Grüßt euch !!

Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab !

Endlich darf ich auch mal eine Meldung hier herreinstellen,da mich ein ziemlich zäher Pursche erwischt hat. Jedesmal wenn ich den IE öffne,dann bekomme ich in der URL about:blank angezeigt und lande bei einer ominösen Suchmachine. Hab das Teil schon seit 2 Wochen drauf,finde aber leider nun erst die Zeit hier was zu posten.

Mein Problem ist,daß ich dieses Ding leider nicht loswerde,denn jedes mal wenn ich Spybot,Kaspersky,Microsoft`s Antispywareteil UND HijackThis rüberrennen lasse (das selbe im abgesichertem Modus) dann bekomme ich das Teil wunderbar angezeigt,kann es auch löschen,doch beim zweiten Scan danach ist es auf wundersame weise wieder da. Hat fast den Anschein,daß meine Registry schreibgeschützt ist ( oder das Programm diese an bestimmter Stelle verändert hat ). Er scheint sich auch irgendwie vor HijackThis zu verstecken,denn die neueren Versionen von Hijack zeigen mir nach einem Scann garnüscht an. Auch E-Scan hat nichts geholfen. Die Beta6 von der ihr sprecht hab ich auch schon rüberrennen lassen,sagt mir aber,daß ich frei von allem bin. Wenn die wüßte.....

So,nun kommen noch die Logs und dann raufe ich mir die Haare und harre dem was kömmt.

LOGS:

Logfile of HijackThis v1.99.1
Scan saved at 15:43:58, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1034_EN_XP.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106544256625
O16 - DPF: {9EAC0186-5F5A-4362-B120-15C312CE012D} - http://www.awmdabest.com/cabl/987/tb.cab
O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe

und die Startuplist :

StartupList report, 11.03.2005, 15:51:27
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
KAVPersonal50 = D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
gcasServ = "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
UpdReg = C:\WINDOWS\UpdReg.EXE

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\system32\dllcache\notepad.exe %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\msasmsn7.dll (file missing) - {0E234239-88FF-11D2-8446-D7234234421F}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = d:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{11111111-1111-1111-1111-111111113457}]
CODEBASE = file://c:\explorer.cab

[YInstStarter Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\yinsthelper.dll
CODEBASE = http://download.yahoo.com/dl/yinst/yinst_current.cab

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}]
CODEBASE = http://download.mcafee.com/molbin/sh...3/mcinsctl.cab

[EGEGAUTH Class]
InProcServer32 = C:\WINDOWS\eg_auth_mut03.dll
CODEBASE = http://akamai.downloadv3.com/binarie...1034_EN_XP.cab

[{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1106544256625

[{9EAC0186-5F5A-4362-B120-15C312CE012D}]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\tb.dll
CODEBASE = http://www.awmdabest.com/cabl/987/tb.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...010.1441898148

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Aspi32: System32\drivers\aspi32.sys (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
EIO: \??\C:\WINDOWS\system32\drivers\EIO.sys (autostart)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
ewido security suite control: d:\Programme\ewido\security suite\ewidoctrl.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
kavsvc: D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (autostart)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\System32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
RPC+ Service Provider: C:\WINDOWS\System32\rpcss_pl.exe (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Upload-Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 10.595 bytes
Report generated in 0,344 seconds

Dies ist ein kleiner Bonus den mir Hijack beim Start eines Scanns immer ausgibt.Sowohl im normalen Modus und auch im abgesichertem:

An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()
Error #75 - Fehler beim Zugriff auf Pfad/Datei

HijackThis version: 1.99.1

und als letztes um Kasten hier dicht zu bekommen auch noch das StartDreck.log,wobei man Dreck wohl wörtlich nehmen kann bei meinem Problem.

StartDreck (build 2.1.7 public stable) - 2005-03-11 @ 16:42:43 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Black Duck at KRISCHAN

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
*KAVPersonal50=D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
*gcasServ="C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
*UpdReg=C:\WINDOWS\UpdReg.EXE
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="D:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\system32\dllcache\notepad.exe %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*{0E234239-88FF-11D2-8446-D7234234421F}
`InprocServer32=C:\WINDOWS\System32\msasmsn7.dll
»Files
»Autostart Folders
»Current User
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check 2.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>

Zitat:

Zitat von Black Duck

Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab !

Endlich darf ich auch mal eine Meldung hier herreinstellen,da mich ein ziemlich zäher Pursche erwischt hat. Jedesmal wenn ich den IE öffne,dann bekomme ich in der URL about:blank angezeigt und lande bei einer ominösen Suchmachine.

Wenn Du wirklich schon eine Weile hier mitliest, dann würdest Du den IE nur zum Updaten nutzen und ansonsten möglichst verbannen.

