisterServer

<HKEY_CLASSES_ROOT\PROTOCOLS\Filter \ text/html -
loesche:
{B72F75B8-93F3-429D-B13E-660B206D897A}

<HKEY_CLASSES_ROOT\PROTOCOLS\Filter \text/plain
loesche:
{B72F75B8-93F3-429D-B13E-660B206D897A}

schliesse die Registry und starte den PC neu
----------------------------------------------------------------------

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK

loeschen:
<SP.HTML

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#Start<Ausfuehren<cmd reinschreiben
DOS oeffnet sich:
kopiere rein:

regsvr32 /u [systemroot]\System32\beem.dll
<enter<

regsvr32 /u c:\system32\System32\beem.dll
<enter<

NEUstarten und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

dort benenn die beem.dll um(rechtsklick---umbenennen) in beem.dl
und loesche sie.

dann arbeite das hier ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Nur aus Interesse, ist das alles nötig um eine einzelne dll erfolgreich zu löschen oder nur Beiwerk zwecks der vollständigen Entfernung?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 Hallo@asdrubael

Eigentlich ist das noch nicht alles, denn es verbergen sich noch andere dll im System (wie ich vermute), da aber der User nichts mehr sagt, brauche ich den Rest auch nicht mehr zu erklaeren.
__________
MfG Sabina

rund um die PC-Sicherheit