also mein rechner war heute ziemlich viren- und spyware infiziert.
wollte aber ungern formatieren also hab ich mich paar stunden drangesetzt.

des meiste hat stinger, antivir und adware ja schon runtergeworfen, allerdings stört mich jetzt noch ein dll-file, von dem ich nicht weiß was es ist, was sich unter windows aber auch nicht löschen lässt.
hjackthis kann es zwar bei neustart löschen, bringt mich aber auch net weiter, weil es bei jedem neustart unter anderem namen neu erstellt wird.
auch löschen unter kanotix (was großer aufwand war, da ntfs partition) brachte keinen erfolg.

unter meinen diensten konnte ich auch nichts verdächtiges finden, was diese datei bei jedem start erzeugen konnte.

das ding arbeitet im hintergrund und es ist auch unter den prozessen nicht sichtbar.


momentan heißt die datei übrigens C:\WINDOWS\system32\r06ulaj91do.dll
ich habe windows xp sp2 mit aktuellen updates.
Edit: ah sehe gerad das die mit linux gelöschte C:\WINDOWS\system32\win_h5s.dll datei auch wieder vorhanden ist.

ich hoffe das ihr mir helfen könnt, wieder einen cleanen pc zu haben.



hier auch mein HijackThis log:


Logfile of HijackThis v1.99.1
Scan saved at 19:50:59, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\ORL\VNC\WinVNC.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\P2P\eMule\emule.exe
E:\PROGRAMME\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\cidaemon.exe
E:\PROGRA~1\MOZILLA.ORG\FIREFOX\FIREFOX.EXE
C:\DOKUME~1\CRAZY_~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis(1).zip\HijackThis.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [eMuleAutoStart] E:\P2P\eMule\emule.exe -AutoStart
O4 - Startup: atitray.lnk = J:\Ray Adams\ATI Tray Tools\atitray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B0B821-2079-4EEB-9902-D39D14ED4243}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_h5s.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\r06ulaj91do.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_14.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - J:\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - E:\Programme\ORL\VNC\WinVNC.exe" -service (file missing)

Hallo,

wenn ich mir Dein Log so ansehe, finde ich auch schon das Einfallstor

Zitat:

E:\P2P\eMule\emule.exe -AutoStart

Mach mal das hier und poste die vier Logs, aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli

wie kommst du jetzt auf emule ? is doch ein normales p2p programm.

Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 5C1D-92F0

Verzeichnis von C:\WINDOWS\system32

23.03.2006 23:08 236.171 mtnetobj.dll
23.03.2006 23:08 234.114 gplsl3371.dll
23.03.2006 20:07 235.961 MYC71.dll
23.03.2006 20:07 236.171 f0j20a1oed.dll
23.03.2006 20:04 236.217 wannls.dll
23.03.2006 19:56 235.961 rzaenh.dll
23.03.2006 19:26 234.228 donmodem.dll
23.03.2006 17:05 235.522 dmnhupnp.dll
23.03.2006 14:53 235.598 muvcr71.dll
23.03.2006 14:52 235.522 ktlql7351.dll
23.03.2006 14:36 687.592 atmtd.dll._
23.03.2006 14:36 687.592 atmtd.dll
22.03.2006 18:06 2.206 wpa.dbl
10.03.2006 01:10 4.799.320 MRT.exe
09.03.2006 18:03 61 whitevx.lst
09.03.2006 18:03 6.851 sachostc.exe
09.03.2006 18:03 0 tickcnt.bin
09.03.2006 18:03 2.560 vxgamet4.exe2560.exe
09.03.2006 18:03 0 hard.lck
09.03.2006 18:03 10.947 sachostp.exe
09.03.2006 18:02 26.624 vxgamet4.exe26624.exe
09.03.2006 18:01 4.096 win_h5s.dll
09.03.2006 18:01 12.378 win_00.exe
02.03.2006 21:50 8.192 Thumbs.db
16.02.2006 19:20 23.147 Atmdeuxx.GID
16.02.2006 19:20 22 ati64hlp.stb
16.02.2006 05:41 22 ati64hl2.stb
28.01.2006 15:32 383.254 perfh009.dat
28.01.2006 15:32 53.608 perfc009.dat
28.01.2006 15:32 394.500 perfh007.dat
28.01.2006 15:32 64.598 perfc007.dat
28.01.2006 15:32 906.552 PerfStringBackup.INI
18.01.2006 13:05 57.344 avsda.dll
05.01.2006 04:46 252.928 ati2dvag.dll
05.01.2006 04:41 110.592 atipdlxx.dll
05.01.2006 04:41 77.824 Oemdspif.dll
05.01.2006 04:41 26.112 Ati2mdxx.exe
05.01.2006 04:41 40.960 ati2edxx.dll
05.01.2006 04:40 61.440 ati2evxx.dll
05.01.2006 04:39 405.504 ati2evxx.exe
05.01.2006 04:39 53.248 ATIDDC.DLL
05.01.2006 04:31 2.518.176 ati3duag.dll
05.01.2006 04:25 862.336 ativvaxx.dll
05.01.2006 04:20 6.684.672 atioglx1.dll
05.01.2006 04:19 307.200 atiiiexx.dll
05.01.2006 04:11 151.552 atikvmag.dll
05.01.2006 04:10 17.408 atitvo32.dll
05.01.2006 04:05 237.568 ati2cqag.dll
05.01.2006 04:01 4.968.448 atioglxx.dll
05.01.2006 03:22 258.048 ATIDEMGR.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
22.12.2005 23:44 112.425 atiicdxx.dat
19.12.2005 19:30 4.730.880 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll



Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 5C1D-92F0

Verzeichnis von C:\DOKUME~1\CRAZY_~1\LOKALE~1\Temp

23.03.2006 23:10 16.384 ~DF657E.tmp
23.03.2006 20:04 16.384 ~DF362E.tmp
23.03.2006 19:50 16.384 ~DF473A.tmp
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 785.276.928 Bytes frei



Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 5C1D-92F0

Verzeichnis von C:\WINDOWS

23.03.2006 23:09 1.837.395 WindowsUpdate.log
23.03.2006 23:08 159 wiadebug.log
23.03.2006 23:08 50 wiaservc.log
23.03.2006 23:08 0 0.log
23.03.2006 23:08 2.048 bootstat.dat
23.03.2006 20:33 32.596 SchedLgU.Txt
23.03.2006 19:25 278 system.ini
23.03.2006 19:25 506 win.ini
23.03.2006 16:56 178.470 ntbtlog.txt
22.03.2006 21:49 140 winamp.ini
12.03.2006 22:18 116 NeroDigital.ini
09.03.2006 18:03 903 dembat.tm
09.03.2006 18:02 27.193 sachostx.exe
09.03.2006 18:01 0 emdat.tm
09.03.2006 18:01 0 gimmygames.dat
09.03.2006 18:00 3.032 SECURE32.HTML.VIR
09.03.2006 18:00 0 uniq
09.03.2006 12:01 107.134 UninstallFirefox.exe
02.03.2006 22:58 17.920 Thumbs.db
02.03.2006 22:41 10 smdat32m.sys
02.03.2006 22:38 0 smdat32a.sys
22.02.2006 23:08 109 oodcnt.INI
10.02.2006 22:39 451.072 Radeon Omega Drivers v3.8.205 Uninstall.exe
03.01.2006 16:45 1.989 uninstall_nmon.vbs
08.11.2005 14:53 10 WININIT.INI
03.11.2005 20:46 25 cdplayer.ini
30.09.2005 15:22 982 eReg.dat
23.09.2005 18:22 230.454 Firefox Wallpaper.bmp
01.08.2005 15:27 94.636 dropcpyr.dll
01.08.2005 15:27 73.728 copyfstq.exe
25.07.2005 01:24 3.265 setuplog.xml
24.06.2005 13:52 316.640 WMSysPr9.prx
24.06.2005 13:09 1.101.111 setupapi.log.0.old
21.06.2005 18:39 299.552 WMSysPrx.prx
27.05.2005 00:22 10.752 hh.exe
18.04.2005 00:07 140 NetOp.Ini
17.03.2005 22:24 10 popcinfo.dat
03.02.2005 19:59 0 graphedt.INI
23.01.2005 19:44 400 ODBC.INI
23.01.2005 19:44 63 vbaddin.ini




Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 5C1D-92F0

Verzeichnis von C:\

23.03.2006 23:55 0 sys.txt
23.03.2006 23:55 4.828 system.txt
23.03.2006 23:55 385 systemtemp.txt
23.03.2006 23:54 106.240 system32.txt
23.03.2006 23:08 1.610.612.736 pagefile.sys
23.03.2006 19:25 211 boot.ini
23.03.2006 19:08 891 files.txt

Hallo,

sorry, aber wenn Du es nicht verstehst, kann ich Dir nicht helfen.

Gruß

Schrulli

hab nur das mit emule nicht verstanden, für die 4 dateien hab ich noch etwas zeit gebraucht, erstmal runterladen, verstehen und ausführen :-)

Hallo,

über p2p Netzwerke, wie eMüll bekommst Du halt immer die neusten Updates in Sachen Viren!

Gruß

Schrulli

naja auch nur wenn man die falschen sachen runterläd, oder leute an den rechner lässt die sich net mit auskennen und alles mögliche runterladen.
ist genauso wie mit emailanhängen, man darf sie halt nicht öffnen :-)

achja in meinem zweiten post hatte ich vorhin auch die 4 files reingepostet.

Hallo,

Du hast diesen im System, seit dem 9. März.
Sorry, aber wenn Du nicht von eMaul weg willst kommt sowas immer wieder.

Zitat:

der leute an den rechner lässt die sich net mit auskennen und alles mögliche runterladen.

scheinst ja dazuzugehören
In diesem Fall kann man Dir nur zu einem Neuaufsetzen raten und Dich bitten diese Virenschleuder vom Netz zu nehmen.
Beachte beim Neuaufsetzen die in meiner Signatur verlinkten Anleitung.

