Home » Viren, Trojaner & Malware Forum » cmdLineExt02.dll -Spyware WhenU.SaveNow ? » Themenansicht

cmdLineExt02.dll -Spyware WhenU.SaveNow ?
#0
15.04.2005, 11:00
ZwergNase
...neu hier

Beiträge: 3
#1 Hallo Ihr hilfreichen Geister !
In meinem Temp Ordner materialisiert sich mit schöner regelmäßigkeit eine CmdLine32.dll . Ich schaffe es nicht herauszukriegen welches Prog. die dll
anlegt. Pestpatrol identifiziert sie als "WhenU.SaveNow" bzw. als "Trojan.CD-IT"
AV u. Stinger finden nichts. Das Mistvieh stellt sich wieder her, obwohl ich alle
möglichen Einträge aus der Reg. gelöscht habe. Auch fixen mit Hijack oder löschen
mit Pestp. nütz nichts. Hier meine Logs :

Nach dem fixen:
Logfile of HijackThis v1.99.1
Scan saved at 10:57:51, on 15.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\MOZILLA1.7.3\MOZILLA.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe

Abgesichert
Logfile of HijackThis v1.99.1
Scan saved at 12:33:04, on 14.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe

Ausgangslage:

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\RCRAWLER\RCRAWLER.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe

...und die Reg.-Einträge:
Search For: CmdLine
Generated On: Friday, April 15, 2005

Computer: Local Computer

HKEY_LOCAL_MACHINE\Software\SaferSite\PestPatrol (StartingDir=C:\WINDOWS\TEMP\CmdLineExt02.dll)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu\CurVer (=CmdLineExt.CmdLineContextMenu.1)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu.1 (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{9869EFA6-18E9-11D3-A837-00104B9E30B5}\1.0\0\win32 (=C:\WINDOWS\TEMP\CMDLINEEXT02.DLL)
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{9869EFA6-18E9-11D3-A837-00104B9E30B5}\1.0 (=CmdLineExt 1.0 Type Library)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\InprocServer32 (=C:\WINDOWS\TEMP\CMDLINEEXT02.DLL)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\VersionIndependentProgID (=CmdLineExt.CmdLineContextMenu)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\ProgID (=CmdLineExt.CmdLineContextMenu.1)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5} (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu.1
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shellex\ContextMenuHandlers\CmdLineExt

Danke und Grüße
Dieser Beitrag wurde am 15.04.2005 um 11:06 Uhr von ZwergNase editiert.
Seitenanfang Seitenende
15.04.2005, 15:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@ZwergNase

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
WhenUSave = "%Program Files%\Save\Save.exe"

(Note: %Program Files% is the default Program Files folder, which is usually C:\Program Files.)

It also adds the following registry keys as part of its installation routine:

HKEY_CURRENT_USER\WUSN.1
HKEY_LOCAL_MACHINE\Software\Classes\WUSN.1
HKEY_LOCAL_MACHINE\Software\WhenUSave
HKEY_LOCAL_MACHINE\Software\WhenU

It also supports uninstallation process through the following registry entry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow
(UninstallString = "%Program Files%\Save\SaveUninst.exe /rWUSV /kSaveNow /dSaveNow" )

---------------------------------------------------------------------------

dann loesche noch mal alle Eintraege, die du geschrieben hast

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\Save\save.db
C:\Programme\Save\Save.exe
C:\Programme\Save\SaveUninst.exe
C:\Programme\Save\ReadMe.txt
C:\Programme\Save\save.htm
C:\WINDOWS\TEMP\CMDLINEEXT02.DLL

PC neustarten

C:\Programme\Save\<--loeschen

ueberpruefe, ob sich die dll oder das Programm bei PestPatrol als "Ausnahme" eingetragen hat (die nicht geloescht wird)

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2005, 11:19
ZwergNase
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo !
Danke für die schnelle Antwort. Habe jetzt doch noch etwas gefunden !
Trojan-downloader.win32.qdown.h !!!!!
Die von Dir in bezug auf WhenU.SaveNow genannten Dats befanden sich nicht auf dem Rechner. Anscheinend wurde über die besagte cmdline irgendein Mist geladen.
Dummerweise liegt die befallene Datei seit 2 Monaten auf meinem Rechner.
Ich hoffe trotzdem das ich es jetzt hinter mir habe.

Grüße
Richard
Seitenanfang Seitenende
16.04.2005, 15:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@ZwergNase

•Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

berichte bitte von den Onlinscanns
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1