Stress mit winloadhh.dll und Konsorten

#1 Hallo,

ich hoffe, dass ich bei euch ein wenig hilfe auf "deutsch" erhalte. Verstehe nicht allzuviel von Computer, daher hatte ich auch einige probleme die texte zu verstehen die ich zu meinem problem rausbekommen habe. Hier mein Problem:

Mein Virenscanner hat folgende Datei entdeckt:
C:\winloadhh.dll
dazu hab ich mal gegoogelt und folgende informationen gefunden:
http://www.f-secure.de/v-desk/googkle.shtml

Hört sich ja extrem böse an! Bin mir zwar sicher, dass ich nicht irgendwie auf googlke.com oder so gegangen bin, aber auf jeden fall hab ich eben diese komische datei da... Allerdings ist in dem Text ja die rede von dutzenden von Dateien die ja, dem beschriebenen Ablauf nach, alle auch auf meinem rechner irgendwo sein müssten, aber mein virenscanner zeigt sonst nichts an. Nur im Temporary Internet Files hat er noch die Datei web.exe gefunden, von der auch die Rede ist. Bis dahin und nun bin ich mit meinem Latein am Ende. Ich hab wirklich keinen blassen schimmer, wie ich das jetzt hier wieder losbekommen kann bzw. wie ich noch mehr genauere Details hier schreiben kann. (hier wird ja dann immer irgendwelche Codes und so gepostet - sorry, weis nicht woher ich den nehmen soll). Wäre für jede Hilfe super Dankbar. wenn zur problemlösung noch irgendwelche infos gebraucht werden, dann bitte wenn möglich mir auch erklären, woher ich die bekomme.

Vielen lieben Dank schon mal im vorraus

Maxe




EDIT:
Ach ja, was mir noch einfällt:

Seit einiger Zeit funktioniert auch mein Windows Real Player. Auch hier findet er statt dessen einen virus (auch so wie es in dem Text beschrieben wird.) Mein Antivirusprogramm kann das aber weder heilen noch beseitigen oder löschen oder sonstwas.... Oh man....

Maxe

#2 Ok, dann fangen wir mal an:

Zunächst die Temporären Internet Dateien löschen (IE -> Extras -> Internetoptionen).

Dann HijackThis mal laufen lassen und das Ergenis hier bitte posten.
http://board.protecus.de/t9391.htm

Danach schauen wir mal weiter
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo blueslayah,
danke schonmal für die Hilfe.

Hab das jetzt soweit gemacht (Temporary Internet Files gelöscht und HijackThis durchlaufen lassen). Hier mal das ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 20:04:18, on 29.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGEMC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGAMSVR.EXE
C:\MSSQL7\BINN\SQLMANGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\MSSQL7\BINN\SQLSERVR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\EIGENE DATEIEN\COMPUTERSACHEN\ANTIVIRUS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asseltours.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_1_6_0.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_1_6_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [agfsetup] C:\WINDOWS\SYSTEM\setup.exe /2
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [GhostStartService] C:\Symantec\Norton Ghost 2003\GhostStartService.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunOnce: [hhctrl.ocx] C:\WINDOWS\SYSTEM\regsvr32 /s C:\WINDOWS\SYSTEM\hhctrl.ocx
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Startup: SQL Server.lnk = C:\MSSQL7\Binn\scm.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4023.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/cabs/1011039.cab
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/suninfoconnect-lo.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab


Wo ich mir das mal (ohne viel davon zu verstehen) durchgesehen habe, macht mich vor allem diese zeile hier stutzig:
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/cabs/1011039.cab
sicherlich nicht von mir gewollt, beantragt, gedownloadet oder was auch immer. Hab keinen "EroticAccess" und bis jetzt auch noch nie irgendwo auf dem Rechner gesehen... Hat das vielleicht damit was zu tun?
Übrigens: Beim durchsuchen der Temporary Internet Files hab ich noch die Dateien win.exe und pic10.jpg gefunden (die sind ja auch in dem Text über den Virus/Trojaner (oder was das alles zusammen jetzt auch immer ist) dabei...)
So, ich hoffe mal, dass der Profi hier jetzt was rauslesen kann und mir weiterhelfen kann. Danke schonmal

Gruß
Maxe

#4 Einen Eintrag haste ja schon entdeckt.

Zitat

O4 - HKLM\..\Run: [agfsetup] C:\WINDOWS\SYSTEM\setup.exe /2
O4 - HKLM\..\RunOnce: [hhctrl.ocx] C:\WINDOWS\SYSTEM\regsvr32 /s C:\WINDOWS\SYSTEM\hhctrl.ocx
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/suninfoconnect-lo.cab

Die drei sollten auch noch gefixt werden.

Hast Du schon mal AdAware und/oder Spybot Deinen PC überprüfen lassen? Solltest Du unbedingt mal durchlaufen lassen (nach der Installation aber erstmal das WebUpdate ausführen).

Und in Zukunft mit Firefox oder Opera im Internet surfen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Ok, hab alle 4 "gefixt"! und wie gehts jetzt weiter? wars das oder muss ich noch was machen? Ist damit das ganze Riesenproblem gelöst?
Und: Was ist denn jetzt mit dieser winloadhh.dll?

Kenne weder AdAware noch Spybot, würde es aber sicher machen, wenn man mir den sagen könnte, wo ich das herbekommen kann. Muss man das irgendwo kaufen oder kann man sich das runterladen und wenn ja wo. Genauso mit "Firefox" und "Opera" (was ist das eigentlich?)
Wie gesagt, kenn mich schlichtweg nicht aus mit computern.

Herzlichen Dank schonmal

Maxe

#6 Jo, die winloadhh.dll - löschen, wenn vorhanden.
Dann poste noch mal einen HJT-Log.

AdAware ist, genauso wie Spybot, ein Programm, um Spyware und anderen Mist von Deinem PC zu entfernen. AdAware findest Du bei http://www.lavasoft.de/ und Spybot bei http://security.kolla.de

FireFox und Opera sind Alternativen zum Internet Explorer. Sehr viel sicherer und bieten mehr Komfort und Fuktionen. Firefox bekommst Du unter http://www.firefox-browser.de/ und Opera erhälst Du bei http://www.opera.com. Leider ist Opera nicht kostenlos und Du musst entw. bezahlen oder mit nem (wirklich erträglichen) Werbebanner leben.
In Bildern ausgedrückt ist der Internet Explorer nur ein Leinentuch, während Firefox und Opera echte Kondome sind
Aber dasselbe Problem hat man auch mit Windows 98. Die sicherere Alternative ist, wenn man bei Windows bleiben möchte, derzeit nur Windows XP, da der Support für Windows 2000 demnächst ebenfalls eingestellt wird, also auch keine Sicherheitsupdates mehr geben wird. Aber ich schätze, dass Du Dir dann auch gleich nen neuen PC kaufen könntest (ich weiß ja net, was für ein System Du gerade laufen hast, aber wenn da noch Win 98 drauf ist, scheint es ja schon so 5 bis 7 Jahre alt zu sein).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser