Hallo, folgende Einträge aus der automatischen online auswertung gelten als bösesiehe unten Böse einträge)

Sind diese Einträge alle Böse und was passiert wenn ich die fixe? Kennt jemand die dateien: stub.log, DeskAdServ.exe, DeskAdKeep.exe, DeskAdComm.dll.

Ich habe nämlich seit ein paar Tagen das Problem, wenn ich z.B bei web.de oder ebay, etc. mich einloggen bzw surfen will, öffnet sich dauernd ein Fenster mit dem Titel "Sicherheitshinweis", was besagt, dass das Sicherheitszertifikat abgelaufen oder noch nicht gültig ist. Aber wenn ich dann auf "Zertifikat anzeigen" klicke, wird z.B. angezeigt, dass das zertifikat von 02.08.04 bis 03.08.05 gültig ist(bzw haben die dann immer noch gültigkeit). Das ist doch sehr komisch, oder?
In diesem Fenster mit dem Titel "Sicherheitshinweis" wird man gefragt, ob man diesen Vorgang fortsetzten will, wenn ich dann auf "ja" klicke, kommt das selbe Fenster wieder, also muss ich diesen Vorgang mehrmals wiederholen bis ich auf die gewünschte seite komme (nervt und kostet zeit) und dann wird diese seite aber in einer etwas anderen/größeren schriftart als gewöhnlich angezeigt und die symbole zum anklicken sind auch nicht da!

habe ich da ein viurs, trojaner, spyware, etc. eingefangen???

was kann ich gegen die oben/unten aufgeführten probleme tun? vielen danke für hilfe!








Böse einträge:

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = C:PROGRA~1MPLAYERASSETSlank.htm
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c283.cab
Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!

O16 - DPF: Win32 Classes - file://C:WINDOWSJavaclasseswin32ie4.cab
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie ´dialer´, ´casino´, ´free_plugin´ etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen

Hallo,

Zitat:

Sind diese Einträge alle Böse und was passiert wenn ich die fixe?

Offensichtlich handelt es sich hierbei um Malware Dateien. Wenn du die Einträge fixed, dann werde sie in der Registry gelöscht.

Überprüfe mal die genannten Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis.

Poste auch das komplette HijackThis Log-File, da man mit einzelne Brocken an Informationen, nur schwer etwas anfangen kann.

danke für deine antwort, ich werde das mal ausprobieren und morgen die ergebnise posten, da ich jetzt weg muss, hier noch der komplette HijackThis Log-File:

Logfile of HijackThis v1.99.0
Scan saved at 17:24:32, on 09.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
D:\PROGRAMS\FIREWALL SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
D:\PROGRAMS\AVAST 4 HOME VIRUSKIT\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE
D:\PROGRAMS\WINPATROL\WINPATROL.EXE
D:\PROGRAMS\ICQ\ICQLITE.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMS\PALM\HOTSYNC.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tiscali.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\PROGRA~1\MPLAYER\ASSETS\blank.htm
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAMME\WS_FTP PRO\WSBHO2K0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMS\ACROBAT READER 5\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WinPatrol] "d:\PROGRAMS\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\programs\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [SmcService] D:\PROGRAMS\FIREWA~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [SmcService] D:\PROGRAMS\FIREWALL SPF\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] D:\programs\avast 4 Home viruskit\ashServ.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMS\ICQ\ICQLITE.EXE -trayboot
O4 - Startup: HotSync Manager.lnk = D:\programs\palm\hotsync.exe
O4 - Startup: Microsoft Office.lnk = D:\programs\Office 2000 prof\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c283.cab

Hier die ergebnisse vom scan:

File: DeskAdComm.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX


File: DeskAdKeep.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.k (0.66 seconds taken)
mks_vir .Admili (0.21 seconds taken)

File: DeskAdServ.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.m (0.67 seconds taken)
mks_vir .Deskad.J04 (0.21 seconds taken)


Die dateien aus der automatischen online auswertung von HijackThis, welche als böse markiert wurden, könnte ich aber komischerweise weder mit der Windows-suchfunktion noch durch Pfade durchklicken im Explorer finden, obwohl ich bei Ansicht "alle dateien anzeigen" habe:

bei C:\PROGRA~1\MPLAYER\ASSETS\blank.htm war ASSETS\blank.htm nicht im Ordner

von C:\WINDOWS\Java\classes\win32ie4.cab war win32ie4.cab nicht im Ordner

Wieso zeigt denn HijackThis diese Pfade an, wenn ich diese dann nicht im Explorer existieren??

