Hallo könnt ihr mir weiterhelfen?, seit neuesten finde ich immer diesen Eintrag in meiner Suchmeldung von "Spy sweeper" eqiso toolbar ich lösche zwar immer diesen Eintrag aber er kommt immer wieder.
Diese Meldung liefert mir der Spysweeper: Gefunden Adware: eqiso toolbar
08:33: HKU\S-1-5-21-2025429265-1123561945-839522115-1000\software\xttb00001\ (126 Teilspuren) (ID = 1729149)

HJT Logfile, das habe ich aber erst nachdem gemacht wenn der Spysweeper den eqiso gefunden und gelöscht hat:
Logfile of HijackThis v1.99.0
Scan saved at 11:28:18, on 12.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Bonjour\mDNSResponder.exe
C:\WINNT\system32\clipsrv.exe
E:\Programme\DirectUpdate v4\DUEngine.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
E:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
E:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
E:\Programme\Kerio\WinRoute Firewall\winroute.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINNT\RTHDCPL.EXE
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\programme\Webroot\Spy Sweeper\SpySweeper.exe
E:\Programme\TweakNow PowerPack 2006\RAM_XP.exe
E:\programme\DirectUpdate v4\DUControl.exe
C:\WINNT\system32\internat.exe
E:\Programme\Alpenland\Euro + @\euroat.exe
E:\Programme\LAB1.de\SMTP-Filter\smtp-filter.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
E:\programme\Pamela\pamela.exe
G:\Eigene Dateien\Downloaprogramme\HDD-Thermometer\DTemp\DTemp.exe
E:\programme\VisionGS BE\visiongs.exe
E:\Programme\Microsoft Office\Office\1031\msoffice.exe
E:\programme\Skype\Phone\Skype.exe
E:\Programme\Skype\Plugin Manager\SkypePM.exe
E:\Programme\Kerio\Admin\KAdmin.exe
E:\Programme\Kerio\Admin\wradmin600.exe
E:\programme\Mozilla Firefox\firefox.exe
E:\Programme\Outlook Express\msimn.exe
C:\WINNT\system32\notepad.exe
E:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\wz76fc\HijackThis.exe


O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {A1AEF68D-EEBC-4F82-87E2-70F494C5E489} - C:\WINNT\system32\mtr2cenu.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\tbu4C\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] E:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [MAF-Recovery] E:\programme\MAF-Recovery\MAF-Recovery.exe
O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinVNC] E:\programme\StartupStar\inactive.exe "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avgnt] E:\programme\StartupStar\inactive.exe "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] E:\programme\StartupStar\inactive.exe E:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PreNVF] D:\utility\nam\c51\32\prenvf.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] E:\programme\StartupStar\inactive.exe "E:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SpySweeper] "E:\programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [RAM Idle Professional] E:\Programme\TweakNow PowerPack 2006\RAM_XP.exe
O4 - HKLM\..\Run: [DUControl] "E:\programme\DirectUpdate v4\DUControl.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [euroat.exe] E:\Programme\Alpenland\Euro + @\euroat.exe
O4 - HKCU\..\Run: [SMTP-Filter] E:\Programme\LAB1.de\SMTP-Filter\smtp-filter.exe /AUTOSTART
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WrCtrl] E:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
O4 - HKCU\..\Run: [pamela.exe] "E:\programme\Pamela\pamela.exe"
O4 - Startup: Verknüpfung mit DTemp.exe.lnk = G:\Eigene Dateien\Downloaprogramme\HDD-Thermometer\DTemp\DTemp.exe
O4 - Startup: VisionGS.lnk = E:\programme\VisionGS BE\visiongsa.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - E:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{213B049B-550E-4925-AAC7-B3D82C1FD7F4}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4CB3990-0E61-418E-BF43-134CE0FBA23F}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Dienst - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DirectUpdate-Service - h**p://www.wildup.net/ - E:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Windows Host Services - Unknown - C:\WINNT\system\dllhost.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service - Google - E:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ptssvc - Unknown - E:\programme\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine - Webroot Software, Inc. - E:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Kerio WinRoute Firewall - Kerio Technologies - E:\Programme\Kerio\WinRoute Firewall\winroute.exe
O23 - Service: VNC Server - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe

Hallo.

