W32.hllw.gaobot

#1 Bekomme von Norton hin und wieder die Meldung, dass W32.HLLW.Gaobot in C:\WINDOWS\spool\PRINTERS\00514.SPL gelöscht wurde. Seitdem ich diese Meldung bekomme habe ich Probleme mit Outlook und der Rechner stürzt ziemlich oft ab. Vielleihct kann mir jemand einen Tipp geben, was ich machen kann.
Danke, Kribbel

#2 Hallo@kribbel

1) lade rem.zip
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).

2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Lade:Attached File(s)
swap.zip ( 45.7k )
http://forums.skads.org/index.php?showtopic=81&st=0&p=187&#entry187
klicke auf: swap.bat
PC neustarten
suche: c:\swap.txt und c:\log.txt und poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Windows Millennium [Version 4.90.3000]

ECHO ist eingeschaltet (ON)
"Files found"
---------------------------------------------------------------------


Zipping up Files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

-----------------------------------------------------------------

Done

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 16:58:21, on 10.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\LXDBOXCP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMME\EUMEX 604PC HOMENET\CAPICTRL.EXE
C:\PROGRAMME\EUMEX 604PC HOMENET\HNETCTRL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\CALLISA\CALLISA.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F1 - win.ini: run=C:\WINDOWS\SYSTEM\lxdboxcp.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 604PC HomeNet\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 604PC HomeNet\HNetCtrl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

#4 das swap.bat kann ich in dem link leider nicht finden, muss jetzt auch weg, werde morgen nochmal nachschauen.

#5 Hallo@kribbel

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:

C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL

4.) PC neustarten

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Mache die WindowsUpdates:
http://www.microsoft.com/windowsme/update/default.asp

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hi Sabina,
vielen Dank erstmal. Leider habe ich immer noch Probleme, komme in delete a file on reboot nicht rein und die windowsupdates kann ich schon seit ewigkeiten nicht mehr ausführen.

#7 Neuerdings bekomme ich immer diese Meldung, wenn ich kazaa öffnen möchte:

CLEAN verursachte einen Fehler durch eine ungültige Seite
in Modul CLEAN.KMD bei 01a7:0053f73c.
Register:
EAX=00000000 CS=01a7 EIP=0053f73c EFLGS=00010246
EBX=00000000 SS=01af ESP=00a5f228 EBP=01cd21e0
ECX=00000000 DS=01af ESI=00a5f91c FS=333f
EDX=817c1928 ES=01af EDI=02cd930c GS=0000
Bytes bei CS:EIP:

#8 Hallo@kribbel

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

deinstalliere das Tool kazaa
und dann installiere neu (falls du das wirklich brauchst)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina,
habe eScan durchlaufen lassen, allerdings wird nichts gelöscht. Wäre nett, wenn du dir das protokoll nochmal anschaust.
Vielen Dank, Kribbel

Wed Dec 29 19:32:35 2004 => ***** Scanning complete. *****
Wed Dec 29 19:32:35 2004 => Total Files Scanned: 78588
Wed Dec 29 19:32:35 2004 => Total Virus(es) Found: 6
Wed Dec 29 19:32:35 2004 => Total Disinfected Files: 0
Wed Dec 29 19:32:35 2004 => Total Files Renamed: 0
Wed Dec 29 19:32:35 2004 => Total Deleted Files: 0
Wed Dec 29 19:32:35 2004 => Total Errors: 1
Wed Dec 29 19:32:35 2004 => Time Elapsed: 00:54:24
Wed Dec 29 19:32:35 2004 => Virus Database Date: 2004/12/13
Wed Dec 29 19:32:35 2004 => Virus Database Count: 112401

Wed Dec 29 19:32:35 2004 => Scan Completed.
File C:\WINDOWS\TEMP\GL_6115.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP\GL_6131.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP\bb.exe infected by "not-a-virus:AdWare.BargainBuddy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\4HA3GDMF\asmfiles[1].cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\038ZSJO3\asmfiles[1].cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Traces of "Parite.b" found and cleaned !!!

#10 Hallo@kribbel

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Leere folgende Ordnerfalls du eine index.bat findest...die nicht loeschen)

C:\WINDOWS\TEMP\
C:\WINDOWS\TEMPOR~1\CONTENT.IE5\

dann musste alles o.k. sein (der Parite.b ist ja geloescht)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier wurde erwähnt daß das WindowsUpdate schon lange nicht mehr funktioniert.
diesen Namen in die AUSFÜHREN schreiben:

regsvr32 wuaueng.dll

dann funktioniert wieder alles, und man kann wieder über Windows updaten