Ansonsten: Poste Logfile HJT und eScan (ok, zumindest HJT ist ja jetzt da. )

Gruß
Yopie

Zitat:

Zitat von Black Duck

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du liest hier schon länger mit, und trotzdem ist Dein BS nicht up-to-date?

Zitat:

Zitat von Black Duck

C:\WINDOWS\System32\rpcss_pl.exe

Mmmh... Malware? http://virusscan.jotti.org/
Evtl. vorher den Prozess beenden.

Hast Du das HJT-Log im normalen oder im abgesicherten Modus erstellt? Kommt mir so kurz vor.

Gruß
Yopie

Grüß dich Yopie !

Nich böse sein,aber mit dem SP2 konnte ich mich noch nicht so richtig anfreunden,da einige in meinem Freundeskreis diverse Probleme mit einigen Programmen unter SP2 hatten.
Ok,beim IE hast mich natürlich voll erwischt,geb ich zu,ich liebäugle aber schon seit längerer Zeit mit dem Feuerfuchs.

Meine Logs wurden allesamt im abgesichertem Modus erstellt,nur bekomme ich immer ein Timeout von dieser Webseite wenn ich den Rest von den Logs posten möchte,doch es geht noch weiter nach "idle".

Die rpcss_pl.exe kam mir auch schon schleierhaft vor,hatte ich schonmal unter google eingegeben und auch hier danach gesucht.

Gruß ,Krisch

Hi Black Duck;

Es waere nett, wenn du folgende Dateien an virus(at)rokop-security.de schicken koenntest:

c:\explorer.cab
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\System32\DRIVERS\bootcom.sys

Kleiner Nachtrag:

Wenn du das auch noch finden solltest, schicke es bitte auch. Nur um zu sehen, welche Kaspersky von den Dateien schon gekickt hat.

C:\WINDOWS\System32\perfcl.exe
C:\WINDOWS\System32\msamsn1.dll
C:\WINDOWS\System32\msamsn2.dll
C:\WINDOWS\System32\msamsn3.dll
C:\WINDOWS\System32\msamsn4.dll
C:\WINDOWS\System32\msamsn5.dll
C:\WINDOWS\System32\msamsn6.dll
C:\WINDOWS\System32\msamsn7.dll
C:\WINDOWS\System32\msamsn8.dll
C:\WINDOWS\System32\msamsn9.dll
C:\WINDOWS\System32\msxxabt1.dll
C:\WINDOWS\System32\msxxabt2.dll
C:\WINDOWS\System32\msxxabt3.dll
C:\WINDOWS\System32\msxxabt4.dll
C:\WINDOWS\System32\msxxabt5.dll
C:\WINDOWS\System32\msxxabt6.dll
C:\WINDOWS\System32\msxxabt7.dll
C:\WINDOWS\System32\msxxabt8.dll
C:\WINDOWS\System32\msxxabt9.dll
C:\WINDOWS\System32\wuactl1.exe
C:\WINDOWS\System32\wuactl2.exe
C:\WINDOWS\System32\wuactl3.exe
C:\WINDOWS\System32\wuactl4.exe
C:\WINDOWS\System32\wuactl5.exe
C:\WINDOWS\System32\wuactl6.exe
C:\WINDOWS\System32\wuactl7.exe
C:\WINDOWS\System32\wuactl8.exe
C:\WINDOWS\System32\wuactl9.exe
C:\WINDOWS\System32\wauctlxp1.exe
C:\WINDOWS\System32\wauctlxp2.exe
C:\WINDOWS\System32\wauctlxp3.exe
C:\WINDOWS\System32\wauctlxp4.exe
C:\WINDOWS\System32\wauctlxp5.exe
C:\WINDOWS\System32\wauctlxp6.exe
C:\WINDOWS\System32\wauctlxp7.exe
C:\WINDOWS\System32\wauctlxp8.exe
C:\WINDOWS\System32\wauctlxp9.exe

HI raman,

hab mich nun auf der anderen Seite registriert,aber wo und an wen soll ich die dateien schicken wenn ich danach gescannt habe ?

Gruß & schönen Abend,

Krisch

Nimm virus@rokop-security.de . Den Hijacker den du dir dda eingefangen hast ist etwas schwerer zu entfernen. Auf diversen Engliscsprachigen Seiten gibt es schon Loesungsansaetze dazu.

MERCY !

werde aber morgen damit weitermachen,denn meine Frau zerrt mich hier gerade vom Rechner.

Dank Dir,erstmal !

Moin moin ,

würde ja gerne wie verlangt das EScan Log posten,aber das Teil ist ja hammerartig groß und das obwohl ich nur C gescannt habe.
Ich bezweifle das auch,daß ich das upgeloaded bekomme,bevor ich hier von der Seite ein Timeout bekomme.

