hclean ballon,hgqhp.exe, NameServer = 195.95.218.35,85.255.112.11

#46 na das war mal eine gute Idee. Panda hatte nix zu beanstanden aber dann der Kollege Kaspersky und schlug Alarm:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 14, 2005 18:18:49
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/09/2005
Kaspersky Anti-Virus database records: 140299
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 53907
Number of viruses found: 5
Number of infected objects: 19
Number of suspicious objects: 2
Duration of the scan process: 2901 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED/3.5.exe Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Posteingang.dbx/[From Hostmaster@compuserve.de][Date Thu, 25 Nov 2004 15:46:04 UTC]/UNNAMED/compuserve.DOC.scr Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Posteingang.dbx/[From Hostmaster@compuserve.de][Date Thu, 25 Nov 2004 15:46:04 UTC]/UNNAMED Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Posteingang.dbx Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED/3.5.exe Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Gelöschte Objekte.dbx/[From meggert78 <meggert78@hotmail.com>][Date Tue, 29 Jun 2004 22:49:43 +0200]/UNNAMED Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Gelöschte Objekte.dbx Infected: Email-Worm.Win32.Klez.h
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Posteingang.dbx/[From Hostmaster@compuserve.de][Date Thu, 25 Nov 2004 15:46:04 UTC]/UNNAMED/compuserve.DOC.scr Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Posteingang.dbx/[From Hostmaster@compuserve.de][Date Thu, 25 Nov 2004 15:46:04 UTC]/UNNAMED Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Desktop\Schule Gandersheim\stick schule\XPMail\Posteingang.dbx Infected: Email-Worm.Win32.Sober.i
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postbank <support@postbank.de>][Date Tue, 19 Jul 2005 18:06:31 -0500]/UNNAMED/UNNAMED/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.ib
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postbank <support@postbank.de>][Date Tue, 19 Jul 2005 18:06:31 -0500]/UNNAMED/UNNAMED/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.ib
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postbank <support@postbank.de>][Date Tue, 19 Jul 2005 18:06:31 -0500]/UNNAMED/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.ib
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postbank <support@postbank.de>][Date Tue, 19 Jul 2005 18:06:31 -0500]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.ib
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From PostBank.de <SecurityUpdate@postbanck.net>][Date Tue, 02 Aug 2005 17:09:13 -0700]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.if
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From PostBank.de <SecurityUpdate@postbanck.net>][Date Tue, 02 Aug 2005 17:09:13 -0700]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.if
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{337729AE-5C0D-449C-B81E-9672B8BF3ADD}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bankfraud.if

Scan process completed.

Wenn mich nicht alles täuscht, handelt es sich dabei um ´ne Menge nicht ganz gelöschter E-mails bzw. Adressbuchdateien, die ich mal gespeichert habe, oder? Kann ich die Dateien einfach löschen und so mein Problem beheben, wohl nicht, oder?

Und im Übrigen ist mein blöder O17-Eintrag bei der Einwahl ins Netz immer noch da! Sch....!!!!

#47

Zitat

Eckart postete
2. der wareout-remover hängt irgendwie noch in meinem System. Antivir meldet sich nämlich ab und an wieder mit einer Warnung vor einem Teil, das das erste Mal bei der Installation desselben erschienen ist. DAs Programm "system32\process.exe" würde die "Signatur des SPR/Processor.20-Programmes" enthalten. Ist das was schlimmes??

also, den wareout remover hab ich inzwischen gelöscht, und ist bisher auch nichts dergleichen wieder aufgetreten, aber was bedeutet die antivir Warnung???

Ok und hier noch der Application Error:

Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2800.1106, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.1221, Fehleradresse 0x0000b2ab.

#48 Hallo@Eckart

hast du Sysinternals oder Office-Programm geladen?

du musst die XP-CD zur Hand haben:
Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit

#49 Hallo@horrst

Vermeide bitte mit Outlook zu arbeiten, es ist einfach zu unsicher.

Zitat

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Posteingang.dbx Infected: Email-Worm.Win32.Sober.i

Zitat

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities\{06D20EC2-35B2-434F-8718-F8AEC5BBF466}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Email-Worm.Win32.Klez.h

W32.Sober.I@mm-Removal
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html

W32.Klez
Removal using the removal tool
http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.h@mm.html
Symantec has provided a tool to remove the infections of all the known variants of W32.Klez and W32.ElKern. Try this removal tool first, as it is the easiest way to remove the threats.
-----------------------------------------------------------------------------------

Suche dir einen Mailanbieter im Web, der sichere Mailfilter eingestellt hat.
Die Mails, die verseucht sind, solltest du alle loeschen.

kleine Info: (auch zur Postbank-Pishing-Mail)
http://virus-protect.org/phishing1.html

fuehre dann bitte noch andere Onlinescanns aus ...es gibt zwei Seiten mit Onlinescans auf meiner Webseite ....(auch noch mal mit dem Kaspersky, bis alles sauber ist)
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hi @Sabina
Habs versucht, aber der PC fordert von mir eine Windows XP Professional Service PAck 1 CD, Besitz ich aber nicht, da ich Windows XP MEdia Center Edition 2004 drauf habe, aber seit dem Versuch, das SP 2 zu installieren, klappt das nicht mehr und meine CDs werden nicht mehr akzeptiert.
Das war einer Zeit auch eine sehr aufwändige Sache. Aber der Microsoft Service, der mit mir den Computer wieder vom SP2 befreit hat, hat einfach gemeint, das müsste ein Fujitsu Siemens Problem sein, weil "Media Center hat ja mit Windows nix zu tun".......

Sch...önes Windows!

DAnn wende ich mich halt mal wieder an MS selber, oder hast du eine Lösung für mein Problem??

LG Eckart

#51 Hallo@Eckart

Start -- Ausführen -- cmd
DOS öffnet sich

kopiere rein:

dir C:\WINDOWS\system32\ntdll.dll /a h > files.txt
notepad files.txt


der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Hallo zusammen,

meine Probleme scheinen sich zu lösen. Schon mal ein dickes Lob an all die, die mich in den letzten Tagen durch diese Wirren geführt haben. Allen voran eine tiefe Verbeugung vor Sabina! Irre gut, dass es Leute wie dich gibt. Tiefste Verbeugung!!

Also, ich habe die infizierten Dateien gelöscht und mehrere Scanner drüber laufen lassen und selbst Kollege Kaspersky meckert jetzt nicht mehr. Mein Google-Problem, also das Umleiten bei den Suchergebnis-Links ist auch weg. So weit, so gut! Nur:

Der ungeliebte Eintrag

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11

erscheint weiterhin bei bestehenden Internetverbindung im Hijack-log. Ist das normal? Bräuchte vielleicht eine kurze Erklärung dieses Eintrages.

Outlook is nich gut, klar. Was sind die Alternativen?

Sabina, würde mich gern erkenntlich zeigen, nur, mit Hilfe in einem Computerforum kann ich dir wohl kaum dienen... hm!?

#53 Hallo Sabina!

dabei kommt nur
"Datei nicht gefunden
Datei nicht gefunden"

Hab ich was falsch eingegeben??

