Wie werde ich CTFMON und CRSS dauerhaft los?

#1 Also ich hab in letzter Zeit ständig mit diesem Überschreiben meiner Startpage zu tun, letztens konnte ich sogar auf keine Seite, da hiess es wenn ich zb Google.de eingegeben hatte "res://wtlbass32.dll/http_blocked.htm" So bitte fangt mir nicht an mit HijackThis, hab ich schon so oft gefixt die entsprechenden Einträge und auch die Dateien gelöscht im Safemodus. Kommt beim nächsten Hochfahren wieder. Ich suche eine dauerhafte Lösung, ich will nicht zum Sklaven meines PCs werden ich will damit arbeiten und nicht den ganzen TAg Spyware rausziehen müssen, wer weiss Rat?


Danke i.V.


Casi

#2 Was hat das mit "CTFMON und CRSS" zu tun? "ctfmon.exe" und "csrss.exe" (nicht crss) sind beides legitime Windows-Prozesse.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Sorry ich meinte CTFMONSS und CRSSW, beide treten in Verbindung mit der Startseite Bestfind.com auf, sind nach dem fixen und nach dem booten wieder da, ich bin am verzweifeln

#4 Hallo casi4711,

wenn Du angeblich alles schon getan hast, alles bereits weißt und Dich weigerst, ein HJT Log zu posten, warum hast Du Dich dann an das Board gewandt? Wie sollen Dir die Boardies ohne grundlegende Informationen durch das HJT Log weiterhelfen können?

Zitat

Ich suche eine dauerhafte Lösung, ich will nicht zum Sklaven meines PCs werden ich will damit arbeiten und nicht den ganzen TAg Spyware rausziehen müssen, wer weiss Rat?

Gehst Du mit Deinem Auto auch so um? Oder tankst Du es ab und an auch mal auf, machst Ölwechsel und gehst zur Inspektion und TÜV?
Ohne einen Minimalaufwand an Systempflege wirst Du immer wieder in Probleme laufen. Es sei denn, Du arbeitest nur noch off-line!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 HAllo Heron,

WEr hat gesagt dass ich kein Log posten will, kann ich doch machen, und wer sagt dass ich nichts tue für meine Sytempflege, ich habe eine virenscanner den ich jeden TAG update ich habe eine Antisypyware aktiv laufen (pestpatrol) ich habe eine Hostsdatei mit den aktuelen Verbreitern von schadhaften Cookies, ich habe ie-spyad drauf ich habe aktivX deaktiv, ich lasse regellmässig Adaware laufen .. und ich habe auch den Schreder und HIjack (log häng ich an) . Mein Auto wird selbstverständlich auch regelmässig gewartet, also was soll der Vergleich? Was soll ich denn noch tun??

Ich kann meine Startseite noch so oft umstellen, er will immer wieder zu efinder, der darauf schädliche ActivX wird zwar nicht ausgeführt aufgrunfd meiner Sicherheitsvorkehrungen, jedoch wird die Seite immerwieder umgestellt. Gibt es keine generelle Möglichkeit die Startpage zu locken?

Für sachdienliche Hinweise wäre ich wirklich dankbar

Gruss


Casi



hier das HIJACKLOG:
--------------------------
Logfile of HijackThis v1.98.2
Scan saved at 11:56:06, on 28.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\IconSaver\IconSaver.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\carsten\Desktop\TOOLS\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 1ClickPicGrabber - {D593DE91-7B41-45C2-830E-E9A99AB142AA} -
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [pcwTempLeer] Cmd /c C:\WINDOWS\pcwTempLeer.bat
O4 - HKLM\..\Run: [IconSaver] "C:\Programme\IconSaver\IconSaver.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "d:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [tsksqbx] c:\windows\yhbbxws.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &1CPG Grab pictures on this page - res://d:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGEPICS.HTM
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: 1C&PG Grab Target File - res://d:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABLINK.HTM
O8 - Extra context menu item: 1C&PG Grab This Picture - res://d:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPIC.HTM
O8 - Extra context menu item: 1CPG Grab &movies on this page - res://d:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGEMOVIES.HTM
O8 - Extra context menu item: 1CPG Grab pict&ures this page links to - res://d:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGELINKS.HTM
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~2\MI9FAC~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Free Software - c:\Programme\FavSearch\hh.html
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MI9FAC~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Favorites Search - {FF925300-80E6-11D4-A15B-FFF9086C1A3C} - c:\PROGRA~1\DzSoft\FAVORI~1\FavSeek.dll
O9 - Extra button: PicGrab - {8AF0A6B9-CECA-458B-96FE-CC31E83A16AA} - D:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {CCA1C82C-550D-462F-B70C-1AD5E4F4AD3A} - D:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {CCA1C82C-550D-462F-B70C-1AD5E4F4AD3A} - D:\Programme\PicGrab\iestarter.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97

---------------------

#6 Ok recht herzlichen Dank für die Unterstützung, habe es nun mit Hilfe von Adware 6.0 SE wegbekommen, falls es wenn interessiert.


