Hallo!

Ich habe heute mal Hijack This bei meinem Laptop durchlaufen lassen.
Dabei ist mir aufgefallen, dass sich ein Eintrag häuft, nämlich dieser hier:
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll

Ich bin durch googeln nicht zu einem Ergebnis gekommen, ob dies nun schädlich ist oder nicht. Habe nach dem Logfile auch mal Spybot drüber laufen lassen, aber er meinte ich hätte keine Spione. Was soll ich da jetzt noch unternehmen?

Wäre dankbar für Hilfe.

Hier dann das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:37, on 05.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\BisonCam\BsMnt.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BsMnt] C:\Program Files\BisonCam\BsMnt.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Reset Reader (resetWinService) - Unknown owner - C:\Program Files\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6148 bytes

Hi,

könnte zu Nvida gehören (Netzwerktreiber), daher bitte online prüfen lassen:
Bitte folgende Files prüfen:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\bglsp.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Und eine weitere Überprüfung durch MAM kann nicht schaden...
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

Datei BGLsp.dll empfangen 2009.04.05 18:13:46 (CET)
Status: Beendet
Ergebnis: 0/40 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.05 -
AhnLab-V3 5.0.0.2 2009.04.04 -
AntiVir 7.9.0.129 2009.04.03 -
Antiy-AVL 2.0.3.1 2009.04.05 -
Authentium 5.1.2.4 2009.04.05 -
Avast 4.8.1335.0 2009.04.05 -
AVG 8.5.0.285 2009.04.05 -
BitDefender 7.2 2009.04.05 -
CAT-QuickHeal 10.00 2009.04.04 -
ClamAV 0.94.1 2009.04.05 -
Comodo 1100 2009.04.05 -
DrWeb 4.44.0.09170 2009.04.05 -
eSafe 7.0.17.0 2009.04.05 -
eTrust-Vet 31.6.6435 2009.04.03 -
F-Prot 4.4.4.56 2009.04.05 -
F-Secure 8.0.14470.0 2009.04.04 -
Fortinet 3.117.0.0 2009.04.05 -
GData 19 2009.04.05 -
Ikarus T3.1.1.49.0 2009.04.05 -
K7AntiVirus 7.10.692 2009.04.03 -
Kaspersky 7.0.0.125 2009.04.05 -
McAfee 5575 2009.04.05 -
McAfee+Artemis 5575 2009.04.05 -
McAfee-GW-Edition 6.7.6 2009.04.03 -
Microsoft 1.4502 2009.04.05 -
NOD32 3988 2009.04.04 -
Norman 6.00.06 2009.04.03 -
nProtect 2009.1.8.0 2009.04.05 -
Panda 10.0.0.14 2009.04.05 -
PCTools 4.4.2.0 2009.04.05 -
Prevx1 V2 2009.04.05 -
Rising 21.23.41.00 2009.04.03 -
Sophos 4.40.0 2009.04.05 -
Sunbelt 3.2.1858.2 2009.04.04 -
Symantec 1.4.4.12 2009.04.05 -
TheHacker 6.3.4.0.302 2009.04.04 -
TrendMicro 8.700.0.1004 2009.04.03 -
VBA32 3.12.10.2 2009.04.05 -
ViRobot 2009.4.4.1678 2009.04.04 -
VirusBuster 4.6.5.0 2009.04.05 -
weitere Informationen
File size: 79184 bytes
MD5...: e6af9ce62b95df17dd58d1e9620017ee
SHA1..: 500c08e6f7bd3d94fe504769efc3b068cfdb3825
SHA256: 45ff7002f1f76bac4b7bfc3a812a7833da8d622ad6d68e6c13ec3a64dd18aeab
SHA512: e9cc21b814db3d33c716b2d29994b0646b9adf289c5eecff341e11074d570fbf
ea844d089aae309335db063ccfbfe8b25f3b95f146d69266a2480d609e0c7a51
ssdeep: 1536:0Upvv1Rrh3JOJo9IR9+TSdIRzAy7/TpXsybfpZWwaT:JvNZhTyjRd67NXsy
bfpZWw
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc07e
timedatestamp.....: 0x49d3720e (Wed Apr 01 13:54:22 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb51b 0xc000 6.15 35ea738f0d83e843729aca0ac71b2162
.rdata 0xd000 0x124c 0x2000 3.41 c662e4050f4b6bcc8216bdd7da15b2d4
.data 0xf000 0x920 0x1000 0.35 1e10d9e790853f2a8224c0a77ca5e0b0
.rsrc 0x10000 0x4d0 0x1000 4.03 3a2f19454e44332994ec4434ed0295b5
.reloc 0x11000 0xbe0 0x1000 5.24 ef38b442d31845387d25f292986224c4