#54 Hallo@horrst

Zitat

start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
"NameServer" = "195.95.218.4,85.255.112.9"<--loeschen

HKEY_CURRENT_USER\RemoteAccess\Profile
"IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"<---loeschen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters\Adapters
"NameServer" = "69.50.176.196,195.225.176.37"<--loeschen


------------------------------------------------------------------------------------

C:\Documents and Settings\All Users\Application Data\rasphone.pbk

Windowssuche:
eingeben: rasphone.pbk --> rechtsklick --> oeffnen mit -->
nimm das Haekchen raus aus" Deselect the "Always use this program to open this program" check box." (mein System ist in Englisch..ich weiss nicht, wie das auf einem dt.System heisst)

scrolle bis du zum Notepad(Texteditor) kommst --> oeffnen-->
loesche:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

abspeichern im Notepad und schliessen


Zitat:
# Windows XP

1. Click Start, and then click Search.
2. Click All files and folders.
3. In the "All or part of the file name" box, type:

rasphone.pbk
4. Verify that "Look in" is set to "Local Hard Drives" or to (C.
5. Click "More advanced options."
6. Check "Search system folders."
7. Check "Search subfolders."
8. Click Search.
9. Click Find Now or Search Now.
10. If you find rasphone.pbk file, right-click the file, and then click "Open With."
11. Deselect the "Always use this program to open this program" check box.
12. Scroll through the list of programs and double-click Notepad.
13. When the file opens, delete the entries below:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

14. Close Notepad and save your changes when prompted.

http://securityresponse.symantec.com/avcenter/venc/data/pf/trojan.flush.a.html

dann;mit dem HijackThis fixen, PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Hallo@Eckart

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir C:\WINDOWS\system32\ntdll.dll /a h > files.txt
notepad files.txt

- Speichern als: Findfile.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor öffnet sich-->poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#56 Das Ergebnis sieht folgendermaßen aus:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0807-9594

Verzeichnis von C:\WINDOWS\system32


Verzeichnis von C:\Dokumente und Einstellungen\Eckart\Desktop

irgendwie nix spektakuläres oder???
Eckart

#57 Hallo@Sabina

leider ist keine der Dateien zu finden, bzw. an der Stelle HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: taucht kein server Name auf.Habe die datei trotzdem gelöscht,leider ist der Rest, wie gesagt, nicht aufzufinden...

was nu?

#58 Hallo@Eckart

ich habe einen Fehler gemachtalso alles noch mal und entschuldige)

Start -- Ausführen -- cmd
DOS öffnet sich

kopiere rein:

dir C:\WINDOWS\system32\ntdll.dll /a h > files.txt
notepad files.txt

der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)

------------------------------------------------------------------------------------
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir C:\WINDOWS\system32\ntdll.dll /a h > files.txt
notepad files.txt

- Speichern als: Find.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Find.bat--> doppelklick auf die bat-Datei , der Editor öffnet sich-->poste den Text

------------------------------------------------------------------------------------
Windows-Suche-->ntdll.dll findest du die dll ?? --> rechtskick-->Eigenschaften
__________
MfG Sabina

rund um die PC-Sicherheit

#59

Zitat

horrst postete
Hallo@Sabina

leider ist keine der Dateien zu finden, bzw. an der Stelle HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: taucht kein server Name auf.Habe die datei trotzdem gelöscht,leider ist der Rest, wie gesagt, nicht aufzufinden...

was nu?

wenn du das geloescht hast ud auch im HijackThis gefixt, poste das neue Log vom HijackTHis (es reicht der 017-Eintrag)

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

{7DCBC11E-A519-4325-A9DC-9B5BFA699508}

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
__________
MfG Sabina

rund um die PC-Sicherheit

#60 HI Sabina!

Willst du wirklich den ganzen datenwust, den es da öffnet, wobei ich den command immer noch etwas anzweifle, er fragt mich nämlich mit welchem Programmtyp ich diese dll-Datei öffnen will.wäre es vielleicht einfacher, ich schicke dir die ntdll.dll dann kannst du diese mal unter die Lupe nehmen?

und bei der windows version kommt folgendes:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0807-9594

Verzeichnis von C:\WINDOWS\system32

22.05.2003 18:46 679.936 ntdll.dll
1 Datei(en) 679.936 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Eckart\Desktop

und unter eigenschaften steht im Prinzip nur die Version:
5.1.2600.1221
(xpsp2.030511-1403)

Eckart