Lasse bitte folgende Datei auf Virustotal überprüfen und poste das Ergebnis mit allen Angaben:

" C:\WINNT\system\dllhost.exe "

mfg

Undoreal

Zitat:

O23 - Service: Windows Host Services - Unknown - C:\WINNT\system\dllhost.exe (file missing)

Dieser Eintrag ist weitaus schlimmer, sieht nach diesem hier aus, dein System ist kompromittiert.
Setz neu auf oder spiel ein sauberes Image zurück (du hast Acronis!). Besser wär es auch alle Passwörter zu ändern.
BTW: Beim nächstenmal bitte die aktuelle Version von HijackThis benutzen.

Hallo, unter C:\WINNT\system ist diese Datei nicht.Mit der Suchilfe von Windows 2000 habe ich 3 Dateien gefunden und zwar
1x Verknüpfung in C:\Dokumente und Einstellungen\xxxx\Recent
Grösse 504byte

1x C:\WINNT\system32
grösse 5.904byte

und 1x C:\WINNT\system32\dllcache
selbe grösse ebenfalls 5.904 byte

Kann ich davon welche löschen?

Heute habe ich wieder spy sweeper suchen lassen , es war kein adware zu finden.

Das ist das Resultat von Virustotal:




AhnLab-V3 2007.4.12.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 No threat detected
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2186 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.12.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found

File size: 5904 bytes
MD5: dcf1ef1a4c73353f4267fe3eee5643a6
SHA1: ef809f2a670802d40bac9cbf7747a7d59303a3d9
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=dcf1ef1a4c73353f4267fe3eee5643a6

@ cosinus:

Zitat:

Dieser Eintrag ist weitaus schlimmer, sieht nach diesem hier aus, dein System ist kompromittiert.

Zitat:

AhnLab-V3 2007.4.12.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 No threat detected
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2186 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.12.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found

eigentlich war ich auch deiner Meinung aber ich hatte da so 'ne Ahnung.. was sagst du nun dazu?

@zante:

hast du exakt diese Datei bei Virustotal hochgeladen?
" C:\WINNT\system\dllhost.exe " beim log fehlt nähmlich der Kopf. Siehe auch "Dateien suchen.. " in meiner Signatur..


-öffne bitte regedit: Start->ausführen-> regedit

>navigiere nach folgendem Schlüssel:
" HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinMngn
<Windows-Systemordner>\system\dllhost.exe " (du kannst auch nach dllhost.exe suchen)

-teile uns mit was gefunden wird, bzw. kopiere es ab.



Und nun eine wichtige Frage!:! Ist dir irgendwann einmal der Name
" nVision AntiVirus " unter gekommen oder wurde von deinem eigenen AV-Proggi geblockt?



-Dann machst du bitte noch etwas. Lasse f-secure Blacklight sowie TCP-View über deinen Rechner schauen und poste die logFiles komplett! (Programme findest du bei googel; erstelle für jedes bitte einen eigenen Ordner)



-Danach machst du bitte einen eScan. Anleitung findest du in meiner Signatur.

Du hast sehr viel zu tun und noch dazu ist das alles recht schwierig wenn man es in Eile macht. Nimm dir also das Wochenende oder länger Zeit und arbeite die ganze Schose ab. Anleitung von eScan musst du sehr genau lesen.

Über den hier machen wir uns Sorgen vielleicht fällt dir ja noch was auf..

mfg

Undoreal

Ich habe windows 2000, und nicht xp spielt das hier eine Rolle?

Danke!
Ich habe es nochmals durchlaufen lassen , aber wie gesagt, es ist klein Eintrag unter System sondern nur unter System32 hier das Ergebniss:

Complete scanning result of "dllhost.exe", received in VirusTotal at 04.13.2007, 16:49:24 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.4.14.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.13.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 No threat detected
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2187 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.13.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found
Aditional Information
File size: 5904 bytes
MD5: dcf1ef1a4c73353f4267fe3eee5643a6
SHA1: ef809f2a670802d40bac9cbf7747a7d59303a3d9
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=dcf1ef1a4c73353f4267fe3eee5643a6

Diesen Eintrag finde ich überhaupt nicht bei mir, oder mache ich da was falsch?

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinMngn
<Windows-Systemordner>\system\dllhost.exe "

Ich finde nur mit der Suchfunktion
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU und da ist die Datei dllhost.exe zu finden und das 2x

"nVision AntiVirus" das sagt mir nichts, ich benütze die AV Software: Avira AntiVir PersonalEdition Classic mit aktuellen updates

Mir fällt eigentlich nichts abonormales auf mit windows,

Zitat:

Diesen Eintrag finde ich überhaupt nicht bei mir, oder mache ich da was falsch?

Nein, du suchst absolut richtig und meine Verdacht auf Fehlalarm erhärtet sich damit.

Suche bitte wie in meiner Signatur beschrieben nach der Datei " dllhost.exe "

Poste bitte den Dateipfad sowie die Größenangabe der Datei oder Dateien.

Zitat:

File size: 5904 bytes
MD5: dcf1ef1a4c73353f4267fe3eee5643a6
SHA1: ef809f2a670802d40bac9cbf7747a7d59303a3d9

irgentwas ist da faul..


Dann weiter damit:

Zitat:

-Dann machst du bitte noch etwas. Lasse f-secure Blacklight sowie TCP-View über deinen Rechner schauen und poste die logFiles komplett! (Programme findest du bei googel; erstelle für jedes bitte einen eigenen Ordner)



-Danach machst du bitte einen eScan. Anleitung findest du in meiner Signatur.

mfg

Undoreal

Ich habe die 3 dll Dateien hier gefunden:

C:\Dokumente und Einstellungen\****\Recent
Grösse 504 bytes

C:\WINNT\system32
Grösse 5904 bytes

C:\WINNT\system32\dllcache
Grösse 5904 bytes


Logfile für BlackLight es wurde nichts gefunden:

04/13/07 18:42:06 [Info]: BlackLight Engine 1.0.61 initialized
04/13/07 18:42:06 [Info]: OS: 5.0 build 2195 (Service Pack 4)
04/13/07 18:42:06 [Note]: 7019 4
04/13/07 18:42:06 [Note]: 7005 0
04/13/07 18:42:10 [Note]: 7006 0
04/13/07 18:42:10 [Note]: 7011 1440
04/13/07 18:42:10 [Note]: 7026 0
04/13/07 18:42:10 [Note]: 7026 0
04/13/07 18:42:13 [Note]: FSRAW library version 1.7.1021
04/13/07 18:43:03 [Note]: 2000 1012
04/13/07 18:43:03 [Note]: 2000 1012
04/13/07 18:43:22 [Note]: 7007 0



Für TCP-View, weis aber nicht ob ich das richtig gemacht habe, bin ein kompletter Laie