Schönes WE noch


Gruss


Casi

#7 Ist doch schön, dass Du aktiv bei der Reinigung Deines PC's mitarbeitest!

Dass aber Ad-Aware alles gefunden und beseitigt hat, das glaube ich nicht. Du hast, was ich sehen konnte, neben dem HomeSearch Problem auch noch einige andere Sachen im Log.

Bitte lade Dir doch die neueste Version (1.99.0) von HighjackThis herunter und scanne noch einmal.
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Poste das aktuelle Log noch einmal

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 Hm danke noch mal für die Antwort, aber es ist so, nach dem ich die aktuellste Adware SE angewendet hatte war der Spuck zu ende, abe ich werds gern auch noch ma mit HIjack probieren, was war denn da deiner Meinung nach auffällig??

no hier nun dat aktuelle log mit aktueller version von hijack

------------------
Logfile of HijackThis v1.99.0
Scan saved at 19:27:29, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IconSaver\IconSaver.exe
D:\Programme\AVPersonal\AVGNT.EXE
c:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spamihilator\spamihilator.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\PowerQuest\Drive Image 2002-2\DriveImageNT.exe
C:\Programme\Internet Explorer\iexplore.exe
e:\Dokumente und Einstellungen\carsten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer +++ Tuning Edition
O2 - BHO: 1CPG Toolbar Opcode Handler - {29C88E20-4234-41B9-A9DB-982958C95FB1} - c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: FloatBar Class - {75B1A646-CDCE-4C06-B52F-84F4463B4FC8} - c:\Programme\ZaberSoft\1ClickPicGrabber\FloatBarFor1CPG.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: 1ClickPicGrabber - {D593DE91-7B41-45C2-830E-E9A99AB142AA} - c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pcwTempLeer] Cmd /c C:\WINDOWS\pcwTempLeer.bat
O4 - HKLM\..\Run: [IconSaver] "C:\Programme\IconSaver\IconSaver.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "d:\Programme\Spamihilator\spamihilator.exe"
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &1CPG Grab pictures on this page - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGEPICS.HTM
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O8 - Extra context menu item: &Document Tree - C:\WINDOWS\web\tree.htm
O8 - Extra context menu item: &Google Search - res://c:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: &Select for PasteCards - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/PASTECARDS.HTM
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: 1C&PG Grab Target File - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABLINK.HTM
O8 - Extra context menu item: 1C&PG Grab This Picture - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPIC.HTM
O8 - Extra context menu item: 1CPG Grab &movies on this page - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGEMOVIES.HTM
O8 - Extra context menu item: 1CPG Grab pict&ures this page links to - res://c:\Programme\ZaberSoft\1ClickPicGrabber\1ClickPicGrabber.dll/GRABPAGELINKS.HTM
O8 - Extra context menu item: Backward Links - res://c:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~2\MI9FAC~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Free Software - c:\Programme\FavSearch\hh.html
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: Similar Pages - res://c:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\Programme\Google\GoogleToolbar3.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://c:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: View Partial So&urce - C:\WINDOWS\web\source.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {438AFBA1-B0CB-11d2-9214-00104B3BCE5F} - C:\WINDOWS\web\tree.htm
O9 - Extra 'Tools' menuitem: &Document Tree - {438AFBA1-B0CB-11d2-9214-00104B3BCE5F} - C:\WINDOWS\web\tree.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MI9FAC~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PicGrab - {92EDD658-9842-4DF8-AA92-080C037B15B6} - d:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {A2510C75-1C6F-4D06-8BD8-0562E38F8B19} - d:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {A2510C75-1C6F-4D06-8BD8-0562E38F8B19} - d:\Programme\PicGrab\iestarter.exe (HKCU)
O15 - Trusted Zone: http://www.macromedia.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{490F36C7-C374-4EC6-BEBC-C4CC6B69B104}: NameServer = 194.25.2.129,217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OLWService - Unknown - D:\Programme\Quester\OLfolders\OLWService.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

