Hallo Leute,

das Internet meiner Feundin funktionierte ungewöhnlich (nervig) langsam. Der Rechner schien ständig zu arbeiten, hat aber irgendwie nix fertig gebracht. Darauf hin habe ich HijackThis rüberlaufen lassen und er hat auch 2 schadhafte Einträge gefunden, die ich fixen konnte:

O1 - Hosts: 209.51.133.26 webbank.openplan.co.uk
O1 - Hosts: 209.51.133.26 webbank.openplan.co.uk

Aber zwei weitere (unnötige) Einträge, die ich im abgesicherten Modus fixen wollte, standen nach Neustart erneut in der Logfile:

1.
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)

In der TonyK's BHO & Toolbar List habe ich diesen Eintrag gefunden, konnte aber nicht identifizieren, ob er schädlich ist. Aufgelistet waren dort auch die dazugehörigen Dateien:

Nzdd.dll
Nzdd*dll (* = digit)
Rdxph.dll
Sdph20.dll

Kann ich diese einfach manuell löschen?

2.
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

Hier habe ich die Datei KodakCCS.exe manuell im abgesicherten Modus gelöscht. Sie ist auch nicht mehr da (file missing), aber wie bekomme ich den Eintrag weg?


Wäre Euch auch sehr dankbar, wenn ihr mal einen Blick auf die vollständige Logfile werfen würdet und mir bestätigen könntet, dass sonst alles o.k. ist.
Danke dafür im Voraus.


Logfile of HijackThis v1.99.1
Scan saved at 13:37:58, on 29.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\tune up\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\tune up\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148330076328
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

Hi amadrius,

Dein Log-File sieht gut aus.

Zitat:

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

Aber warum willst du den Eintrag wegbekommen? Wenn deine
Freundin die zugehörige kamera hat, is der Eintrag in Ordnung.

Zitat:

Nzdd.dll
Nzdd*dll (* = digit)
Rdxph.dll
Sdph20.dll

Die Dateien sind laut dieser Information
malwaregefährdet, wenn sie im System32-Ordner liegen.
Deine Vermutung könnte durchaus richtig sein. Lasse sie doch mal
bei Virustotal oder Jotti überprüfen (Link in der sig)

Dreine gefixten Hosts haben diese Verbindung als Ergebnis gebracht.
Ich weiß nicht ob du zu diesen Adressen eine gewollte Verbindung hattest.

Zitat:

%rwhois V-1.5:003fff:00 rwhois.gnax.net (by Network Solutions, Inc. V-1.5.7.3)
network:Class-Name:network
network:ID:635.209.51.128.0/19
network:Auth-Area:209.51.128.0/19
network:Network-Name:TECHMSX-138-1
network:IP-Network:209.51.133.24/29
network:Organization;I:Tech msx
network:Tech-Contact;I:engineering@gnax.net
network:Admin-Contact;I:engineering@gnax.net
network:Created:20050207
network:Updated:20051013
network:Updated-By:engineering@gnax.net

mfg Cleriker

Zitat:

Zitat von Cleriker

Aber warum willst du den Eintrag wegbekommen? Wenn deine
Freundin die zugehörige kamera hat, is der Eintrag in Ordnung.

Das Programm wurde deinstalliert, aber die angegebene Datei war trotzdem immer unter den laufenden Prozessen des Taskmanagers zu finden.

Zitat:

Zitat von Cleriker

Die Dateien sind laut dieser Information
malwaregefährdet, wenn sie im System32-Ordner liegen.
Deine Vermutung könnte durchaus richtig sein. Lasse sie doch mal
bei Virustotal oder Jotti überprüfen (Link in der sig)

Habe mal nach den Dateien gesucht, aber keine von ihnen auf der Festplatte gefunden. Die dazugehörenden Programme sind auch nicht (mehr) da. Also warum ist der Eintrag noch vorhanden? Oder sind die Dateien irgendwo versteckt?

Zitat:

Zitat von Cleriker

Dreine gefixten Hosts haben diese Verbindung als Ergebnis gebracht.
Ich weiß nicht ob du zu diesen Adressen eine gewollte Verbindung hattest.

Die Adressen sagen mir alle nichts.