Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   EGDACCESS und anderer Stuff (https://www.trojaner-board.de/27411-egdaccess-anderer-stuff.html)

Chrivi 08.03.2006 01:20
EGDACCESS und anderer Stuff
 
So ich hab ein Problem mit EGDACCESS_1072.DLL
und möchte gerne den Eintrag vom Mailskinner loswerden, also die Datei Mailskinner ist auch schon vom Rechner runter, aber bekomm den Eintrag in der regestry einfach nicht geloescht. Obwohl ich das im abgesicherten Modus mit desaktivierter Systemwiederherstellung gemacht hat, sind die Einträge alle wieder bei Neustart da.

Bitte deshalb um Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 01:08:43, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\***\Bureau\Nouveau dossier\Hijackthis\HijackThis.exe
C:\Norman\bin\niu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pt.lu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pt.lu
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pt.lu/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe"
O4 - HKLM\..\Run: [wbotehinc] c:\windows\system32\wbotehinc.exe wbotehinc
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Samsung Internet Keyboard.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pt.lu
O16 - DPF: SNET_082006 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2054.cab
O16 - DPF: SNET_092004 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2049.cab
O16 - DPF: SNET_092005 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2052.cab
O16 - DPF: SNET_102003 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2045.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: AOpen Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

stupormundi 08.03.2006 06:55
Servus!
Zuallererst, bevor Du die unten angeführten Schritte setzt, mach folgendes:
Lass´ mal folgende Dateien
Zitat:
c:\windows\system32\wbotehinc.exe
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Außerdem hast Du hier
Zitat:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess
einen Dialer sitzen! Falls Du nicht via DSL ins I.Net einsteigst, sichere dieses Logfile mal zur Dokumentation, falls Deine Online-Abrechnung zu hoch wird.
Hol Dir folgende Tools: killbox, clearprog 1.4.1 final, und regseeker.
Lösche im abgesicherten Modus mit der killbox und der Option 'kill on reboot' die 'EGDACCESS_1072.DLL' , dann reinigst mit regseeker und der Option 'claer registry' (Vorsicht: hier unbedingt darauf achten, dass die Backup-Funktion aktiviert ist!) Deine Registrierung, dann startet Du - immer noch im abgesicherten Modus - HJT und fixt (--> siehe Anleitung: 'fix checked' anhaken) folgende Einträge (falls noch vorhanden)
Zitat:
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe
EGDACCESS_1072.dll,InstantAccess
und zuletzt bringst Du mit clearprog 1.4.1 und der Option 'clear all' noch den Müll vor die Tür.
Den gesamten Ordner von Mailskinner hast Du schon gelöscht/deinstalliert?
Wenn hier noch etwas auf Deinem System ist, ebenfalls löschen.
stupormundi

Chrivi 08.03.2006 08:01
So danke stupormundi für deine schnelle Antwort.

Also ich hab alles getan was du mir aufgetragen hast, und hier sind meine Ergebnisse:

c:\windows\system32\wbotehinc.exe

Diese Datei gibt es gar nicht, aber

c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat

Soll ich die löschen oder nicht?


'EGDACCESS_1072.DLL'

Diese Datei gibts auch nicht mehr auf meinem PC!


Und von Mailskinner ist auch alles runter vom PC.


Ich hab nur die regestry Einträge noch von denen Dateien, und
in msconfig sind die 3 unter den Startvorgängen.
Wenn ich diese deaktiviere, egal ob im abgesicherten oder normalen Modus, werden sie trotzdem wieder geladen.

Hab auch alle Vorgänge mir regseeker und clearprog vollzogen im abgesicherten Modus, trotzdem tritt beim reboot wieder das selbe Problem auf.


Wäre froh über weitere Hilfe.

Mit freundlichen Grüssen
Chrivi

stupormundi 08.03.2006 08:45
Servus noch mal!

Hast Du auch wie im meiner Signatur unten verlinkt, versteckte Dateien anzeigen lassen!

Zitat:
c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat
lass diese mal bei Jotti und virustotal checken und poste das Ergebnis!
stupormundi

Chrivi 08.03.2006 09:09
So danke fuer den schnellen Reply.

Ja, hab die versteckten Dateien anzeigen lassen.

Also ich liess beide Online-VirenScan-Programme laufen:


c:\windows\system32\wbotehinc.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_nav.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_navps.dat

Keine Viren gefunden.

Chrivi 08.03.2006 18:15
Weiss denn keiner hier Rat? :confused:

stupormundi 09.03.2006 10:50
Servus!
Nun, wenn keine der Dateien auffindbar ist und die bereits gesetzten Maßnahmen scheinbar keinen Erfolg bringen, müssen wir weitersuchen:
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131