AVG meldet C:\WINDOWS\system32\rdsndin.exe (Trojaner)

#31 hi sabina, hoffe du hilfst nochmal ausmisten!

hab alles soweit ausgeführt. diese dateien waren nicht am a.a.o.:

C:\WINDOWS\system32\rdsndin.exe
C:\WINDOWS\System32\dmeyz.exe
C:\WINDOWS\System32\dmjsd.exe
C:\Programme\WareOut

alle anderen habe ich gelöscht und dann neu gestartet.

hier sind die log-files zu runthis.bat:

C:\WINDOWS\RDT.INI

von FindIt's.bat:

»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\TSC.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\RMAGEN~1.DLL
* UPX! C:\WINDOWS\VSAPI32.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20F8-3EA2

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20F8-3EA2

Verzeichnis von C:\WINDOWS\system32

22.09.2003 01:41 318 omega_drivers.ico
17.08.2001 06:42 7.406 SBAudigy.ico
2 Datei(en) 7.724 Bytes
0 Verzeichnis(se), 2.113.458.176 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».


und zuletzt von datfindbat:

1) Verzeichnis von C:\WINDOWS\system32

30.08.2005 19:21 889 vsconfig.xml
30.08.2005 19:19 1.072 settingsbkup.sfm
30.08.2005 19:19 1.072 settings.sfm
30.08.2005 19:19 384 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000004-20021102}.dat
30.08.2005 19:19 384 DVCState-{00000000-00000000-0000000D-00001102-00000004-20021102}.dat
30.08.2005 19:19 32.088 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
30.08.2005 19:19 32.592 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
30.08.2005 19:19 32.088 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
30.08.2005 19:19 32.592 BMXState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
30.08.2005 19:02 21.504 Thumbs.db
30.08.2005 16:05 2.184 wpa.dbl
27.08.2005 12:32 124.928 CD_CLINT.DLL
26.07.2005 23:47 43.520 CmdLineExt03.dll
21.07.2005 20:25 98.304 CmdLineExt.dll
19.07.2005 10:46 643.446 loadctr32.exe
28.06.2005 14:15 4.212 zllictbl.dat
12.06.2005 23:39 34.064 lhacm.acm
10.06.2005 23:48 2.957 jupdate-1.5.0_01-b08.log
03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll

2)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20F8-3EA2

Verzeichnis von C:\DOKUME~1\HOSEMA~1\LOKALE~1\Temp

30.08.2005 19:20 16.384 Perflib_Perfdata_7c4.dat
30.08.2005 18:38 73.276 ~e5.0001
30.08.2005 18:37 16.384 Perflib_Perfdata_790.dat
30.08.2005 18:26 16.384 Perflib_Perfdata_a4.dat
30.08.2005 18:18 354 goapsy128k.pls
30.08.2005 16:05 16.384 Perflib_Perfdata_7a0.dat
6 Datei(en) 139.166 Bytes
0 Verzeichnis(se), 2.113.142.784 Bytes frei


3) Verzeichnis von C:\WINDOWS

30.08.2005 19:21 4.935.101 {00000000-00000000-0000000D-00001102-00000004-20021102}.CDF
30.08.2005 19:21 0 0.log
30.08.2005 19:20 159 wiadebug.log
30.08.2005 19:20 50 wiaservc.log
30.08.2005 19:20 2.048 bootstat.dat
30.08.2005 19:18 32.544 SchedLgU.Txt
30.08.2005 19:04 85.504 Thumbs.db
30.08.2005 18:18 84 winamp.ini
27.08.2005 13:39 69 NeroDigital.ini
27.08.2005 12:50 1.419.876 setupapi.log
27.08.2005 12:31 357 whInstaller.ini
26.08.2005 17:21 197 wmsetup.log
21.08.2005 19:44 99.970 UninstallFirefox.exe
21.08.2005 19:44 4.707 mozver.dat
20.08.2005 18:58 526.084 ntbtlog.txt
16.08.2005 22:43 178.719 setupact.log
10.08.2005 21:31 679 TSC.ini
10.08.2005 21:31 4 RM_RESULT.DAT
10.08.2005 21:30 170 GetServer.ini
10.08.2005 21:30 1.142.784 TMUPDATE.DLL
10.08.2005 21:30 69.689 UNZIP.DLL
10.08.2005 21:30 208.896 PATCH.EXE
09.08.2005 20:15 2.233.186 tsc.ptn
28.07.2005 16:29 1.044.560 vsapi32.dll
28.07.2005 16:29 43.008 BPMNT.dll
28.07.2005 16:08 170.053 tsc.exe
28.07.2005 16:08 71.749 hcextoutput.dll
19.07.2005 10:48 4.334 rdt.ini
17.07.2005 13:31 741 win.ini
08.07.2005 21:05 364.662 DirectX.log
22.06.2005 18:17 30 morphexe.INI
12.06.2005 18:31 18.164 Windows Update.log
12.06.2005 18:31 1.514 ATIWDM.LOG
12.06.2005 18:27 10 WININIT.INI
05.06.2005 20:36 4.935.101 {00000000-00000000-0000000D-00001102-00000004-20021102}.BAK
27.05.2005 15:01 14.057 LUINSTALL.LOG
25.05.2005 16:26 4.376 SYMEVENT.LOG


4) Verzeichnis von C:\

30.08.2005 19:40 0 sys.txt
30.08.2005 19:40 7.165 system.txt
30.08.2005 19:39 591 systemtemp.txt
30.08.2005 19:37 98.578 system32.txt
30.08.2005 19:33 1.632 log.txt
30.08.2005 19:22 17.920 Thumbs.db
30.08.2005 19:20 627 sti.log
30.08.2005 19:20 2.145.386.496 pagefile.sys
27.08.2005 08:01 3.371.358 AVG7DB_F.DAT
20.08.2005 18:52 94 windows.txt
20.08.2005 18:51 369 win.txt
20.08.2005 18:51 81 start.txt
13.08.2005 15:22 5 AVPCallback.log
10.08.2005 21:12 0 23990098.$$$
14.06.2005 18:21 12.005.873 AVG7QT.DAT
27.05.2005 19:21 156 UnInstall.dat
18.05.2005 20:31 277 debugInstaller.txt
25.03.2005 17:38 0 CONFIG.SYS
25.03.2005 17:38 0 IO.SYS
25.03.2005 17:38 0 MSDOS.SYS
25.03.2005 17:38 0 AUTOEXEC.BAT
25.03.2005 17:35 194 boot.ini
23.08.2001 14:00 4.952 bootfont.bin
23.08.2001 14:00 224.032 ntldr
23.08.2001 14:00 45.124 NTDETECT.COM
25 Datei(en) 2.161.165.524 Bytes
0 Verzeichnis(se), 2.113.130.496 Bytes frei


vielen dank und liebe grüße!! gare

#32 Hallo@gare

loesche mit der Killbox:

C:\WINDOWS\RDT.INI
C:\WINDOWS\system32\loadctr32.exe

neustarten

schreibe mir den kompletten Namen der Datei + rechtsklick-->Eigenschaften-->Erstellungsdatum (ist bestimmt 2002 0der so... )

C:\WINDOWS\RMAGEN~1.DLL

dann scanne bitte mit escan + poste alles:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#33 hallo sabina,

vielen dank nochmal soweit! die 2 dateien hab ich gelöscht. die andere datei heisst RMAgentOutput.dll die ist doch relativ jung, nämlich vom 03.05.2005 !? jedenfalls hab ich mir mit blubster wohl keinen gefallen getan... hier ist die e-scan log. hab vor dem scan nochmals geupdatet:



