Habe diese Email von einer Menschen bekommen, der mir eine Email geschrieben hatte, die sehr verspaetet ankam.

Betreff: Benachrichtung zum Übermittlungsstatus (Verzögerung)
Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE BRAUCHEN DIE NACHRICHT NICHT ERNEUT ZU SENDEN.
Übermittlung zu folgenden Empfängern wurde verzögert:
und dann meine Emailadresse.

ER glaubt nicht, dass das Security System seines Servers das war, weil da naemlich nur Englisch spricht. Er empfahl mir, ein Hijackthis-Log durchzufuehren, was ich getan habe. Kann mir jemand das entziffern?

Logfile of HijackThis v1.99.1
Scan saved at 10:11:22 PM, on 3/15/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\EPFL\VPN Client\cvpnd.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ZipGenius 5\zipgenius.exe
C:\WINDOWS\system32\crlf32.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\DOCUME~1\Dorothe\LOCALS~1\Temp\ZGTemp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Dorothe\Application Data\Mozilla\Profiles\default\ufvqwgk6.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Dorothe\Application Data\Mozilla\Profiles\default\ufvqwgk6.slt\prefs.js)
O2 - BHO: (no name) - {E4CBD514-E599-C72F-5DD0-DC9B8741D00A} - C:\WINDOWS\atlpw32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\EPFL\VPN Client\cvpnd.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Workstation NetLogon Service (� 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\crlf32.exe

In der Hoffnung, dass sich jemand meiner erbarmt, schicke ich Euch viele Gruesse
Menschmeier

@menschmeier
schaust hier am besten mal durch
http://www.trojaner-board.de/showthr...6&page=5&pp=10
Beta7SPSeHjFix downloaden und laufen lassen

chaosman

Hallo,

lass mal vorsichtighalber diese Datei:

C:\WINDOWS\system32\crlf32.exe

hier online checken:

http://virusscan.jotti.org

Teile das Ergebnis mit (etwa 12 Zeilen).

Ist vermutlich nur Coolwebsearch aber sicher ist sicher.

http://service.iamnotageek.com/srch-494.html

dartus

Vielen Dank fuer den Tipp. Aber hier ist schon das naechste Problem:
Hab Beta7SPSeHjFix gedownloadet und auf start disinfection geklickt. Aber jetzt passiert nichts. GRRRRR.

Hallo,

Du musst offline gehen und alle Anwendungen schliessen.
Komm aber auf jeden Fall noch mal wieder wegen dieser einen Datei.
Die soll ja auch nocj weg.

dartus

Ähem, der Cleaner 'wirkt' nur bei einem ganz bestimmten Hijacker und ist leider kein 'Allround-Tool' gegen jede 'dll/sp.html'-Infektion...

@menschmeier,
fixe bitte im abgesicherten Modus mit HijackThis folgende Zeilen manuell:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {E4CBD514-E599-C72F-5DD0-DC9B8741D00A} - C:\WINDOWS\atlpw32.dll

Anschließend lösche diese Dateien manuell:

Zitat:

C:\WINDOWS\wgpuv.dll
C:\WINDOWS\atlpw32.dll

Sorgen bereitet mir noch dieser Eintrag:

Zitat:

O23 - Service: Workstation NetLogon Service (� 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\crlf32.exe

Überprüfe bitte die fett markierte Datei unter http://virusscan.jotti.org/ und poste uns das Ergebnis der Überprüfung...


BTW: Hier und vor allem in anderen Foren lese ich immer wieder, dass der Cleaner im abgesicherten Modus und nach Beenden aller anderen Programme eingesetzt werden muss. Letzteres ist zwar sinnvoll, da es bei einer erfolgreichen Desinfektion zu einem Reebot kommt und nicht gespeicherte Dateien einer Anwendung (z. B. ein geöffnetes Word-Dokument) u.U. verlorengehen könnten, aber zwingend erforderlich sind diese vorhergehenden Maßnahmen nicht.

Vielen Dank Lutz. Kannst Du aber mal erklaeren, wie man das in diesem abgesicherten Modus macht. Sorry, Du siehst, ich bin neu hier.

Hallo menschmeier,

lass bitte erstmal die Datei online scannen.
Dann sehen wir weiter.

dartus