( 6 imports )
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, WPUCompleteOverlappedRequest, -, -, WSCEnumProtocols, WSCDeinstallProvider, WSCWriteProviderOrder, WSCGetProviderPath, WSCInstallProvider
> RPCRT4.dll: UuidCreate
> KERNEL32.dll: GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, GetCurrentThreadId, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, InterlockedExchange, GetSystemTimeAsFileTime, SetUnhandledExceptionFilter, TlsGetValue, TlsSetValue, Sleep, TlsAlloc, InterlockedDecrement, DebugBreak, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, GetModuleFileNameW, CloseHandle, GetLastError, InitializeCriticalSection, FreeLibrary, MultiByteToWideChar, GetVersionExW, LoadLibraryW, GetProcAddress, LoadLibraryA, GetSystemDirectoryA, ExpandEnvironmentStringsA, lstrcpyW, HeapAlloc, HeapFree, HeapCreate, HeapDestroy, ExpandEnvironmentStringsW, WideCharToMultiByte, WaitForSingleObject, GetExitCodeThread, CreateEventW, CreateThread, GetCurrentProcessId, SetEvent, ExitThread, ResetEvent, InterlockedIncrement, CreateIoCompletionPort, GetSystemInfo, CreateSemaphoreW, PostQueuedCompletionStatus, WaitForMultipleObjectsEx, ReleaseSemaphore, GetQueuedCompletionStatus, WaitForSingleObjectEx, TlsFree
> USER32.dll: IsWindow, DefWindowProcW, PostQuitMessage, UnregisterClassW, DestroyWindow, DispatchMessageW, TranslateMessage, GetMessageW, CreateWindowExW, RegisterClassW, PostMessageW
> ole32.dll: StringFromGUID2
> MSVCR80.dll: _crt_debugger_hook, __clean_type_info_names_internal, memcpy, _unlock, __dllonexit, _lock, _adjust_fdiv, _amsg_exit, _initterm_e, _initterm, _decode_pointer, _encoded_null, _malloc_crt, _encode_pointer, sscanf_s, wcsncpy_s, _vsnwprintf_s, getchar, _onexit, _except_handler4_common, memset, __CppXcptFilter, atol, atoi, free, wcsrchr, sprintf_s, wcscpy_s, __2@YAPAXI@Z, strcpy_s, wcstombs_s, strncmp, tolower, _strnicmp

( 5 exports )
DllRegisterServer, DllUnregisterServer, EnableProxy, GetLspGuid, WSPStartup
RDS...: NSRL Reference Data Set
-

Hier dann noch das Ergebnis von Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1944
Windows 6.0.6001 Service Pack 1

06.04.2009 18:47:51
mbam-log-2009-04-06 (18-47-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 197472
Laufzeit: 2 hour(s), 49 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Hoffe das hilft dir weiter.

MFG Hans

*Kurz einspring und weiß, dass Chris nicht sauer sein wird. *

Wenn du bei der automatischen HJT-Auswertung auf den grünen Kasten klickst, dann erscheint:

Zitat:

This is BullGuard Spamfilter new email proxy. Don\'t remove it, you might break your winsock config perminently! //Kristoffer Andersen /BullGuard Support

Mein Englisch ist nicht das Beste, aber ich glaube er meint permanently.

ciao, andreas

@John,
ist Okay, mit Bullgard kenne ich mich nicht (so) aus...
Wurde aber auch nichts gefunden...

Sonst sieht es auch sauber aus...

chris

Also ist, das normal, dass das so oft auftaucht?

Bzgl. BullGuard da war hier auf dem Laptop eine Testversion drauf, die ich allerdings durch AntiVir ersetzt habe. Vielleicht dann dadurch der Fehler.
Ich dachte zwar das BullGuard weitgehend rückstandslos runtergelöscht wurde, aber vielleicht ist das dann ja nicht der Fall.

In irgend einem Forum habe ich gelesen, dass man diese Winsock Fehler nicht fixen soll mit HJT stimmt das?

Hoffe auf Hilfe.

MFG Hans

Hi,

das fixen geht zwar mit HJ, allerdings ist dann die LSP-Kette "gebrochen", d.h. Du hast keine Internetverbindung mehr.
Also Finger weg!

Probiere es mal hier mit dem "uninstalltool":
http://www.bullguard.com/support/product-guides/bullguard-internet-security-guides/uninstall/4x.aspx

Es gibt noch eine andere Möglichkeit, die aber erst wenn alles andere nichts hilft...

chris

Also ich habe jetzt noch mal HJT durchlaufen lassen und der zeigt mir immer noch diese LSP- Fehler an. Ich hatte zuvor auch dieses Uninstalltool genutzt, welches du mir gepostet hattest.
Ist das jetzt eigentlich schlimm, wenn ich den Laptop so lasse, oder soll ich das System neu aufsetzen(als letzte Lösung)? Das wäre natürlich ärgerlich weil der Laptop gerade einmal 6 Wochen alt ist.
Und diese Fehler stammen jetzt von BullGuard?

Könntest du mir vielleicht noch erklären was Winsock LSP überhaupt ist? Ich habe da im Internet nichts gefunden was für mich verständlich war...

Frohe Ostern wünscht Hans;-)

*Mal wieder kurz einspringe, Chris, ich krieg dich noch *

LspFix

• Lade LSPFix auf den Desktop
• Nach dem Start siehst du folgendes Bild (Danke an den gesperrten Argus)

• Haken setzen bei I know what I'm doing
• Den Eintrag bglsp.dll markieren
• Doppelpfeil nach rechts anklicken
• Finish anklicken
• Rechner neustarten

Frohe Ostern,
andreas