[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2309 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2323 members.aon.at:54909 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2326 members.aon.at:45783 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2353 members.aon.at:43011 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 3dstats.com:64855 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 66-193-254-46.static.twtelecom.net:64886 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.52:64880 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.52:64881 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.52:64882 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.52:64883 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.52:64885 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.54:64783 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.55:64793 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 194.116.241.55:64884 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2363 members.aon.at:34915 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2032 fg-in-f95.google.com:http TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:2033 fg-in-f95.google.com:http TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 64.154.82.6:64864 TIME_WAIT
[System Process]:0 TCP n481p006.adsl.highway.telekom.at:13266 mu-in-f147.google.com:64803 TIME_WAIT
avguard.exe:820 TCP fe69c730:18350 fe69c730:0 LISTENING
DUEngine.exe:864 TCP fe69c730:40019 fe69c730:0 LISTENING
firefox.exe:2348 TCP n481p006.adsl.highway.telekom.at:1966 fg-in-f103.google.com:http ESTABLISHED
firefox.exe:2348 TCP n481p006.adsl.highway.telekom.at:2064 fg-in-f99.google.com:http CLOSE_WAIT
firefox.exe:2348 TCP n481p006.adsl.highway.telekom.at:2067 fk-in-f99.google.com:http CLOSE_WAIT
firefox.exe:2348 TCP n481p006.adsl.highway.telekom.at:2132 gv-in-f99.google.com:http ESTABLISHED
firefox.exe:2348 TCP fe69c730:1700 localhost:1701 ESTABLISHED
firefox.exe:2348 TCP fe69c730:1701 localhost:1700 ESTABLISHED
firefox.exe:2348 TCP fe69c730:1713 localhost:1714 ESTABLISHED
firefox.exe:2348 TCP fe69c730:1714 localhost:1713 ESTABLISHED
IEXPLORE.EXE:2340 UDP fe69c730:1057 *:*
LSASS.EXE:484 UDP n481p006.adsl.highway.telekom.at:isakmp *:*
LSASS.EXE:484 UDP n481p006.adsl.highway.telekom.at:4500 *:*
LSASS.EXE:484 UDP fe69c730:isakmp *:*
LSASS.EXE:484 UDP fe69c730:4500 *:*
LSASS.EXE:484 UDP fe69c730:isakmp *:*
LSASS.EXE:484 UDP fe69c730:4500 *:*
mDNSResponder.e:832 TCP fe69c730:5354 fe69c730:0 LISTENING
mDNSResponder.e:832 UDP fe69c730:1025 *:*
mDNSResponder.e:832 UDP fe69c730:5353 *:*
MSIMN.EXE:1872 UDP fe69c730:4278 *:*
mstask.exe:1044 TCP fe69c730:1027 fe69c730:0 LISTENING
Skype.exe:1992 TCP fe69c730:http fe69c730:0 LISTENING
Skype.exe:1992 TCP fe69c730:https fe69c730:0 LISTENING
Skype.exe:1992 TCP fe69c730:26185 fe69c730:0 LISTENING
Skype.exe:1992 TCP n481p006.adsl.highway.telekom.at:2516 87.102.5.27:https ESTABLISHED
Skype.exe:1992 TCP n481p006.adsl.highway.telekom.at:2532 bui145.neoplus.adsl.tpnet.pl:https ESTABLISHED
Skype.exe:1992 TCP n481p006.adsl.highway.telekom.at:4063 bwt242.internetdsl.tpnet.pl:https ESTABLISHED
Skype.exe:1992 TCP n481p006.adsl.highway.telekom.at:4367 c-67-166-111-51.hsd1.ut.comcast.net:https ESTABLISHED
Skype.exe:1992 UDP fe69c730:26185 *:*
Skype.exe:1992 UDP fe69c730:1224 *:*
smtp-filter.exe:1832 TCP fe69c730:9025 fe69c730:0 LISTENING
smtp-filter.exe:1832 TCP n481p006.adsl.highway.telekom.at:3825 mail.gmx.net:smtp CLOSE_WAIT
svchost.exe:656 TCP fe69c730:epmap fe69c730:0 LISTENING
svchost.exe:896 TCP n481p006.adsl.highway.telekom.at:netbios-ssn fe69c730:0 LISTENING
svchost.exe:896 UDP n481p006.adsl.highway.telekom.at:netbios-ns *:*
svchost.exe:896 UDP n481p006.adsl.highway.telekom.at:netbios-dgm *:*
System:8 TCP fe69c730:microsoft-ds fe69c730:0 LISTENING
System:8 TCP fe69c730:netbios-ssn fe69c730:0 LISTENING
System:8 UDP fe69c730:microsoft-ds *:*
System:8 UDP fe69c730:netbios-ns *:*
System:8 UDP fe69c730:netbios-dgm *:*
WinRoute.exe:1264 TCP fe69c730:13266 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:44333 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:1967 fg-in-f103.google.com:http ESTABLISHED
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:2133 gv-in-f99.google.com:http ESTABLISHED
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:3128 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:4080 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:4081 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:4090 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:13266 gv-in-f99.google.com:64796 ESTABLISHED
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:13266 fk-in-f99.google.com:64768 FIN_WAIT2
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:13266 fg-in-f103.google.com:64708 ESTABLISHED
WinRoute.exe:1264 TCP n481p006.adsl.highway.telekom.at:13266 fg-in-f99.google.com:64767 FIN_WAIT2
WinRoute.exe:1264 TCP fe69c730:3128 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4080 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4081 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:44333 localhost:2174 ESTABLISHED
WinRoute.exe:1264 TCP fe69c730:3128 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4080 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4081 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4090 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:3128 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4080 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4081 fe69c730:0 LISTENING
WinRoute.exe:1264 TCP fe69c730:4090 fe69c730:0 LISTENING
WinRoute.exe:1264 UDP fe69c730:1032 *:*
WinRoute.exe:1264 UDP fe69c730:44333 *:*
WinRoute.exe:1264 UDP n481p006.adsl.highway.telekom.at:domain *:*
WinRoute.exe:1264 UDP fe69c730:1030 *:*
WinRoute.exe:1264 UDP fe69c730:1031 *:*
WinRoute.exe:1264 UDP fe69c730:domain *:*
WinRoute.exe:1264 UDP fe69c730:domain *:*
wradmin600.exe:1888 TCP fe69c730:2174 localhost:44333 ESTABLISHED
wradmin600.exe:1888 UDP fe69c730:2175 *:*

Also ich sehe da nichts. Mache noch einen eScan. Anleitung in meiner Signatur verlinkt.
Dann denke ich es ist alles i.O....

mfg

Undoreal

Hallo

lass doch mal diese Datei
C:\WINNT\system32\mtr2cenu.dll
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Danke für eure Mühe!