.---------------------

#9 Hallo casi4711,

Fixe bitte im abgesicherten Modus noch

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: Free Software - c:\Programme\FavSearch\hh.html
O9 - Extra button: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing)
O9 - Extra 'Tools' menuitem: FavSearch - {9C0A2D0C-9EAB-45f7-B75D-5CFCE41EC19E} - c:\Programme\FavSearch\fs.exe (file missing) (HKCU)

Wie ist es mit den anderen O8 und O9 Einträgen. Sind die Dir bekannt? Hast Du die wissentlich installiert? Wenn nicht => fixen

Nach dem Neustart könntest Du Dir noch Spybot S&D herunterladen (ergänzt sich gut mit Ad-Aware)
http://www.safer-networking.org/de/download/index.html
Dann das Programm installieren und updaten. Anschließend Scan mit Ad-Aware und Spybot S&D im abgesicherten und Normalmalmodus durchführen und gefundene kritische Objekte fixen.

Ganz wichtig!
Dein System ist völlig ungepatcht. Gehe auf http://www.windowsupdate.com und lade Dir alle dort angezeigten Updates herunter.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#10 jo danke nochmals für die tips, also mit den unkontrollierten Patchen bin ich allerdings vorsichtig. sicher die wichtigsten hab ich drauf wie zb den DCOM PAtch oder den LSASS-PAtch gegen Blaster und Co. Also völig ungepatcht dass stimmt so nicht .Ich habe aber festgestellt , wenn ich komplett alle MS PAtches aufspiele leidet extrem die Stabilität des Systems. Hatte leider noch nicht die ZEit genau festzustellen welcher Hotfix dafür genau verantwortlich ist. Das ging sogar bis zum regelmässigen Einfrieren des Systems.


viele Grüße noch

Casi

#11 Hi Zusammen,

hatte selbes Prob.......die untenstehenden sollten glöscht werden....geht natürlich nur im abgesicherten Modus..

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE

#12 Hallo zusammen.

Habe sehr interessiert die Beiträge zum Thema "res://shdoclc.dll/http_blocked.htm" gelesen.

Ich bin bis vor einigen Minuten selbst betroffen gewesen.
Ich habe ausprobiert:
1. Ad-Aware
2. Spyboot
3. Spy-Catcher
4. HijackThis
5. Norton Antivirus

Ergebnis war, keins dieser Produkte hat mir geholfen.

Aus purer Verzweiflung bin ich dann in den Ordner Windows gegangen, und habe mir anzeigen lassen, welche (versteckten) Dateien seit meinem Trojanerbefall dort angelegt wurden.
Ich habe eine Datei namens "bootstat.dat" gefunden, entfernt und siehe da, mein InternetExplorer läuft wieder.

Viele Grüße
EFPE2000

#13 Bei mir kommt das auch immer wenn ich den explorer aufmachen will kommt immer : res://wtlbass32.dll/HTTP_Blocked.htm

wie bekomm ich das weg hier mein Logile hoffe mir kann jemand helfen.



Logfile of HijackThis v1.99.0
Scan saved at 10:50:46, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190_und_0900 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CSRSSW.EXE
C:\WINDOWS\System32\CTFMONSS.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\BitTornado\btdownloadgui.exe
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Ahead\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Misiu&Gronio\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] REM C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] c:\windows\system32\saap.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c3 -w3
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] REM C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TorrentSearch] REM C:\Programme\TSx\TSx.exe minimized
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Services] Iexplore.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\RunServices: [Windows Services] Iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ares] REM "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

#14 Also Leute...red ich chinesisch oder was ??

Sagte doch, löscht die Dateien:
C:\WINDOWS\wtlbass32.dll
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
ev. noch ne Datei Namens loadstat.bat....

Oh ja, ja, ich weiß....das sind Windows Systemdienste - - - ne sind sie eben nicht, hören sich nur so ähnlich an....das ist ja der Trick bei der Sache ;-))

nun , wie gesagt , hatte selbes Problem, und nur nach Löschung im Abgesicherten Modus dieser 3 besagten Dateien war Ruhe

und wenn ihr euch das Ding partout einfangen wollt , dann geht ma nach keyg*hier nicht*.us...da gibts mächtig was um die Ohren....

CU Night

#15 danke es ist endlich weg tausend dank nochmal