hallo,

ich bin neu hier und hoffe gleich auf hilfe.

habe mir heute mittag irgendwas auf den rechner geholt (als ich seit zwei jahren mal wieder den internet explorer benutzt habe), das im hintergrund immer wieder meine dsl-verbindung öffnen will (wenn ich offline bin), um mit www.ad-w-a-r-e.com kontakt aufzunehmen.

in der taskleiste steht dann was von einem "rasautou.exe"-prozess.

hab die aktuellste version von lavasofts ad-aware personal se drüberlaufen lassen und ne menge müll von meinem rechner entfernt und jetzt auch diverse mal hijackthis.

mein logfile ist wohl auch soweit okay...

Logfile of HijackThis v1.99.1
Scan saved at 17:15:25, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\TotalRecorder\TotRecSched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\lotus\organizer\organize\easyclip6.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\mozilla\mozilla.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organizer\organize\bandobjs.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4337CD-A1DD-41C9-A5A1-09836C92923D}: NameServer = 217.237.149.225 217.237.151.97
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\k4pm0e71eh.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

... bis auf den eintrag O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\k4pm0e71eh.dll

ich glaube, der macht ärger. ich kann ihn nur vorübergehend fixen, nach einem neustart ist er wieder da (auch wenn ich ihn beim rebooten von HijackThis löschen lasse), heißt dann aber anders.

wie kriege ich was auch immer da bei mir im hintergrund läuft und ständig meine dsl-verbindung aufmachen will (um auf ad-w-a-r-e.com zuzugreifen) wieder los. sitze jetzt schon seit 5 stunden genervt vor der kiste...

besten dank für hinweise und fröhliche grüße!

Hi,

Haste mal diesen Eintrag gefixt?

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Gruss

jep, es ist der winlogon notify eintrag.
lösche die datei k4pm0e71eh.dll im ordner c:\windows\system32 im abgesicherten modus. dann fixe (auch im abgesicherten modus) den eintrag mit winlogon notify. starte neu und poste ein neues HijackThis log.

ich oute mich jetzt mal als absoluter neuling.

1. also, wenn ich den rechner runterfahre und dann im abgesicherten modus wieder starte (kann man denn auch anders in den abgesicherten modus wechseln?), dann gibt es das dll-file nicht mehr im ordner.

es heißt plötzlich wieder anders, zur zeit steht in meinem hickjackthis-log:

O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\enr6l19s1.dll

2. wie fixe ich denn den eintrag mit winlogon notify? was ist das? wo finde ich das?

habe davon leider (bisher) keine ahnung, hoffe aber auf einfache erklärung!

dankeschön schon mal!

habe mit killbox.exe versucht, das dingen los zu kriegen...

nix geholfen - jetzt findet HijackThis diesen eintrag

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\en6ql1j51.dll

@Odo
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

diese datei C:\WINDOWS\system32\en6ql1j51.dll in den abgesicherten modus manuell löschen , eventuell mit amokdelay
amokdelay

chaosman

Starte den PC im abgesicherten Modus.
Scanne mit HjT. Merke dir den Namen des O20-Eintrags. Fixe den Eintrag und lösche die zugehörige Datei. Sie ändert ihren Namen nach jedem Neustart.

leider kann ich die datei (auch im abgesicherten modus) nicht löschen, nachdem ich sie mit hjt identifiziert habe. wenn ich sie manuell löschen will, kommt immer die fehlermeldung: "diese datei kann nicht gelöscht werden. sie wird momentan von einem anderen programm genutzt. schließen sie alle programme und versuchen sie es erneut" (typische windows-fehlermeldung!) - und auch wenn alle anderen (offensichtlichen) programme geschlossen sind, kann ich sie nicht löschen.

und ja, nach jedem neustart heißt die datei anders, das ist ja glaube ich eines der hauptprobleme!

also löschen kann ich sie nicht im abgesicherten modus, killbox hilft auch nix.

"alle dateien und ordner" anzeigen, ist bei mir längst eingestellt, "geschützte systemdateien ausblenden" ist ebenfalls deaktiviert.

was nun? ich krieg den o20-eintrag nicht los.

momentan heißt er:
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\l4p20e7oeh.dll

Versuch's mal damit. Ich hab's aber noch nicht selbst getestet!

leider kapiere ich nicht, wie das programm funktioniert. entpacke ich die .zip-datei und klicke auf die exe, steht da: "Usage: dellater.exe <filename>". mehr passiert nicht und ich habe keine ahnung, wie man das nun anwendet...

Versuch mal, ob du die Datei jetzt löschen kannst. Also ausführen -> abgesicherter Modus-> löschen

geht immer noch nicht...

wie gesagt, irgendwie weiß ich nicht, wie dellater funktioniert... steht auch nicht in der readme...

da heißt es nur:
DESCRIPTION:
DelLater allows you to mark files to be deleted the
next time Windows starts. This is useful for times
when a file can't be deleted because it's in use,
and this is the method used by anti-virus scanners
when they're unable to delete files for that reason.

All efforts were made to ensure that DelLater adheres
to the guidelines outlined in the MoveFileEx documents
(Platform SDK - Microsoft Developer Network), including
using two seperate methods as required (one for
95/98/ME, the other for NT/2K/XP/2003).

http://msdn.microsoft.com/library/de...movefileex.asp

This package contains three files:
readme.txt (1140 bytes) - This file
dellater.asm (3417 bytes) - Assembly source code
dellater.exe (2560 bytes) - Program file

For more security software, visit our website:
http://www.diamondcs.com.au


wie funzt es denn nun genau?

gibts eventuell noch andere möglichkeiten?

@ ODO

Führe beide Tools aus und poste jeweils die Logs:

-Lade DllCompare.
Doppelklick auf DllCompare.exe -> Run locate.com -> wenn der Scan erfolgt ist 'Compare' klicken -> wenn auch dieser Scan fertig ist 'Make a Log of what was found' klicken -> Inhalt des Logs posten.

- Lade FindItNt2000XP.zip und entpacke es auf Laufwerk C:. Öffne danach den Ordner 'Find It NT-2K-XP’ und führe die 'find.bat’ aus.
Wenn der Scan abgeschlossen ist, wird ein Log-File (output.txt) ausgegeben. Dies solltest du abspeichern und den Inhalt hier posten.

Wichtig: Führe kein Reboot aus!

irgendwie schmieren mir beide programme immer ab. kann mit keinem ein logfile speichern.

habe aber in einem ordner "find-it" folgende txt gefunden.


------------- Locate.com Results -------------

C:\WINDOWS\SYSTEM32\
smmpsnap.dll Sun 10 Apr 2005 13:31:12 ..S.R 233.843 228,36 K
pdrfos.dll Sun 10 Apr 2005 12:29:34 ..S.R 233.248 227,78 K
dtmsvinn.dll Sun 10 Apr 2005 12:33:48 ..S.R 233.248 227,78 K
pkdgen.dll Sun 10 Apr 2005 17:11:26 ..S.R 235.085 229,57 K
knrnel32.dll Sun 10 Apr 2005 18:24:34 ..S.R 233.004 227,54 K
swdpsrv.dll Sun 10 Apr 2005 19:18:14 ..S.R 234.906 229,40 K
mbvcrt20.dll Sun 10 Apr 2005 19:44:02 ..S.R 233.067 227,60 K
hmpertrm.dll Sun 10 Apr 2005 21:42:16 ..S.R 235.108 229,60 K
dxnet.dll Sun 10 Apr 2005 19:59:46 ..S.R 235.108 229,60 K
diound.dll Sun 10 Apr 2005 21:38:16 ..S.R 233.067 227,60 K
fn4021~1.dll Sun 10 Apr 2005 19:54:52 ..S.R 235.108 229,60 K
u0ru0a~1.dll Sun 10 Apr 2005 12:33:48 ..S.R 234.238 228,75 K
k6jslg~1.dll Sun 10 Apr 2005 19:44:02 ..S.R 234.783 229,28 K
irp0l5~1.dll Sun 10 Apr 2005 21:41:16 ..S.R 233.067 227,60 K
k0js0a~1.dll Sun 10 Apr 2005 19:58:54 ..S.R 233.067 227,60 K
f6j2lg~1.dll Sun 10 Apr 2005 21:36:48 ..S.R 235.108 229,60 K

16 items found: 16 files, 0 directories.
Total of file sizes: 3.745.055 bytes 3,57 M

-------- Strings.exe Qoologic Results --------

und das sind haargenau die selben (ohne ausnahme) *.dll-files, die auch dllcompare gefunden hat, obwohl sich das programm wie gesagt immer aufhängt, wenn ich auf "make a log file" klicke.

hilft das irgendwie?

mein aktuelles hijackthis-logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 22:10:33, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\TotalRecorder\TotRecSched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\lotus\organizer\organize\easyclip6.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\mozilla\mozilla.exe
C:\Programme\Hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organizer\organize\bandobjs.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4337CD-A1DD-41C9-A5A1-09836C92923D}: NameServer = 217.237.149.225 217.237.151.97
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\f6j2lg1o16.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
         

Unter 'Strings.exe Qoologic Results' und 'Strings.exe Aspack Results' sind keine Einträge vorhanden?!

Anschliessend diesen Eintrag fixen:

Zitat:

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\f6j2lg1o16.dll

Lösche nun mit Hilfe von KillBox [1] alle Dateien die unter 'Locate.com Results' stehen.

[1] Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\f6j2lg1o16.dll -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die zwei folgenden Fragen mit JA und NEIN beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit JA und ein Reboot wird durchgeführt.

Poste anschliessend ein neues HJT Log-File.