Hallo da bin ich wieder :-)

Ich habe alle Dateien wie in der Anleitung angegeben noch einmal überprüft, die Dateien sind alle sichtbar, habe jetzt aber nochmals nach dieser dllhost.exe gesucht und sie hier gefunden:
1x C:\WINNT\system32
1x C:\WINNT\system32\dllcache

Sie ist jetzt aber nur mehr 2x da, vorher war auch noch eine Verknüpfung zu finden, habe am Anfang in meinem Posting angegeben.

Unter C:\WINNT\system ist keine dllhost.exe zu finden gewesen.

Mir ist da auch noch die Datei wradmin600.exe aufgefallen aus dem tcpview-Logfile.

Zitat:

wradmin600.exe:1888 TCP fe69c730:2174 localhost:44333 ESTABLISHED
wradmin600.exe:1888 UDP fe69c730:2175 *:*

Beende doch mal bitte alle Programme, lass nur tcpview laufen und erstell davon ein neues Logfile. Es geht darum, nur die automatisch gestarteten Einträge zu finden.
Such auch mal bitte die die Datei wradmin600 und lass sie bei Virustotal bzw. Jotti prüfen.

Zitat:

Unter C:\WINNT\system ist keine dllhost.exe zu finden gewesen.

Auch wenn sie jetzt tatsächlich nicht mehr da sein sollte, ist dein System zumindest mit diesem Schädling schon befallen worden. Hast du schonmal eScan (MWAV) ausgeführt?

Hallo, ich habe jetzt nach deinen Anweisungen das file mtr2cenu.dll gelöscht, es ist nicht mehr zu finden :-).
Der Pc läuft eigentlich normal nur diese Meldung liefert mir der Spysweeper: Gefunden Adware: eqiso toolbar
nach wie vor, ich kann sie zwar löschen aber irgendwann findet Spy sweeper sie wieder. HKU\S-1-5-21-2025429265-1123561945-839522115-1000\software\xttb00001\ (126 Teilspuren) (ID = 1729149)
Habe mein Virenprogramm drüberlaufen lassen, ebenso spybot und auch online den bitdefender.de es wurde nichts mehr gefunden.

wradmin600.exe diese Datei ist von meinen Winroute, Router Software und hat über 4mb, soll ich die trotzdem zum Untersuchen hochladen?

Hier das neue Logfile von Hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:54:57, on 15.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Bonjour\mDNSResponder.exe
C:\WINNT\system32\clipsrv.exe
E:\Programme\DirectUpdate v4\DUEngine.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
E:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
E:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
E:\Programme\Kerio\WinRoute Firewall\winroute.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINNT\RTHDCPL.EXE
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\programme\Webroot\Spy Sweeper\SpySweeper.exe
E:\Programme\TweakNow PowerPack 2006\RAM_XP.exe
E:\programme\DirectUpdate v4\DUControl.exe
C:\WINNT\system32\internat.exe
E:\Programme\Alpenland\Euro + @\euroat.exe
E:\Programme\LAB1.de\SMTP-Filter\smtp-filter.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
E:\programme\Pamela\pamela.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Eigene Dateien\Downloaprogramme\HDD-Thermometer\DTemp\DTemp.exe
E:\Programme\Microsoft Office\Office\1031\msoffice.exe
E:\programme\Skype\Phone\Skype.exe
E:\Programme\Skype\Plugin Manager\SkypePM.exe
E:\programme\Mozilla Firefox\firefox.exe
E:\Programme\Outlook Express\msimn.exe
C:\WINNT\system32\clipbrd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Eigene Dateien\Downloaprogramme\Hijackthis\HiJackThis_v2\HiJackThis_v2.exe
E:\programme\WS_FTP\WS_FTP95.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
E:\Programme\Kerio\Admin\KAdmin.exe
E:\Programme\Kerio\Admin\wradmin600.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Willkommen House Marathia Zakynthos
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\tbu4C\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\programme\ICQToolbar\tbu4C\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\tbu4C\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] E:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [MAF-Recovery] E:\programme\MAF-Recovery\MAF-Recovery.exe
O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinVNC] E:\programme\StartupStar\inactive.exe "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avgnt] E:\programme\StartupStar\inactive.exe "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] E:\programme\StartupStar\inactive.exe E:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PreNVF] D:\utility\nam\c51\32\prenvf.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] E:\programme\StartupStar\inactive.exe "E:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SpySweeper] "E:\programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [RAM Idle Professional] E:\Programme\TweakNow PowerPack 2006\RAM_XP.exe
O4 - HKLM\..\Run: [DUControl] "E:\programme\DirectUpdate v4\DUControl.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [euroat.exe] E:\Programme\Alpenland\Euro + @\euroat.exe
O4 - HKCU\..\Run: [SMTP-Filter] E:\Programme\LAB1.de\SMTP-Filter\smtp-filter.exe /AUTOSTART
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WrCtrl] E:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
O4 - HKCU\..\Run: [pamela.exe] "E:\programme\Pamela\pamela.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Verknüpfung mit DTemp.exe.lnk = G:\Eigene Dateien\Downloaprogramme\HDD-Thermometer\DTemp\DTemp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - E:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O15 - Trusted Zone: h**p://linktrader.cyberspacehq.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{213B049B-550E-4925-AAC7-B3D82C1FD7F4}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4CB3990-0E61-418E-BF43-134CE0FBA23F}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DirectUpdate-Service (DirectUpdate) - http://www.wildup.net/ - E:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINNT\system\dllhost.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ptssvc - Unknown owner - E:\programme\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - E:\Programme\WinPcap\rpcapd.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - E:\Programme\Kerio\WinRoute Firewall\winroute.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe

--
End of file - 10928 bytes


eScan hole ich jetzt nach...

Habe einige Einträge mit eScan gefunden:

Object "vx2 Spyware/Adware" found in File System! Action Taken: Entries Removed.
Object "midaddle Spyware/Adware" found in File System! Action Taken: Entries Removed.
Object "ezula Spyware/Adware" found in File System! Action Taken: Entries Removed.
Object "findit quick browseraid Spyware/Adware" found in File System! Action Taken: Entries Removed.
Object "coulomb dialer Spyware/Adware" found in File System! Action Taken: Entries Removed.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: Entries Removed.
Entry "HKCR\SPhoneParser.FoundSkypeNumber" refers to invalid object "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Action Taken: Entries Removed.

Zitat:

wradmin600.exe diese Datei ist von meinen Winroute, Router Software und hat über 4mb, soll ich die trotzdem zum Untersuchen hochladen?

Ah, dann isse okay, ich konnte die vorher nicht zuordnen. Bei Jotti oder so brauchst du die dann auch nicht hochzuladen.

Zitat:

O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINNT\system\dllhost.exe (file missing)

Die Eintrag macht mir weiterhin Sorgen. Wenn du Wert auf ein vertrauenswürdiges System legst, solltest du es neu aufsetzen.

O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINNT\system\dllhost.exe (file missing)

Ist diese Datei unter C:\WINNT\system\dllhost.exe normalerweise zu finden?
Du weist ja das sie bei mir unter C:\WINNT\system32\dllhost.exe ist, gehört die bei W2000 nicht in den system32 Ordner?

Ich habe ja eine Sicherung von Acronis True image, sämtliche Programme habe ich auf einer eigenen Partition (E: Anwedungen) die Daten habe ich auf G: Daten, so könnte ich ja das Windows auf C wieder aufspielen, nur muss ich dann beim Wiederherstellen die E: Partition herstellen wo die ganzen Programme oben sind, denke schon oder?

Zitat:

Ist diese Datei unter C:\WINNT\system\dllhost.exe normalerweise zu finden?

Nee! Deswegen ja sticht dieser Eintrag von Schädlingshand gerade hervor!
Die Acronis-Sicherung zurückspielen, dass hättest du schon längst machen können. Nur die Programme müssen idr alle neu installiert werden, da sie ja in den zurückgespielten Windows v.a. schon in der Registry fehlen - ob da ein Programm nun doch läuft ist Glückssache. Deswegen macht es auch kaum Sinn Programme außerhalb der Systempartition zu installieren, da die wirklich relevanten Einträge so oder so dort landen.
"Nackte" Daten wie Musik, Videos, Dokumente kannst nat. auf der Datenpartition behalten.

Wieder was gelernt. Was ich auch nicht versteh ist dieser Eintrag: eqiso toolbar
08:33: HKU\S-1-5-21-2025429265-1123561945-839522115-1000\software\xttb00001\ (126 Teilspuren) (ID = 1729149) Ich lösche ihn, fahre den PC runter/hoch starte mein "Spy Sweeper" kein Eintrag zu finden, auf einmal wenn ich den Sweeper wieder durchlaufen lasse in den nächsten Tagen ist der Eintrag wieder da, immer der selbe Eintrag, Spybot aber findet nichts.