@philxxx
gebe HJT bitte einen eigenen ordner

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

wechsle in den abgesicherten modus und fixe mit HJT
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\PROGRA~1\MPLAYER\ASSETS\blank.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c283.cab
wenn du diesen eintrag nicht kennst, dann fixen
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
diese dateien manuell löschen
DeskAdComm.dll
DeskAdKeep.exe
DeskAdServ.exe
C:\WINDOWS\web\related.htm
neu starten, ein neues HJT logfile posten
chaosman

Zitat:

Zitat von chaosman

@philxxx
gebe HJT bitte einen eigenen ordner

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

chaosman

hallo,
warum soll ich dem HJT einen eigenen ordener geben? ich kann doch nur die log-datei speichern oder?

das mit der ansicht von ordnern hatte ich vorher schon gemacht.

danke für deine hilfe!

Überprüfe die drei nicht gefundenen Dateien nochmals mit Total Commander ->
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder zur Datei und lösche diese (markieren -> F8 -> JA).

Zitat:

warum soll ich dem HJT einen eigenen ordener geben?

Wenn du HijackThis einen eigenen Ordner spendierst, dann wird ein Backup erstellt bevor du die Einträge entfernst.

so ich habe jetzt das gemacht was chaosman beschrieben hat, hier der neuste scan:


Logfile of HijackThis v1.99.0
Scan saved at 17:58:48, on 10.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\PROGRAMS\FIREWALL SPF\SMC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
D:\PROGRAMS\AVAST 4 HOME VIRUSKIT\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE
D:\PROGRAMS\WINPATROL\WINPATROL.EXE
D:\PROGRAMS\ICQ\ICQLITE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMS\PALM\HOTSYNC.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tiscali.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAMME\WS_FTP PRO\WSBHO2K0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMS\ACROBAT READER 5\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WinPatrol] "d:\PROGRAMS\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\programs\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [SmcService] D:\PROGRAMS\FIREWA~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [SmcService] D:\PROGRAMS\FIREWALL SPF\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] D:\programs\avast 4 Home viruskit\ashServ.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMS\ICQ\ICQLITE.EXE -trayboot
O4 - Startup: HotSync Manager.lnk = D:\programs\palm\hotsync.exe
O4 - Startup: Microsoft Office.lnk = D:\programs\Office 2000 prof\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab


@cidre das werde ich jetzt mal ausprobieren

@cidre

[QUOTE=Cidre]Überprüfe die drei nicht gefundenen Dateien nochmals mit Total Commander ->
QUOTE]

ach ich glaube du hast da was falsch verstanden bzw habe ich mich missverständlich ausgedrückt!

die 3 dateien DeskAdServ.exe, DeskAdKeep.exe, DeskAdComm.dll habe ich unter C:\Program Files\DeskAdServ gefunden. diesen ordner habe ich auch nicht mit HJT gefunden sondern das programm WinPatrol hat mich auf diese anwendung aufmerksam gemacht!

Was ich aber nicht finde sind aus dem HJT scan ist:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\PROGRA~1\MPLAYER\ASSETS\blank.htm

hier finde ich nicht "ASSETS\blank.htm"
MPLAYER finde ich auch nicht, aber das ist wohl die Abkürzung für "Windows Media Player", oder?



O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

hier finde ich nicht win32ie4.cab


aber da ich diese sachen vorhin gefixt habe und den ordner DeskAdServ manuell gelöscht habe sind die ja jetzt alle weg/gelöscht und im explorer nicht mehr auffindbar.

hier die ergebnisse vom neuesten HJT scan:

http://www.hijackthis.de/logfiles/ef...3e5e57a80.html

ist jetzt bei mir wieder alles OK?

raven3110

So wie ich das sehe hast du deine auswertung mit Microsoft Baseline gemacht, falls nicht lade es Dir gratis runter es erfüllt fast den gleichen zweck wie Hijack
und so weit ich sehe wenn du den scan im abgesicherten modus durchgeführt hast ist dei rechner sauber.

freundlichst raven3110

Zitat:

Zitat von philxxx

hier die ergebnisse vom neuesten HJT scan:


http://www.hijackthis.de/logfiles/ef...3e5e57a80.html

ist jetzt bei mir wieder alles OK?

@ raven:
Das Logfile soll im Normalmodus erstellt werden; im abgesicherten bringt es nichts. Da wird nur gefixt.
cacatoa