Gruß,Krisch

Hallo @Black Duck,

Zitat:

EScan Log posten,aber das Teil ist ja hammerartig groß

Poste nur die relevanten Infos der Virus Log Information:

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Grrüß dich Cidre,

hab mal so suchen lassen wie du vorgabst und bei *tagged* findet er garnichts und bei *infected* springt er nur ganz nach unten wo dann folgendes steht :
Fri Mar 11 20:47:14 2005 => ***** Scanning complete. *****

Fri Mar 11 20:47:14 2005 => Total Files Scanned: 26077
Fri Mar 11 20:47:14 2005 => Total Virus(es) Found: 0
Fri Mar 11 20:47:14 2005 => Total Disinfected Files: 0

Zitat:

Fri Mar 11 20:47:14 2005 => Total Files Scanned: 26077

Das sind eindeutig zu wenig gescannte Dateien, du musst nach dem Programmstart die Haken richtig setzen.
Führe deshalb eScan AntiVirus nochmals im abgesicherten Modus nach Anleitung aus und poste dann die Infos.

Mahlzeit !!

nun ist EScan endlich durch,war aber nicht so richtig ergiebig:

at Mar 12 11:01:57 2005 => File D:\Programme\Alcohol Soft\Alcohol 120
\Alcohol_1.4.114_Patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action

Sat Mar 12 13:30:45 2005 => ***** Scanning complete. *****

Sat Mar 12 13:30:45 2005 => Total Files Scanned: 72531
Sat Mar 12 13:30:45 2005 => Total Virus(es) Found: 1
Sat Mar 12 13:30:45 2005 => Total Disinfected Files: 0
Sat Mar 12 13:30:45 2005 => Total Files Renamed: 0
Sat Mar 12 13:30:45 2005 => Total Deleted Files: 0
Sat Mar 12 13:30:45 2005 => Total Errors: 74
Sat Mar 12 13:30:45 2005 => Time Elapsed: 03:04:05
Sat Mar 12 13:30:45 2005 => Virus Database Date: 2005/03/07
Sat Mar 12 13:30:45 2005 => Virus Database Count: 120636

Sat Mar 12 13:30:45 2005 => Scan Completed.

bei der rpcss_pl.exe hab ich ein problem,kann sie nicht beenden im Taskmanager,sie startet sowohl im normalen als auch im abgesichertem Modus,läßt sich ergo auch nicht kopieren. Taskmanager sagt ,mir: vorgang konnte nicht beendet werden---> zugriff verweigert,in beiden Modi.
die wauctlxp4.exe ( die bei den Dateien mit aufgelistet wurde) startet ausserdem immer mit Windows mit.
Die anderes Sachen sind in Arbeit und ich werde sie nach Möglichkeit an virus@rokop-security.de schicken,vorausgesetzt ich bekomme zugriff und kann sie kopieren.

Gruß aus Hamburg (mit Schietwetter)

C:\WINDOWS\System32\perfcl.exe nicht vorhanden
C:\WINDOWS\System32\msamsn1.dll nicht vorhanden
C:\WINDOWS\System32\msamsn2.dll nicht vorhanden
C:\WINDOWS\System32\msamsn3.dll nicht vorhanden
C:\WINDOWS\System32\msamsn4.dll nicht vorhanden
C:\WINDOWS\System32\msamsn5.dll nicht vorhanden
C:\WINDOWS\System32\msamsn6.dll kann nicht kopiert werden,zugriff

verweigert
C:\WINDOWS\System32\msamsn7.dll kann nicht kopiert werden,zugriff

verweigert

C:\WINDOWS\System32\msamsn8.dll nicht vorhanden
C:\WINDOWS\System32\msamsn9.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt1.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt2.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt3.dll vorhanden,wurde nach roskop-security

geschickt
C:\WINDOWS\System32\msxxabt4.dll vorhanden,wurde nach roskop-security

geschickt

C:\WINDOWS\System32\msxxabt5.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt6.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt7.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt8.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt9.dll nicht vorhanden
C:\WINDOWS\System32\wuactl1.exe nicht vorhanden
C:\WINDOWS\System32\wuactl2.exe nicht vorhanden
C:\WINDOWS\System32\wuactl3.exe nicht vorhanden
C:\WINDOWS\System32\wuactl4.exe nicht da

C:\WINDOWS\System32\wuactl5.exe nicht vorhanden
C:\WINDOWS\System32\wuactl6.exe nicht vorhanden
C:\WINDOWS\System32\wuactl7.exe nicht vorhanden
C:\WINDOWS\System32\wuactl8.exe nicht vorhanden
C:\WINDOWS\System32\wuactl9.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp1.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp2.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp3.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp4.exe wurde kopiert
C:\WINDOWS\System32\wauctlxp5.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp6.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp7.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp8.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp9.exe nicht vorhanden

explorer.cab wird nicht gefunden und an die bootcom.sys komme ich auch nicht ran

Gruß,Krisch