File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-143.dll tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-516.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DCD2B5B-7950-8C59-6A2A-2F49D1690674}" refers to invalid object "SetupExeDll.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-143.dll tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-516.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
File C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP239\A0061234.exe tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP239\A0061235.dll tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP239\A0061239.dll tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP240\A0064242.exe tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP240\A0064243.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP240\A0064244.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP240\A0064247.exe tagged as "not-a-virus:AdWare.HelpExpress". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP240\A0064249.exe tagged as "not-a-virus:AdWare.HelpExpress". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064329.DLL tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064335.exe tagged as "not-a-virus:AdWare.WebHancer.351". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064340.DLL tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064341.dll tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064343.exe tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064347.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064348.EXE tagged as "not-a-virus:AdWare.ToolBar.MyWay.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064349.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.f". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP242\A0064350.dll tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\WINDOWS\LastGood\webhdll.dll tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File F:\ANWENDUNGEN\Blubster\blubstershop.exe tagged as "not-a-virus:AdWare.HelpExpress". Action Taken: No Action Taken.
File F:\ANWENDUNGEN\Blubster\cd_install_336.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File F:\ANWENDUNGEN\Blubster\whcc-1.exe tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.


danke und viele grüsse! gare

#34 Hallo@gare

bevor wir den Webhancer loeschen:
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

welche dll findest du , wenn sich das Tool oeffnet?
__________
MfG Sabina

rund um die PC-Sicherheit

#35 hi sabina!

das prog zeigt die folgenden 3 dateien:

mswsock.dll
winrnr.dll
rsvpsp.dll

and now? viele grüße! markus

#36 Hallo@gare

- versuche den Webhancer+MyWay zu deinstallieren.

Zitat

•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

- CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

- loesche:
C:\WINDOWS\LastGood\webhdll.dll
F:\ANWENDUNGEN\Blubster
C:\Programme\MyWay

- ewido
http://virus-protect.org/ewido.html

- adaware
http://virus-protect.org/adaware.html

- Deaktivieren Wiederherstellung (dann aktiviere sie wieder)
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#37 hi sabina,

an dieser stelle nochmals vielen dank!!

hab soweit alles gelöscht, auch alles was der ccleaner gefunden hat, ohne mir die einträge genauer anzusehen. hoffe da war nichts wichtiges dabei..!

mit ewido u. adaware habe ich ebenfalls gescannt und alles gelöscht.
danach hab ich dann noch die system-backups gelöscht und mit frisch aktualisiertem e-scann gescannt.

hier die log:

Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DCD2B5B-7950-8C59-6A2A-2F49D1690674}" refers to invalid object "SetupExeDll.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.


kannst du mir vielleicht 'nen tipp geben, wie ich mein system zukünftig vor angriffen dieser art schützen kann?
hab das sp2 immer noch nicht drauf, mach ich jetzt aber gleich. habe auch den ewido-wächter aktiviert. bringt der überhaupt was und ist der besser als der von spybot?

danke vorab und schöne grüße! gare

#38 Hallo@gare

#TuneUp2004 (30 Tage free)--> es gibt schon 2006
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

der ewido ist nur 15 Tage free, dann musst du das Tool kaufen.

Kostenloser und guter Guard:
http://virus-protect.org/ms.html
+
SP2
+
mit dem Firefox surfen
+
nicht als Administrator surfen
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit

#39 cool, danke für den tipp!!

TuneUp 2006 hab ich kürzlich erst installiert.
dass man für ewido bezahlen muss wusste ich gar nicht. dachte der wäre kostenlos.
sp2 hab ich jetzt auch drauf und deine guard-empfehlung lade ich gleich runter.

da wär noch die letzte log-file von escan. kann ich das zeug irgendwie löschen oder muss/kann ich damit leben? diese alexa spyware ist glaub ich auch schon länger drauf.
ansonsten scheine ich ja wohl jetzt clean zu sein. ein gutes gefühl!

vielen, vielen dank nochmal, dass du mir so aufopferungsvoll geholfen hast. hätt ja nicht gedacht, dass ich um eine neuinstallation drumrum komme. also danke nochmal!!

gruß gare