rdsndin.exe, hclean32.exe; Ballon der immer auftaucht

...neu hier

Beiträge: 4

#16 Hallo auch.
Bin zwar neu hier, aber lese schon eine ganze Zeit mit.

Habe mir auch die "Adultfriendfinder"-Toolbar, HCLEAN32.EXE, RDSNDIN.EXE und NTFSNLPA.EXE eingefangen.
Die Toolbar hab ich noch selber weggekriegt, aber bei den 2 Ballons hats dann gefehlt. Hab mich an Sabina's schon gepostete Anleitung gehalten, und denke, das ich sie nun weg habe.
Ich würde aber trotzdem nochmal gerne mein HJT-Log posten, damit ihr bitte mal schauen könnt, ob ich wirklich alles restlos entfernt habe. Noch sind die Balloons nicht aufgegangen, aber das heisst ja bekanntlich noch nix.

Zu meinem System: OS Windows 2000 Prof incl. SP4

Hier mein HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 14:18:21, on 08.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
D:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
D:\PROGRA~1\Serv-U\SERVUD~1.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
D:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Cherry\KeyMan\KeyMan.exe
D:\Programme\Serv-U\ServUTray.exe
D:\Programme\PC Alert 3\alert.exe
D:\Programme\ZoneAlarm3Pro\zapro.exe
D:\Programme\DynDNS\DynDNS.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\ACD Systems\ACDSee\5.0\ACDSee5.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\IDBSvr.exe
C:\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat50\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky\KAVP\kav.exe" /minimize
O4 - HKCU\..\Run: [ServUTrayIcon] D:\Programme\Serv-U\ServUTray.exe
O4 - Startup: ACDSee Temp.lnk = C:\start\acdsee-del.bat
O4 - Startup: DynDNS.lnk = D:\Programme\DynDNS\DynDNS.exe
O4 - Startup: PowerTool-Temp.lnk = C:\start\PowerTool-Del-Temp.bat
O4 - Startup: TaskManager.lnk = C:\WINNT\system32\TASKMGR.EXE
O4 - Startup: UTC.lnk = C:\start\UTC.bat
O4 - Global Startup: PC Alert III.lnk = D:\Programme\PC Alert 3\alert.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Programme\ZoneAlarm3Pro\zapro.exe
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Y-Mess\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Y-Mess\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E847174-0D7C-461B-9910-888DD480ED7B}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E847174-0D7C-461B-9910-888DD480ED7B}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E847174-0D7C-461B-9910-888DD480ED7B}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\BlueSoleil\BTNtService.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky\KAVP\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - D:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - D:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - D:\PROGRA~1\Serv-U\SERVUD~1.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

08.09.2005, 14:54

Ehrenmitglied

Beiträge: 29434

#17 Hallo@skindeep

Datfindbat (poste bitte alles mit der Pfadangabe)

http://virus-protect.org/datfindbat.html

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

HCLEAN32.EXE

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

08.09.2005, 21:01

...neu hier

Beiträge: 4

#18 Okay, dann mal los......

Verzeichnis von C:\WINNT\system32

08.09.2005 15:00 5 SndDrv32b.ini
08.09.2005 13:55 238 vsconfig.xml
08.09.2005 13:55 4.452 nvapps.xml
08.09.2005 13:54 328.447 OODBS.lor
05.09.2005 01:00 100 LuResult.txt
04.09.2005 01:18 643.471 loadctr32.exe
04.09.2005 01:18 155.648 wwlxs.dll
18.08.2005 13:23 1.472.352 MRT.exe

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

08.09.2005 15:58 197 psftpfreedirlist.txt
08.09.2005 15:01 81.920 ~DFE7EE.tmp
08.09.2005 15:00 8.118 peanuts.bmp
08.09.2005 15:00 8.118 doodle.bmp
4 Datei(en) 98.353 Bytes
0 Verzeichnis(se), 4.159.422.464 Bytes frei

Verzeichnis von C:\WINNT

08.09.2005 13:52 643.590 ShellIconCache
08.09.2005 13:18 138.970 ntbtlog.txt
08.09.2005 12:48 753.110 setupapi.log
04.09.2005 01:35 81.791 iis5.log
04.09.2005 01:35 1.916 imsins.log
04.09.2005 01:35 58.383 comsetup.log
04.09.2005 01:35 27.501 ocgen.log
04.09.2005 01:35 1.867 ockodak.log
04.09.2005 01:19 4.517 rdt.ini
03.09.2005 07:57 155 winamp.ini
31.08.2005 22:57 1.080 AUTOLNCH.REG
31.08.2005 22:37 1.828 rvsmsp32.INI
28.08.2005 13:06 936 ModemLog_Bluetooth LAP Modem #2.txt
28.08.2005 13:06 936 ModemLog_Bluetooth LAP Modem.txt
26.08.2005 22:53 1.028 ODBC.INI
05.08.2005 07:33 14.058 SYMEVENT.LOG
03.08.2005 21:10 13.822 Windows Update.log

Verzeichnis von C:\

08.09.2005 20:54 0 sys.txt
08.09.2005 20:54 6.419 system.txt
08.09.2005 20:53 455 systemtemp.txt
08.09.2005 20:52 104.834 system32.txt
08.09.2005 13:54 1.207.959.552 pagefile.sys

Das war die datfind.bat

Und die Antwort von RegSrch

No instances of "HCLEAN32.EXE" found.

Das müsste alles gewesen sein, was ich abarbeiten sollte, oder?? (was vergesssen....nö, glaub nicht)

Schon mal tausend dank im voraus Sabina. :-)

08.09.2005, 23:01

Ehrenmitglied

Beiträge: 29434

#19 kopiere in Download Registry Search Tool :

loadctr32.exe

---------------------------------
rkfiles.zip
http://skads.org/special/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
*Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt

Find_Qoologic.zip:
http://forums.net-integration.net/index.php?act=Attach&type=post&id=134981
Speichere dir Datei auf dem Desktop und doppelklick
*entpacken extract) in C:\FindQoologic.
*FindQoologic -- klicke Find-Qoologic.bat.
*wenn eine Warnung erscheint -- "script/batch file trying to run",schliesse sie.
*warte, bis eine Textdatei erstellt wird (auch wenn es lange dauert)-- kopiere sie in deinen Thread (readme.txt)

Find T.zip
http://forums.net-integration.net/index.php?act=Attach&type=post&id=156424
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread

Silentrunner (bitte abarbeiten)
http://virus-protect.org/silentrunner.html

-----------
Info:
ist fuer mich
04.09.2005 01:18 643.471 loadctr32.exe
04.09.2005 01:18 155.648 wwlxs.dll
04.09.2005 01:19 4.517 rdt.ini
__________
MfG Sabina

rund um die PC-Sicherheit

09.09.2005, 03:28

...neu hier

Beiträge: 4

#20 So, alles gemacht.

Ich hab jetzt alles, was du oben aufgeführt hast, im abgesicherten Modus abgearbeitet, hoffe, das stört nicht.

Und los gehts.....

Registry Search Tool mit loadctr32.exe war ohne Ergebnis.

RKFiles

C:\Download\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

Find_Qoologic
Find Qoologic last edited 9/02/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77885ba9

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
PC Alert III.lnk
ZoneAlarm Pro.lnk

User Startup:
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
.
..
ACDSee Temp.lnk
DynDNS.lnk
PowerTool-Temp.lnk
TaskManager.lnk
UTC.lnk

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

Find T
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

C:\WINNT\SYSTEM32\LOADCT~1.EXE
C:\WINNT\RDT.INI

Silent Runners

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ServUTrayIcon" = "D:\Programme\Serv-U\ServUTray.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"CherryKeyMan" = ""C:\Programme\Cherry\KeyMan\KeyMan.exe"" ["Cherry GmbH"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"KAVPersonal50" = ""D:\Programme\Kaspersky\KAVP\kav.exe" /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Acrobat50\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\FrontPage2003\OFFICE11\msohev.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\OFFICE~1\Office\1031\UNBIND.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\SmartFTP\SmartHook.dll" ["SmartFTP"]
"{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht"
-> {CLSID}\InProcServer32\(Default) = "ppiv30.dll" [null data]
"{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}" = "OODefrag"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{FBF23B40-E3F0-101B-8488-00AA003E56F8}" = "Internetverknüpfung" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "shdocvw.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], ["O&O Software GmbH"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Kaspersky\KAVP\shellex.dll" ["Kaspersky Lab"]
Keyman\(Default) = "{1D90D062-79E5-4A16-A162-98CDAC75C915}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll" [empty string]
OODefrag\(Default) = "{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Keyman\(Default) = "{1D90D062-79E5-4A16-A162-98CDAC75C915}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Kaspersky\KAVP\shellex.dll" ["Kaspersky Lab"]
OODefrag\(Default) = "{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\start\annoying_2.bmp"

Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
"ACDSee Temp" -> shortcut to: "C:\start\acdsee-del.bat" [null data]
"DynDNS" -> shortcut to: "D:\Programme\DynDNS\DynDNS.exe" ["Kana Solution"]
"PowerTool-Temp" -> shortcut to: "C:\start\PowerTool-Del-Temp.bat" [null data]
"TaskManager" -> shortcut to: "C:\WINNT\system32\TASKMGR.EXE" [MS]
"UTC" -> shortcut to: "C:\start\UTC.bat" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"PC Alert III" -> shortcut to: "D:\Programme\PC Alert 3\alert.exe" ["MICRO-STAR INT'L CO., LTD."]
"ZoneAlarm Pro" -> shortcut to: "D:\Programme\ZoneAlarm3Pro\zapro.exe" ["Zone Labs Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "D:\PROGRA~1\Y-Mess\YPager.exe" ["Yahoo! Inc."]

Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

BlueSoleil Hid Service, BlueSoleil Hid Service, "D:\Programme\BlueSoleil\BTNtService.exe" [null data]
Cherry Device Interface, Cherry Device Interface, "C:\Programme\Cherry\CDI\CDI.exe" ["Cherry Gmbh, Auerbach Germany, www.cherry.de"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
Crypkey License, Crypkey License, "crypserv.exe" ["Kenonic Controls Ltd."]
kavsvc, kavsvc, ""D:\Programme\Kaspersky\KAVP\kavsvc.exe"" ["Kaspersky Lab"]
Netzwerk-DDE-Serverdienst, NetDDEdsdm, "C:\WINNT\system32\netdde.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINNT\system32\oodag.exe" ["O&O Software GmbH"]
Office Source Engine, ose, "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE" [MS]
RVS CommCenter, RvsCC, "D:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE" [empty string]
RVS Installer, RVSINST, "D:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE" ["RVS Datentechnik GmbH, München"]
Serv-U FTP Server, Serv-U, "D:\PROGRA~1\Serv-U\SERVUD~1.EXE" [null data]
TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINNT\System32\dmadmin.exe /com" ["VERITAS Software Corp."]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 21 seconds, including 13 seconds for message boxes)

Noch was.

Bei seinem täglichem automatischem Virenscann hat mein Kaspersky folgendes gefunden und isoliert:
wwlxs.dll
exdl.rar

Sind jetzt beide in Isolation, kann sie also jederzeit löschen.

CU, und danke, immer wieder danke....

09.09.2005, 12:10

Ehrenmitglied

Beiträge: 29434

#21 •KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\exdl.rar
C:\WINNT\exdl.rar
C:\WINNT\system32\loadctr32.exe
C:\WINNT\system32\wwlxs.dll
C:\WINNT\SYSTEM32\NTFSNLPA.EXE
C:\WINNT\SYSTEM32\RDSNDIN.EXE
C:\WINNT\BALLOON.WAV
C:\WINNT\RDT.INI

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

09.09.2005, 15:17

...neu hier

Beiträge: 4

#22 Okay, KillBox ausgeführt, mit allen Files die du mir da genannt hast.

Und hier das Ergebnis von SmitRem

smitRem log file
version 2.3

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN!

09.09.2005, 16:05

Ehrenmitglied

Beiträge: 29434

#23 Onlinescan (Panda) + Bitdefender/Online berichte von den Scans

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

24.09.2005, 11:06

...neu hier

Beiträge: 4

#24 Hallo Sabina,

ich habe ebenfalls ein Problem mit hclean32.exe und rdsndin.exe. Jedes mal, wenn ich den Browser geöffnet habe (Firefox), konnt die Meldung. Weil Anitvir nichts gefunden hat, bin ich auf AVG umgestiegen. Ebenfalls ohne Erfolg. Dann habe ich diese Thread hier gefunden und fange mal an alle logs zu posten:

Logfile of HijackThis v1.99.1
Scan saved at 10:42:57, on 24.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
D:\Temp\hijackthis\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{717F303B-54E1-4EFA-8232-7A3D2BEDF03A}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C6B523A-F3D1-4694-A958-8158F8F61D5D}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{80DF4CE3-B130-46F4-A880-743F1BD91D4A}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{96F82132-785C-4A9A-A606-08BAFE2794CF}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBDB06BA-06EF-4278-9DC5-800892663CD8}: NameServer = 192.168.1.1,85.255.113.138
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

Datfind.bat
-----------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3C04-F18E

Verzeichnis von C:\WINDOWS\system32

24.09.2005 09:52 21.828 nvapps.xml
24.09.2005 09:44 2.206 wpa.dbl
23.09.2005 18:06 45.568 ntfsnlpa.exe
31.08.2005 08:08 643.471 loadctr32.exe
31.08.2005 08:08 705 trapi12.exe
30.08.2005 23:05 54.792 csbql.exe
01.06.2005 23:25 35.128 SpoonUninstall-dBpowerAMP Music Converter.dat
01.06.2005 23:25 130.048 SpoonUninstall.exe
01.06.2005 23:24 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3C04-F18E

Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3C04-F18E

Verzeichnis von C:\WINDOWS

24.09.2005 09:53 50 wiaservc.log
24.09.2005 09:53 159 wiadebug.log
24.09.2005 09:52 2.048 bootstat.dat
23.09.2005 18:06 6.400 balloon.wav
20.09.2005 21:44 155 winamp.ini
15.09.2005 00:16 227 system.ini
15.09.2005 00:16 517 win.ini
14.09.2005 22:11 7.529 mozver.dat
31.08.2005 22:41 99.965 UninstallFirefox.exe
30.08.2005 23:25 116 NeroDigital.ini

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3C04-F18E

Verzeichnis von C:\

24.09.2005 11:01 0 sys.txt
24.09.2005 11:00 3.345 system.txt
24.09.2005 11:00 126 systemtemp.txt
24.09.2005 10:54 98.409 system32.txt
23.09.2005 08:20 13.275.822 AVG7DB_F.DAT
22.09.2005 20:08 12.339.825 AVG7QT.DAT
15.09.2005 00:16 211 boot.ini
13.07.2005 19:05 1.609.801.728 pagefile.sys

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"hclean32.exe" = "C:\WINDOWS\system32\hclean32.exe" [file not found]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}" = "Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer LTD"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\savshellext.dll" [file not found]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csbql.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {CLSID}\InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\savshellext.dll" [file not found]
TagRename_ContextMenu\(Default) = "{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer LTD"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {CLSID}\InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\savshellext.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {CLSID}\InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\savshellext.dll" [file not found]
TagRename_ContextMenu\(Default) = "{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer LTD"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]

Startup items in "Chris" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Acrobat Speed Launcher" -> shortcut to: "C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe" [null data]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"ZDWLan Utility" -> shortcut to: "C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe" [empty string]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\ = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
2 of the IP addresses are *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
Kerio Personal Firewall, PersFw, ""C:\Programme\Kerio\Personal Firewall\persfw.exe"" ["Kerio Technologies"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 33 seconds, including 18 seconds for message boxes)

24.09.2005, 11:09

Ehrenmitglied

Beiträge: 29434

#25 Hallo@gokpog

ich sehe schon was los ist, aber ich brauche noch das hier:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
wenn du gefragt wirst, ob reboot, klicke Yes
nun findet man eine Textdatei auf dem Desktop:
__________
MfG Sabina

rund um die PC-Sicherheit

24.09.2005, 11:18

...neu hier

Beiträge: 4

#26 Vielen Dank schonmal.
Ich weis nicht, ob das richtig durchgelaufen ist:
Ich drücke auf "scan" und der sucht ca. 20 sec, danach ohne Vorwanrung -> Neustart. Hier jedenfalls das log aus diesem Durchgang:

09/24/05 11:14:03 [Info]: BlackLight Engine 1.0.23 initialized
09/24/05 11:14:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/24/05 11:14:03 [Note]: 4019 0
09/24/05 11:14:03 [Note]: 4019 1
09/24/05 11:14:03 [Note]: 4019 2
09/24/05 11:14:03 [Note]: 4019 3
09/24/05 11:14:03 [Note]: 4019 4
09/24/05 11:14:03 [Note]: 4005 0
09/24/05 11:14:21 [Note]: 4006 0
09/24/05 11:14:21 [Note]: 4011 1704
09/24/05 11:14:21 [Note]: FSRAW library version 1.7.1011

24.09.2005, 11:33

Ehrenmitglied

Beiträge: 29434

#27 oben im Browser-->Datei--> speichern unter.... waehle Desktop, er erscheint eine war.reg
http://virus-protect.org/reg/war.reg

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\SYSTEM32\RDSNDIN.EXE
C:\WINDOWS\RDT.INI
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\trapi12.exe
C:\WINDOWS\system32\csbql.exe
C:\WINDOWS\balloon.wav

PC neustarten

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "war.reg" auf dem Desktop doppelklicken und der registry beifuegen

wieder im Normalmodus:

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{717F303B-54E1-4EFA-8232-7A3D2BEDF03A}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C6B523A-F3D1-4694-A958-8158F8F61D5D}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{80DF4CE3-B130-46F4-A880-743F1BD91D4A}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{96F82132-785C-4A9A-A606-08BAFE2794CF}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBDB06BA-06EF-4278-9DC5-800892663CD8}: NameServer = 192.168.1.1,85.255.113.138

PC neustarten
(du musst nun deine Internetverbindung neu erstellen)

scanne mit Kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

24.09.2005, 22:45

...neu hier

Beiträge: 4

#28 Ich kann die .reg Datei im abgesicherten Modus nicht ausführen, es kommt eine Fehlermeldung, dass es sich nicht um eine Registrierungdatei handelt.

Muss ich einen der og. Schritte wiederholen? Und wie schaffe ich es, die .reg Datei einzutragen?

24.09.2005, 22:49

Ehrenmitglied

Beiträge: 29434

#29 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""

__________
MfG Sabina

rund um die PC-Sicherheit

25.09.2005, 10:25