Huch was da zu sehen ist

Antivirus Version Update Result
AhnLab-V3 2007.4.14.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 ADSPY/BHO.aa.1
Authentium 4.93.8 04.14.2007 W32/Downloader.MNI
Avast 4.7.936.0 04.13.2007 Win32:Trojano-3384
AVG 7.5.0.447 04.13.2007 Collected.11.AD
BitDefender 7.2 04.14.2007 Trojan.BHO.WebPrefix.A
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 AdWare.BHO-2
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3567 04.14.2007 no virus found
Ewido 4.0 04.13.2007 Trojan.BHO.b
FileAdvisor 1 04.14.2007 no virus found
Fortinet 2.85.0.0 04.14.2007 Adware/KeenValue
F-Prot 4.3.2.48 04.13.2007 W32/Downloader.MNI
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.14.2007 AdWare.Win32.BHO.aa
Kaspersky 4.0.2.24 04.14.2007 not-a-virus:AdWare.Win32.BHO.aa
McAfee 5009 04.13.2007 potentially unwanted program Adware-KeenValue
Microsoft 1.2405 04.14.2007 BrowserModifier:Win32/KeenValuePerfectNav
NOD32v2 2187 04.13.2007 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 04.12.2007 W32/BHO.X
Panda 9.0.0.4 04.13.2007 Adware/KeenValue
Prevx1 V2 04.14.2007 no virus found
Sophos 4.16.0 04.12.2007 Mapkon
Sunbelt 2.2.907.0 04.14.2007 no virus found
Symantec 10 04.14.2007 Adware.Webprefix
TheHacker 6.1.6.088 04.09.2007 Adware/BHO.aa
VBA32 3.11.3 04.13.2007 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.7:9 04.13.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 Ad-Spyware.BHO.aa.1

Aditional Information
File size: 23613 bytes
MD5: ad0d8e24c032ca06c0f5e842c3052b05
SHA1: 283bee19b277f54512bb306a78f1fea49a0258ec

Ich habe sicher noch von dieser Datei eine ältere Sicherung auf einer Festplatte, hilft mir das dabei?

Hab gerade nachgesehn, habe eine Sicherung vom Jänner wie ich das System neu aufgesetzt habe, da bekomme ich die selbe Meldung wenn ich diese Datei überprüfe :-( wie kann das den sein? Oh jammer

Hallo

Hast du eigentlich diese Datei auswerten lassen und den Genauen Pfad beachtet?
C:\WINNT\system\dllhost.exe - nicht system32

Wenn die Auswertung keinen Schädling ergibt fahre so fort --> wechsel in den abgesicherten Modus (beim start F8 drücken) und fixe diesen Eintrag mit Hijackthis :
O2 - BHO: (no name) - {A1AEF68D-EEBC-4F82-87E2-70F494C5E489} - C:\WINNT\system32\mtr2cenu.dll

anschließend lösche diese Datei :
C:\WINNT\system32\mtr2cenu.dll

Starte dein System in den normalen Modus und berichte.

MFG

Servus, unter C:\WINNT\system\dllhost.exe da gibt es keine dllhost.exe nur unter system32 :-(

Habe w2000/SP4 nicht xp, weis nicht ob das ein Unterschied ergibt.
Noch eine Frage für was ist den diese Datei mtr2cenu.dll ist das eine Windows eigene Datei, habe sie auf der Windows CD gesucht aber da ist sie nicht gefunden worden.

Moin auch

hast du alle versteckten Dateien und Ordner sichtbar gemacht und dann gesucht?

Zitat:

Noch eine Frage für was ist den diese Datei mtr2cenu.dll ist das eine Windows eigene Datei

meinst du, dass Onkel Bill uns einen Schädling

Zitat:

Antivirus Version Update Result
AhnLab-V3 2007.4.14.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 ADSPY/BHO.aa.1
Authentium 4.93.8 04.14.2007 W32/Downloader.MNI
Avast 4.7.936.0 04.13.2007 Win32:Trojano-3384
AVG 7.5.0.447 04.13.2007 Collected.11.AD
BitDefender 7.2 04.14.2007 Trojan.BHO.WebPrefix.A
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 AdWare.BHO-2
.
.
.

unterjubelt ?
ich denke nicht es handelt sich definitiv um Schadsoftware, entfernen solltest du sie können wie oben beschrieben.
Aber suche bitte, jetzt wo du alles sehen kannst, nochmal nach der dllhost.exe

MFG