control.exe beschädigt

miguel · 12.04.2004, 15:49

nach mehrmaligem laufen lassen von spybot s&d, adaware, cwsshredder und hijack this, sowie (neben meinem eigenen antivir) auch den mcafee online scan, bekomme ich noch immer beim besuch mancher seiten ein ntsearch popup mit einer eingabe aufforderung eines dialer downloads von E-Systems Inc.
ich habe zusätzlich zone alarm installiert, das mir aber nicht helfen konnte die quelle zu lokalisieren, von der der befehl ausgeht. nachdem ich control.exe im notepad geöffnet habe, vermute ich jetzt dort eine ursache! wie sollte ich nun vorgehen?
(und was schadet/bringt zone alarm?)

Logfile of HijackThis v1.97.7
Scan saved at 16:39:47, on 12.04.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\IKAUTOUP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\IKARUS\GUARD9X\GUARD9X.EXE
D:\PROGRAMME\INET\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
D:\PROGRAMME\ADOBE\ACROBAT40\DISTILLR\ACROTRAY.EXE
E:\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\CWSHREDDER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\SYSTEM\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IKARUS Guard] C:\IKARUS\GUARD9X\GUARD9X.EXE
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\INET\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat40\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = E:\Nikon\NkView6\NkvMon.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC00-000000000000} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...083.0493518518
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...50/mcfscan.cab

12.04.2004, 17:51

Die Datei STARTER.EXE kenne ich net.

Shadow · 12.04.2004, 18:26

@ *Christian* ich glaube die ist bei dem EnsoniqMixer okay, jedenfalls kommt sie "überall" vor.
Sollte von Creative kommen, @ Miguel einfach mal rechte Maustaste => Eigenschaften

miguel · 12.04.2004, 18:39

ja shadow, da hast du recht, die starter.exe ist vom Creative PCI-Audio-Mixer.

aber habt ihr sonst eine Idee zu meinem problem?
(unter eigenschaften von control.exe gibts übrigens kein zweites registerblatt 'version')

Shadow · 12.04.2004, 18:44

Welches Datum trägt denn Deine Control.exe?
Wenn "altes" Datum, dann dürftest Du sie per Notepad eigentlich nicht "beschädigt" haben.

miguel · 13.04.2004, 09:05

ich meine ja nicht, dass die control.exe durch das öffnen in notepad beschädigt wurde, sondern durch einen trojaner o.ä. wie oben beschrieben habe ich nach wie vor eben jenes problem. bei öffnen von control.exe im editor findet sich im text z.b. wie "http://super-spider.com/greg/sp.php" oder "http://super-spider.com/greg/hp.php" und die können vielleicht hinweise sein, dass sich das oben beschriebenen problem in control.exe eingenistet hat.

Shadow · 13.04.2004, 16:34

trotzdem: welches Datum trägt die Control.exe?

miguel · 14.04.2004, 08:39

Geändert am: Mittwoch, 03. Dezember 2003
Letzter Zugriff: Mittwoch, 14. April 2004

das win 98 läuft aber schon länger als 02.12.2003!

Shadow · 14.04.2004, 09:15

Habe mal ein "älteres" Image einer Win98 Installation (allerdings 98SE) angeschaut:

Datum: 08.06.2000 17:00
Version: 4.90.0.3000

Würde mich schon Wundern wenn 98Gold eine neuere Control.exe hätte *bg*
Allerdings möglich(!) wäre es, dass ein Patch von Microsoft die Control.exe mal renoviert hätte, sollte aber an der Version-Nummer erkennbar sein!

miguel · 16.04.2004, 12:26

nö, hat keine 2 registerkarte unter eigenschaften, wo ich die versionsnummer finden könnte.

Shadow · 16.04.2004, 15:10

http://www.spywareinfo.com/~merijn/w...s.html#control

12.04.2004, 17:51	#2
Christian Gast	control.exe beschädigt Die Datei STARTER.EXE kenne ich net. __________________

12.04.2004, 18:26	#3
Shadow /// Mr. Schatten	control.exe beschädigt @ Christian ich glaube die ist bei dem EnsoniqMixer okay, jedenfalls kommt sie "überall" vor. Sollte von Creative kommen, @ Miguel einfach mal rechte Maustaste => Eigenschaften __________________ __________________

control.exe beschädigt

Plagegeister aller Art und deren Bekämpfung: control.exe beschädigt