</font><blockquote>Zitat:</font><hr />...Access.exe ist mit Sicherheit ein Dialer...</font>[/QUOTE]Hallo Christian,
hast Du eine bessere Kristallkugel als ich, oder woher nimmst Du die Sicherheit, das es ein Dialer ist?

Demnach wäre es ja Zufall, dass das Löschen der Start.html erst nach beenden des Dialers funktionierte...

Gruß,
Lutz

Ich hatte die access.exe und od-teen175.exe sowie od-teen108.exe vor einiger Zeit eingeschickt.

Alle drei Dateien, haben sich ohne "Ok-Bestätigung" über der gleichen Website eingeschlichen.

Die access Dateien werden nicht von AntiVir erkannt, auch nicht von Panda oder Norton!!

Was diese Notepad Dateien im system32 Ordner angeht, ich hab die jetzt mal geöffnet, kompletten text gelöscht, gespeichert und schreibgeschützt. Seitdem versucht auch keine "access" Datei mehr nach außen zu senden.

Ah gut das erklaert schon ein bisschen was
ich hab mir nun die hier schon oft genannte behelfslösung mit den leeren schreibgeschützten dateien auch angeschafft werde trotzdem wohl auf n andren browser wie opera o.ä. umsteigen ..

trotzdem bisher wusste keiner hier warum das [1] bzw [2] am prozess der access.exe hing oder warum die datei laut windows suchfunktion nicht auf dem pc existiert....
weder access.exe noch access[1].exe noch access[3].exe

@lutz es kann schon ein dialer sein, der einfach auf die start.html zugreift


noch ne andere sache nebenbei
Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren
weiss da einer was genaueres dazu???

mfg Thomas

</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:

trotzdem bisher wusste keiner hier warum ... warum die datei laut windows suchfunktion nicht auf dem pc existiert....
weder access.exe noch access[1].exe noch access[3].exe
</font>[/QUOTE]Um es genauer zu sagen bräuchte man wohl selber so ein versifftes System
kleiner Tipp: in der Standardeinstellung findet Windows nicht alle Dateien bzw. zeigt Windows nicht alles an.
noch ein Tipp: nur weil ein Task mit einem bestimmten Namen startet, muß später keine Datei mit diesem Namen noch existieren.

</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:
Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren
weiss da einer was genaueres dazu???
</font>[/QUOTE]1. Das Internet ist sehr sehr geduldig, im WWW wirst Du ALLES lesen können.
2. Mit DSL alleine funktioniert kein Dialer, allerdings gibt es "Dialer" welche für DSL-Nutzer gedacht sind. Damit musst du während der DSL-Sitzung per Telefon eine 0190er anrufen.
Sollte man aber dann doch mitbekommen

Hall Thomas,

</font><blockquote>Zitat:</font><hr />es kann schon ein dialer sein, der einfach auf die start.html zugreift</font>[/QUOTE]Klar, ausschließen will ich gar nichts, aber warum sollte ein Dialer auf eine lokale html-Seite zugreifen wollen? 'Sinn' würde es doch imho nur machen, wenn die start.html versuchen würde, einen Dialer zu installieren und nicht andersherum.

Gruß,
Lutz

Nunja Lutz ich hab mir die html nicht genau angeschaut
allerdings ist es meiner meinung nach moeglich das der dialer seiten aus dieser html ausliest

Kanns nicht sagen war eher ne vermutung hab noch nie n dialer geschriebn / im assembler angeschaut oder den source von sonem ding in die hände bekommen
ist eigentlich auch nicht weiter wichtig...

bin ma gespannt wie sich das ganze hier weiter entwickelt

@ Thomas,

im Grunde hast Du vollkommen Recht. Eigentlich ist's egal, was da wen aufruft und warum. 'Müll' ist's allemal. Poste uns doch mal ein Log von HiJackThis, vielleicht finden wir noch etwas 'verdächtiges'...

Gruß,
Lutz

So da hammer das log :


Logfile of HijackThis v1.97.7
Scan saved at 21:00:04, on 26.04.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
F:\Netprogramme\Messi\MsgPlus.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\internat.exe
D:\CASIO-Loader\Plauto.exe
F:\Netprogramme\ZoneAlarm\zapro.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera7\Opera.exe
F:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [svshosts] svshosts.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe
O4 - HKLM\..\RunServices: [svshosts] svshosts.exe
O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe" /WinStart
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Netprogramme\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...054.0991435185
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab


edit:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html

diesen wohl bekannten hier hab ich schon mal rausgenommen...

von den anderen ist imho nur der letzte noch merkwürdig


edit2: O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe

naja 2 ma lesen is wohl besser [img]smile.gif[/img] -- fixed

mfg

[ 26. April 2004, 21:34: Beitrag editiert von: Olo ]

Hallo,

</font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]finde ich sehr verdächtig! Im System-Ordner hat imho eine htm-Datei nichts zu suchen, es sei denn Du hättest sie dort angelegt!

