update-sp1.html

Dieses Thema update-sp1.html im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von uber, 16. Juli 2005.

Thema: update-sp1.html ja bei mir kommt nach einiger zeit immer das cmd.exe fenster und dann will opera ne updatesite ausm localhost...

  1. ja bei mir kommt nach einiger zeit immer das cmd.exe fenster und dann will opera ne updatesite ausm localhost öffnen.

    mein internet läuft auch ziemlich langsam und in spielen laagt es sehr stark.
    ich glaube es hat was mit einer sign.exe zu tun die sich bei mir auf c: befindet. aber wenn ich sie lösche stellt sie sich irgendwann nach ner zeit wieder automatisch her...

    hier die hijackthis log:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:12:08, on 16.07.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\programme\powerstrip\pstrip.exe
    C:\Programme\Game Accelerator\gamexl.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    D:\mIRC\mirc.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Opera\Opera.exe
    C:\DOKUME~1\Rico\LOKALE~1\Temp\Rar$EX00.141\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Rico\LOKALE~1\Temp\se.dll/spage.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [GameXL] C:\Programme\Game Accelerator\gamexl.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
    O9 - Extra->Tools' menuitem: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
    O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
    O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3B9675-9C18-4ABC-8F32-E2318B4760DE}: NameServer = 217.237.149.161 217.237.151.225
    O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
    O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
    O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

    ich hoffe ihr wisst was ich dagegen tun kann!

    mfg rico
     
  2. Moin,

    lese Dir diese Seite mal durch: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

    Dies beschreibt Dein Problem ganz gut.
     
  3. habe den cleaner benutzt aber er hat keine infektion gefunden =/
    das problem besteht übrigens weiterhin!
    nach dem neustart hatte sich die sign.exe wieder selbst hergellt und die html dateien in c:windows entpackt.

    log sieht nun so aus:

    Scan saved at 22:08:32, on 16.07.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\programme\powerstrip\pstrip.exe
    C:\Programme\Game Accelerator\gamexl.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\WINDOWS\explorer.exe
    D:\Opera\Opera.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Rico\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [GameXL] C:\Programme\Game Accelerator\gamexl.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
    O9 - Extra->Tools' menuitem: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
    O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
    O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3B9675-9C18-4ABC-8F32-E2318B4760DE}: NameServer = 217.237.149.161 217.237.151.225
    O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
    O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
    O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
     
  4. Lösche die ActiveXPlugins (O16 Einträge) und deaktiviere über die Zoneneinstellung deiner Internetoptionen die AktiveXcontrols.

    Was ist das hier eigentlich für ein Dienst? Führe bitte auch mal einen kompletten Scan mit AdAware und S&D durch.
     
  5. hab das alles gemacht....

    image.exe mit hijack gelöscht war danach immernoch da, aber das is wohl das kleinere problem =/

    ebend kam wieder cmd.exe und nun haben sich ein paar spudpate fenster geöffnet und auch symantec seiten =/

    ich weiss net was ich dagegen tun soll und das internet laagt auch immernoch.

    wenn ich die sign datei lösche stellt sie sich nach ner zeit von alleine wieder her.
     
  6. SP2 fehlt ???

    ??? würde ich fixen
    Media Pass Spyware
    http://www.scanspyware.net/info/MediaPass.htm

    ActiveX-Objekte im Downloaded Program Files kontrollieren und evtl. löschen

    ist nicht der AOL Instant Messenger
    W32/Sdbot-YT: http://www.wintotal.de/Spyware/index.php?Filter=A#Spyware288

    W32/Sdbot-AAQ: http://www.wintotal.de/Spyware/index.php?Filter=I#Spyware5316

    Troj/Bdoor-HU: http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware3090

    update-sp1.html = Trojaner MULDROP.AQ/Win32.Secdrop.HB
    http://www.wintotal.de/Spyware/index.php?Filter=U#Spyware4927


    pan_fee
     
  7. so image.exe und mousehs.exe hab ich mit hijack gefixt aber es is immernoch da und ich habe keine ahnung wie ich das mit dem sp-update1.html wegkriegen soll. =/
     
  8. ich hatte auch schonma alle dateien die er entpackt hatte gelöscht und er kam trotzdem wieder =/
     
  9. so diverse online virenprogramme haben noch mehr viren gefunden als antivir, aber sie können sie auch irgendwelchen gründen nicht entfernen.... :/
     
  10. mit bitdefender konnte ich einige entfernen...

    ich habe herrausgefunde, dass sich die cmd.exe erst öffnet wenn ich im internet bin. dann zieht er anscheinend auch die sign.exe wo alles drin ist =/

    also gibt es ne möglichkeit das zu blockieren oder weiss wer wie ich diesen verdammten trojaner entfernen kann?
    ich kann doch net der einzige der dieses problem hatte =/

    weil er laagt mein ganzes internet =/