cmdLineExt02.dll -Spyware WhenU.SaveNow ? |
||
---|---|---|
#0
| ||
15.04.2005, 11:00
...neu hier
Beiträge: 3 |
||
|
||
15.04.2005, 15:03
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@ZwergNase
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run WhenUSave = "%Program Files%\Save\Save.exe" (Note: %Program Files% is the default Program Files folder, which is usually C:\Program Files.) It also adds the following registry keys as part of its installation routine: HKEY_CURRENT_USER\WUSN.1 HKEY_LOCAL_MACHINE\Software\Classes\WUSN.1 HKEY_LOCAL_MACHINE\Software\WhenUSave HKEY_LOCAL_MACHINE\Software\WhenU It also supports uninstallation process through the following registry entry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (UninstallString = "%Program Files%\Save\SaveUninst.exe /rWUSV /kSaveNow /dSaveNow" ) --------------------------------------------------------------------------- dann loesche noch mal alle Eintraege, die du geschrieben hast •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Programme\Save\save.db C:\Programme\Save\Save.exe C:\Programme\Save\SaveUninst.exe C:\Programme\Save\ReadMe.txt C:\Programme\Save\save.htm C:\WINDOWS\TEMP\CMDLINEEXT02.DLL PC neustarten C:\Programme\Save\<--loeschen ueberpruefe, ob sich die dll oder das Programm bei PestPatrol als "Ausnahme" eingetragen hat (die nicht geloescht wird) CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2005, 11:19
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo !
Danke für die schnelle Antwort. Habe jetzt doch noch etwas gefunden ! Trojan-downloader.win32.qdown.h !!!!! Die von Dir in bezug auf WhenU.SaveNow genannten Dats befanden sich nicht auf dem Rechner. Anscheinend wurde über die besagte cmdline irgendein Mist geladen. Dummerweise liegt die befallene Datei seit 2 Monaten auf meinem Rechner. Ich hoffe trotzdem das ich es jetzt hinter mir habe. Grüße Richard |
|
|
||
16.04.2005, 15:18
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@ZwergNase
•Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20 •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml berichte bitte von den Onlinscanns __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
In meinem Temp Ordner materialisiert sich mit schöner regelmäßigkeit eine CmdLine32.dll . Ich schaffe es nicht herauszukriegen welches Prog. die dll
anlegt. Pestpatrol identifiziert sie als "WhenU.SaveNow" bzw. als "Trojan.CD-IT"
AV u. Stinger finden nichts. Das Mistvieh stellt sich wieder her, obwohl ich alle
möglichen Einträge aus der Reg. gelöscht habe. Auch fixen mit Hijack oder löschen
mit Pestp. nütz nichts. Hier meine Logs :
Nach dem fixen:
Logfile of HijackThis v1.99.1
Scan saved at 10:57:51, on 15.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\MOZILLA1.7.3\MOZILLA.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
Abgesichert
Logfile of HijackThis v1.99.1
Scan saved at 12:33:04, on 14.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
Ausgangslage:
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\RCRAWLER\RCRAWLER.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
...und die Reg.-Einträge:
Search For: CmdLine
Generated On: Friday, April 15, 2005
Computer: Local Computer
HKEY_LOCAL_MACHINE\Software\SaferSite\PestPatrol (StartingDir=C:\WINDOWS\TEMP\CmdLineExt02.dll)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu\CurVer (=CmdLineExt.CmdLineContextMenu.1)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu.1 (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{9869EFA6-18E9-11D3-A837-00104B9E30B5}\1.0\0\win32 (=C:\WINDOWS\TEMP\CMDLINEEXT02.DLL)
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{9869EFA6-18E9-11D3-A837-00104B9E30B5}\1.0 (=CmdLineExt 1.0 Type Library)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\InprocServer32 (=C:\WINDOWS\TEMP\CMDLINEEXT02.DLL)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\VersionIndependentProgID (=CmdLineExt.CmdLineContextMenu)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}\ProgID (=CmdLineExt.CmdLineContextMenu.1)
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5} (=CmdLineContextMenu Class)
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu
HKEY_LOCAL_MACHINE\Software\CLASSES\CmdLineExt.CmdLineContextMenu.1
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shellex\ContextMenuHandlers\CmdLineExt
Danke und Grüße