Hi , kann einer von euch da bitte nochmal drüber gehen ...


Logfile of HijackThis v1.97.7
Scan saved at 08:24:24, on 28.07.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\NETLIMITER\NETLIMITER.EXE
C:\WINDOWS\RunDLL.exe
E:\STEGANOS SECURE FILESHARING\SFS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\WINDOWS MEDIA PLAYER\WMPLAYER.EXE
C:\WINDOWS\WUAUCLT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\STEGANOS SECURITY SUITE 6\SSS.EXE
C:\PROGRAMME\STEGANOS SECURITY SUITE 6\SAFE.EXE
C:\WINDOWS\AU51FUN.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\EIGENE DATEIEN\INTERNET DATEIEN\SICHERHEIT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NETLIMITER] C:\PROGRAMME\NETLIMITER\NETLIMITER.EXE /s
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab

Vielen Dank ...

Der Flo

Hi Florian,

stoppe mit dem Taskmanager folgende Prozesse:

sss.exe
update.exe

dann mit Start - Ausführen - unregister - folgende dll's deregistrieren:

imapscan.dll
ldapscan.dll
lpdscan.dll
netbiosscan.dll
nfsscan.dll
nntpscan.dll
portscan.dll
smtpscan.dll
snmpscan.dll
sshscan.dll
sssreport.dll
telnetscan.dll
whois.dlldnsscan.dll
fingerscan.dll
ftpscan.dll
httpscan.dll
identscan.dll

und diese Dateien, falls vorhanden, im Explorer entfernen:

base.sdb
complete scan.dat
description.html
dnsscan.dll
english.lng
example.dof
example.dpr
example.res
fingerscan.dll
ftp buffer overflows.dos
ftpscan.dll
help(eng).lnk
help(rus).lnk
helprus.chm
history.txt
http buffer overflows.dos
httpscan.dll
identscan.dll
imapscan.dll
install.log
ldapscan.dll
lpdscan.dll
netbiosscan.dll
nfsscan.dll
nntpscan.dll
options.dat
osdetect.dat
passwd.txt
plugtest.cpp
plugtest.dsp
plugtest.dsw
plugtest.opt
plugtest.plg
ports.dat
portscan.dll
russian.lng
shadowsecurityscanner.lnk
smtp buffer overflows.dos
smtpscan.dll
snmpscan.dll
sshscan.dll
sss.exe
sss.reg
sss_plugin.h
sssplugin.dcu
sssplugin.pas
sssreport.dll
telnetscan.dll
ukrainian.lng
unixrpc.ini
update.exe
whois.dll


Gruß Jinxy

also sss ist ja Steganos Secruity Suite ..soll ich davon wirklich die exe datei löschen ?

Hi Florian,

schau einmal hier:

http://www.pestpatrol.com/PestInfo/s/sh ... canner.asp

Du kannst ja erst den OnlineScan machen. Möglicherweise gibt es ja einen Trojaner, der sich hinter bekannten Namen verbirgt. Aber die Verantwortung will ich nicht tragen. Die Onlineauswertung sagt zwar auch, dass es sich um ein gefährliches Programm handelt, trotzdem musst du das entscheiden.

Gruß Jinxy

hmmh das ist dumm , eigentlich sollte das Programm Steganos Secruity Suite dienen um Daten zu verschlüsseln , habs auch original gekauft , also sollte im Programm kein Virus drin sein

Update.exe kann ich nicht im Taskmanager finden


Wie ist das mit dem Dateien im Explorer löschen gemeint , über arbeitsplatz / windows`?

Und das mit dem Start - Ausführen - unregister funktionier auch irgendwie nicht ..da steht dann immmer

unregister wurde nicht gefunden .............


Mfg Flo

Florian

C:\WINDOWS\RunDLL.exe
http://www.liutilities.com/products/win ... ry/rundll/
Das ist bestimmt ein Virus...also bitte mit Kaspersky ueberpruefen.
http://www.kaspersky.com/scanforvirus

MfG
Nikita

Hi Florian,

hier wird alles genau erklärt:

http://www.pestpatrol.com/PestInfo/Abou ... gisterDLLs

Gruß Jinxy

Hi , danke erstmal ....

so hab jetzt Ad Aware , Norton , Anti Vir , SpyBot und den CW Shredder durchlaufen lassen , die haben nichts gefunden , hab Kaspersky noch nicht runter geladen , weil ich schon mit meinem Volumentarif weit zu hoch bin ....nun ja werde ich im neuen Monat mal machen ,

wie siehts denn aus ...wie kommst du denn darauf dass in der RunDll ein Virus ist / sein könnte ....weil die aufs nternet zugreift ?

So werde nun mal das mit den Dlls machen , melde mich dann später nochmal

Florian

http://www.kaspersky.com/scanforvirus
das muss man nicht runterladen, sondern man kann die C:\WINDOWS\RunDLL.exe damit ueberpruefen lassen.

Ansonsten wuerde ich sie gleich manuell loeschen, einmal in der Registry und dann C:\WINDOWS\RunDLL.exe


Process File: rundll or rundll.exe
Process Name: Rundll
Description: Added to the system as a result of the LOXOSCAM virus that is a backdoor Trojan !!!!!!!
that allows a hacker to gain access to the computer.
.......................................................................................................
sss ist Steganos Secruity Suite.....das ist o.k. , das ist nicht \bad\


ansonsten lade mwav.exe....ein kleines Tool und scanne \alle Dateien\.
Du wirst ueberrascht sein, was da alles gefunden wird....
http://www.mwti.net/antivirus/free_utilities.asp
MfG
Nikita

Hi , alles klar , hier das ergebnis von dem Kaspersky

Scanned file: RUNDLL.EXE

RUNDLL.EXE - OK

Scanned file: RUNDLL32.EXE

RUNDLL32.EXE - OK


ich sag dir ...mein rechner ist soo geil geschütz durch den ganzen Steganos Kram

<<<Du wirst ueberrascht sein, was da alles gefunden wird.... >>>
um ehrlich zu sein wurde nichts gefunden ,...


Hast du sonst noch irgendwelche Tipps?

Hallo Floh
Nein, ich habe keine Tips mehr...es scheint alles o.k. zu sein.
Gruss
Nikita

alles klar dankeschön ,