Gruß

Schrulli

also ich gehöre sicher net zu den leuten. ich nutze den rechner nur als fileserver und um ab und an mal was mit emule runterzuladen.
lasse halt dauernd leute dran um bisschen zu zocken.

emule an sich ist sicher keine virenschleuder, nur wenn man nicht weiß was man runterläd.
als nur ich an dem rechner saß hatte ich nie viren, trotz emule. muss hier nur die fehler meiner kumpels beseitigen^^

aber gibt es keine möglichkeit den irgendwie zu entfernen, hab jetzt schon soviel zeit investiert um den rechner zu bereinigen um des Neuaufsetzen zu verhindern ?

Hallo,

1) Server != Arbeitsplatzrechner, kein eMule, kein zocken
2) Nein, Dein Rechner ist 100% nicht wiederherstellbar, auch wenn Du schon viel Zeit damit zugebrachst hast.
3) Du läßt die falschen Leute an den Rechner
4) Nimm den Rechner vom Netz, der sendet u.a. eMails ab!
5) Meiner Meinung nach ist eMule eine Virenschleuder
Viren stecken heute in Bildern, Filmen, Dokumenten, mp3, Programmen,
also was saugst Du, was nicht in diese Kategorie fällt?

Gruß

Schrulli

Hallo,
also Emule als Virenschleuder per se zu bezeichnen halte ich für falsch. Es werden durch Emule keine Lücken oder ähnliches aufgerißen.
Was richtig ist, ist das wer ausführbare Dateien aus solchen Quellen bezieht und diese auch wirklich ausführt sich sein System früher oder später verseucht.



Grüße Wildone

Zitat:

Zitat von Schrulli

Hallo,

1) Server != Arbeitsplatzrechner, kein eMule, kein zocken

da ist was wahres dran, nur mein lappy läuft halt keine 24h, also muss emule auf den server :-)

Zitat:

2) Nein, Dein Rechner ist 100% nicht wiederherstellbar, auch wenn Du schon viel Zeit damit zugebrachst hast.

hmmm, genau das hatte ich befürchtet :-(

Zitat:

3) Du läßt die falschen Leute an den Rechner

da stimme ich dir absolut zu

Zitat:

4) Nimm den Rechner vom Netz, der sendet u.a. eMails ab!

der hat längst keine inetverbindung mehr, schon bei den ersten viren die ich gefunden hab, war der abgeklemmt.

Zitat:

5) Meiner Meinung nach ist eMule eine Virenschleuder
Viren stecken heute in Bildern, Filmen, Dokumenten, mp3, Programmen,
also was saugst Du, was nicht in diese Kategorie fällt?

nichts, aber man muss nur wissen welche datei sicher keinen virus enthalten, dazu gibt es auch ed2k webseiten, wo man sich ziemlich sicher sein kann das alles clean ist. glaub mir, wenn man nur weiß was man runterläd, ist man auch hier virenfrei. nur wenn andere dann keygens runterladen (die zu 99% viren enthalten), isses zu spät, siehe punkt 3 :-)


aber danke für die hilfe, auch wenn mir deine antwort ganz und garnicht gefällt. naja werde dann mal meine windows cd suchen...

Hallo,
[QUOTE=Wildone]
also Emule als Virenschleuder per se zu bezeichnen halte ich für falsch. Es werden durch Emule keine Lücken oder ähnliches aufgerissen.[quote]
Ack!

Zitat:

Was richtig ist, ist das wer ausführbare Dateien aus solchen Quellen bezieht und diese auch wirklich ausführt sich sein System früher oder später verseucht.

Ack 2! Du hast wie so oft recht, ich habe mich wohl etwas in meine Argumentation hineingesteigert. Dennoch so zeigt mir meine Erfahrung, gibt es im eMule Netz mehr zu holen, als z.B. über Torrent Netze. Kann ja auch an mir liegen.
Ich kenne halt die Leute die sagen "solange ich am Rechner sitze, passiert mir nix" und "es sind immer die anderen"
Aber will ja nicht OT werden.
Hallo Wildone

Gruß

Schrulli

wobei das torrentnetz ganz anders aufgebaut ist. hier findet man ja eher größere dateien und man kann auch nicht einfach auf einem server danach suchen, sondern brauch erst ne torrent-datei. von daher sind hier natürlich wesentlich weniger viren verbreitet als in emule.

aber wie immer sitzt das größte problem meist vorm rechner. wenn man programm falsch nutzt, hat man schnell viren drauf.


wobei das jetzt eigentlich schon ziemlich offtopic ist. mein problem war ja weniger emule, sondern die viren. woher sie nun kamen ist ja nun egal, über emule werden sie jedenfalls nichtmehr so schnell bei mir kommen :-)
also da hier des problem zwar nicht gelöst, aber die frage beantwortet ist, kann man hier auch zumachen, sonst gibts noch mehr offtopic :-)