</font><blockquote>Zitat:</font><hr /> O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]bitte fixen. Am besten im abgesicherten Modus von Win2000. Dies gilt übrigens für alle Fix-Maßnahmen.


</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe </font>[/QUOTE]zumindest verdächtig: http://www.sophos.de/virusinfo/analyses/w32kwbota.html
Da die Datei nicht gestartet wurde, evtl. ein Überbleibsel eines Wurms?!? Wenn Du die Datei findest, bitte einmal hier überprüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Wenn infiziert dann löschen und den Eintrag fixen, wenn die Datei nicht (mehr) vorhanden ist, auch fixen.

</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [svshosts] svshosts.exe </font>[/QUOTE]Hier gilt das gleiche, wie beim Eintrag drüber. Nur die Analyse von Sophos natürlich nicht.

</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe
O4 - HKLM\..\RunServices: [svshosts] svshosts.exe </font>[/QUOTE]siehe oben!

</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe </font>[/QUOTE]noch mal siehe oben:
Quelle: http://www.sophos.de/virusinfo/analyses/w32duloada.html

</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [internat.exe] internat.exe </font>[/QUOTE]evtl. verdächtig. Bitte auch überprüfen, bei Kaspersky, so vorhanden

</font><blockquote>Zitat:</font><hr />O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe</font>[/QUOTE]Kenn ich nicht, kann aber durchaus harmlos sein

</font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze.

</font><blockquote>Zitat:</font><hr /> O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe </font>[/QUOTE]Fixen und die Datei C:\nosuch.mht löschen, sofern vorhanden

</font><blockquote>Zitat:</font><hr /> O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab </font>[/QUOTE]Verdächtig, im Zweifel fixen.

Man o man, ist ja einiges zusammengekommen.
Du solltest evtl. dein Download verhalten (Kazaa und Co) einmal überdenken.

Und noch eine Frage: Hat es einen bestimmten Grund, dass Du das SP4 für Win2000 noch nicht installiert hast und wie sieht es mit anderen Windowsupdates aus?

Wenn hier jemand zu formatieren und neumachen rät, werde ich nicht widersprechen.

Gruß,
Lutz

</font><blockquote>Zitat:</font><hr />R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]datei gibts nicht werd den eintrag fixen

den medialoads eintrag werd ich ebenfalls fixen

zu allen unter 04 aufgeführten sachen lässt sich nur eins sagen : ehemaliger virus schlampig gelöscht *peinlichpeinlich* aber nichts dramatisches
achja und die anderen programme gehören z.t. zum bildschirm nichts verdächtiges


getright und spyware? hör ich zum ersten mal
habs bisher nur empfohlen bekommen / nichts schlechtes drüber gehört
kann ja mal die nächste zeit alle ohren und augen offenhalten was das angeht


und die beiden unter 016 hab/werde ich noch fixen

danke trotzdem fürs durchsehen nochmal

edit: fast vergessen zu den updates und dem sp4 updates sind alle installiert warum kein sp4 gute frage werd ich auch noch machen frag mich grad selbst wieso noch net...

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
</font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze.</font>[/QUOTE]Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

</font><blockquote>Zitat:</font><hr />Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei.</font>[/QUOTE]OK - Danke für die Info!
Wie gesagt ich benutze es selbst nicht.

Gruß,
Lutz

Der Ordnung halber noch erwähnt:
</font><blockquote>Zitat:</font><hr />O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]Die Datei bitte auch löschen und nicht 'nur' fixen. Interessant wäre noch, ob und wenn ja, welche weiteren Dateien sich in diesem Verzeichnis befinden.

Und eine Bitte hätte ich noch:
Hältst Du uns bitte auch dann auf dem Laufenden, wenn dein Problem dauerhaft behoben werden konnte. Ich weiß manchmal nicht, ob die Hilfe ausreichend war, oder die Leute entnervt woanders nach Hilfe suchen, weil es hier nicht (auf Anhieb) geklappt hat. Danke!!

Lutz

Aaaalso erstmal zum MediaLoads/kazaa das ist denke ich ebenfalls wieder so ein alter vergammelter regkey werd mich moin ma drum kümmern


so zum eigentlich problem wieder zurück :
ich hab die beiden dummy dateien wie hier schon beschriebn schreibgeschuetzt und leer im windows ordner ( start.chm und start.html) wie gesagt n provisorium

desweiteren den key der start.chm entfernt

und dann nun die 3 einträge in HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\ ebenfalls entfernt.
die waren für die hilfe dateien zuständig


so erstmal zu sagen die startseite hat sich seitdem nicht geändert
allerdings werde ich nun doch erstmal opera benutzen bis sich hier das ganze noch ein bissl mehr aufklärt

und Lutz (und alle anderen natuerlich auch) ich find die art wie hier an solche sachen rangegangen wird super! also kann nur sagen weiter so