So ich hab ein Problem mit EGDACCESS_1072.DLL
und möchte gerne den Eintrag vom Mailskinner loswerden, also die Datei Mailskinner ist auch schon vom Rechner runter, aber bekomm den Eintrag in der regestry einfach nicht geloescht. Obwohl ich das im abgesicherten Modus mit desaktivierter Systemwiederherstellung gemacht hat, sind die Einträge alle wieder bei Neustart da.

Bitte deshalb um Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 01:08:43, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\***\Bureau\Nouveau dossier\Hijackthis\HijackThis.exe
C:\Norman\bin\niu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pt.lu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pt.lu
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pt.lu/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe"
O4 - HKLM\..\Run: [wbotehinc] c:\windows\system32\wbotehinc.exe wbotehinc
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Samsung Internet Keyboard.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pt.lu
O16 - DPF: SNET_082006 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2054.cab
O16 - DPF: SNET_092004 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2049.cab
O16 - DPF: SNET_092005 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2052.cab
O16 - DPF: SNET_102003 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2045.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: AOpen Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Servus!
Zuallererst, bevor Du die unten angeführten Schritte setzt, mach folgendes:
Lass´ mal folgende Dateien

Zitat:

c:\windows\system32\wbotehinc.exe

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Außerdem hast Du hier

Zitat:

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess

einen Dialer sitzen! Falls Du nicht via DSL ins I.Net einsteigst, sichere dieses Logfile mal zur Dokumentation, falls Deine Online-Abrechnung zu hoch wird.
Hol Dir folgende Tools: killbox, clearprog 1.4.1 final, und regseeker.
Lösche im abgesicherten Modus mit der killbox und der Option 'kill on reboot' die 'EGDACCESS_1072.DLL' , dann reinigst mit regseeker und der Option 'claer registry' (Vorsicht: hier unbedingt darauf achten, dass die Backup-Funktion aktiviert ist!) Deine Registrierung, dann startet Du - immer noch im abgesicherten Modus - HJT und fixt (--> siehe Anleitung: 'fix checked' anhaken) folgende Einträge (falls noch vorhanden)

Zitat:

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe
EGDACCESS_1072.dll,InstantAccess

und zuletzt bringst Du mit clearprog 1.4.1 und der Option 'clear all' noch den Müll vor die Tür.
Den gesamten Ordner von Mailskinner hast Du schon gelöscht/deinstalliert?
Wenn hier noch etwas auf Deinem System ist, ebenfalls löschen.
stupormundi

So danke stupormundi für deine schnelle Antwort.

Also ich hab alles getan was du mir aufgetragen hast, und hier sind meine Ergebnisse:

c:\windows\system32\wbotehinc.exe

Diese Datei gibt es gar nicht, aber

c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat

Soll ich die löschen oder nicht?


'EGDACCESS_1072.DLL'

Diese Datei gibts auch nicht mehr auf meinem PC!


Und von Mailskinner ist auch alles runter vom PC.


Ich hab nur die regestry Einträge noch von denen Dateien, und
in msconfig sind die 3 unter den Startvorgängen.
Wenn ich diese deaktiviere, egal ob im abgesicherten oder normalen Modus, werden sie trotzdem wieder geladen.

Hab auch alle Vorgänge mir regseeker und clearprog vollzogen im abgesicherten Modus, trotzdem tritt beim reboot wieder das selbe Problem auf.


Wäre froh über weitere Hilfe.

Mit freundlichen Grüssen
Chrivi

Servus noch mal!

Hast Du auch wie im meiner Signatur unten verlinkt, versteckte Dateien anzeigen lassen!

Zitat:

c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat

lass diese mal bei Jotti und virustotal checken und poste das Ergebnis!
stupormundi

So danke fuer den schnellen Reply.

Ja, hab die versteckten Dateien anzeigen lassen.

Also ich liess beide Online-VirenScan-Programme laufen:


c:\windows\system32\wbotehinc.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_nav.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_navps.dat

Keine Viren gefunden.

Weiss denn keiner hier Rat?

Servus!
Nun, wenn keine der Dateien auffindbar ist und die bereits gesetzten Maßnahmen scheinbar keinen Erfolg bringen, müssen wir weitersuchen:
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi