25. April 2024, 08:09:08 Uhr

WTLBUI.exe

Begonnen von michael_endres, 11. Februar 2005, 12:59:47 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1 2
Benutzer-Aktionen

michael_endres

11. Februar 2005, 12:59:47 Uhr
HAb ein Problem.
Bei IE kommt immer
Access Blocked - Virus Warning!
You cannot access this site due to following reason:
Your computer was infected by Spyware or Adware Software.
This is dangerous software which disclose your personal
and transferred data and/or display unsolices advertising.
You can use this ADWARE/SPYWARE REMOVAL tools in
order to solve this problem and prevent futurer infection.


You can click Search to look for information on the Internet.




HTTP Error - Access Blocked

Antivir ziegt mir immer an VIrus an C:/WINNT/WTLBUI.exe

Genaue Warnung:
C:\WINNT\WTLBUI.EXE

Ist das Trojanische Pferd TR/StartPage.NBS1
ICh kannn es im Virenscanner und manuell löschen und es kommt immer wieder.

tyco

11. Februar 2005, 16:05:57 Uhr #1
Versuche es mal mit diesen Tools:

Viren, Trojaner, Hijacker & Co – Schutz und Beseitigung (http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php)

Wenn Du nicht weiter kommst dann poste mal Dein HijackThis.log.
Bitte keine Supportanfragen per PM stellen.

michael_endres

12. Februar 2005, 12:45:18 Uhr #2
Des hab ich schon gemacht nix geholfen.
Hier mein  Log
Logfile of HijackThis v1.99.0
Scan saved at 12:45:29, on 12.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
E:\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINNT\htpatch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\system32\khooker.exe
E:\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINNT\twain_32\CIS600X\WATCH.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Endres\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ferienhof-endes.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von STRATO
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Michael\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINNT\lbbho.dll - {1EE8D0D3-A17E-4218-8552-3D21F0907E5D} - C:\WINNT\lbbho.dll
O2 - BHO: C:\WINNT\lbbho.dll - {30DD1CF1-A30F-4AC1-872C-BAA4111A511D} - C:\WINNT\lbbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll
O2 - BHO: C:\WINNT\lbbho.dll - {A4F0D269-5409-4886-9985-807440FC504B} - C:\WINNT\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Michael\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINNT\system32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Michael\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Manuel\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Manuel\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BA0020-7795-4FE5-A98A-7261E58557EF}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BA0020-7795-4FE5-A98A-7261E58557EF}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - E:\NORTON~1\GHOSTS~2.EXE
O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

tyco

12. Februar 2005, 13:17:47 Uhr #3
Fixe mit HijackThis folgende Einträge:

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll

O4 - HKCU\..\Run: [CTFMONSS] C:\WINNT\system32\CTFMONSS.EXE

O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE

Im abgesicherten Modus musst Du folgende Dateien noch manuell löschen:

C:\WINNT\wtlbass32.dll
C:\WINNT\System32\CTFMONSS.EXE
C:\WINNT\System32\CSRSSW.EXE

Ein WindowsUpdate für den IE ist ebenfalls ratsam.
Bitte keine Supportanfragen per PM stellen.

michael-endres

16. Februar 2005, 19:08:00 Uhr #4
Des löschen geht nicht. Anwendung ist geöffnet . Dann will ich sie beenden und es kommt kritische Anwendung kann nicht beendet werden

tyco

16. Februar 2005, 19:13:48 Uhr #5
Hast Du es auch im abgesicherten Modus versucht? Dazu musst Du die F8-Taste beim Booten drücken und dann den abgesicherten Modus auswählen.
Bitte keine Supportanfragen per PM stellen.

michael_endres@gmx.de

22. Februar 2005, 17:54:37 Uhr #6
freilich hab ich des gmacht aber geht net

tyco

22. Februar 2005, 18:30:42 Uhr #7
Wäre dann vielleicht ein Fall für Knoppicillin.

Allerdings kenne ich keine Downloadadresse. Das letzte Knoppicillin gab es in der Heft CD 20/04 der Zeitschrift c't.

Antiviren- und Notfall-CD Knoppicillin-3 (http://www.heise.de/security/news/meldung/51213)
Bitte keine Supportanfragen per PM stellen.

Matthias Karg

23. Februar 2005, 02:11:08 Uhr #8
Hay

Allso als erstes besorge Dir die Programme,"Process Explorer" und "Autoruns" von der Seite
http://www.sysinternals.com
Die Software ist Freeware.
Dein IE ist vollkommen verseucht ich rate Dir noch "Spybot - Search & Destroy" zu installieren,ebenfalls Freeware,
aber alles der Reihe nach.
Nach den Download der oben gennanten Programme (auf richtige Windowsversion achten) autorun starten.
Es werden jetzt alle Programme gezeigt die beim Start automatisch geladen werden.
Ich würde alle Programme die nicht notwendig sind,deaktivieren

"Meine Liste autorun Windows XP SP2"


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         
+ C:\WINDOWS\system32\userinit.exe   Userinit-Anmeldeanwendung   Microsoft Corporation   C:\WINDOWS\system32\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         
+ Explorer.exe   Windows Explorer   Microsoft Corporation   C:\WINDOWS\explorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         
+ Logitech Utility   Logitech Launcher Application   Logitech Inc.   C:\WINDOWS\LOGI_MWX.EXE
+ SoundMan   Realtek Sound Manager   Realtek Semiconductor Corp.   C:\WINDOWS\soundman.exe
+ DAEMON Tools-1033   Virtual DAEMON Manager   DAEMON'S HOME   C:\Programme\D-Tools\daemon.exe
+ NeroFilterCheck   NeroCheck   Ahead Software Gmbh   C:\WINDOWS\system32\NeroCheck.exe
+ AVGCtrl   AntiVir Guard/XP Control Program   H+BEDV Datentechnik GmbH   C:\Programme\AVPersonal\AVGNT.EXE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run         
+ Spamihilator   Spamihilator   Michel Krämer   C:\Programme\Spamihilator\Spamihilator.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart         
+ ClearProg.lnk   Tool zum Löschen der Surfspuren      C:\Programme\ClearProg\ClearProg.exe
+ RAMASST.lnk   CD Burning of Windows XP disabling tool for DVD MULTI Drive   Matsushita Electric Industrial Co., Ltd.   C:\WINDOWS\system32\RAMASST.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         
+ Internet Explorer 6   IE 5.0 Per-User Install Utility   Microsoft Corporation   C:\WINDOWS\system32\ie4uinit.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         
+ SysTray   Systray-Shell-Serviceobjekt   Microsoft Corporation   C:\WINDOWS\system32\stobject.dll


Jetzt würde ich den Rechner Neustarten und "Process Explorer" ausführen Alle Einträge die nicht Microsoft oder sonst wichtig sind,
Anwendungen ohne Herstellernamen abschiesen.
Jetzt "Spybot - Search & Destroy" installieren und erst mal updaten.
Das Programm starten und alle Probleme beseitigen lassen.
Es ist möglich das das Programm die Meldung ausgibt, "das nicht alle Probleme beseitigt werden konnten mit System neustarten" "JA"klicken
Zur Erklärung manche Programme sind Speicherresistend b.z.w. beisen sich fest.
Nach gründlichen durchlauf des Proramms auf immunisieren gehen und "still blockieren".
Ich rate dir auserdem,entweder einen anderen Browser einzusetzen oder den IE Starter "IEController v2.5",
um den größten Sicherheitslücken erst einmal aus den Weg zu gehen.
Es gibt kaum etwas auf der Welt, das nicht irgend jemand ein wenig schlechter machen kann und etwas billiger verkaufen könnte, und die Menschen, die sich nur am Preis orientieren, werden die gerechte Beute solcher Machenschaften.

John Ruskin, engl. Sozialreformer, 1819-1900

Matthias Karg

23. Februar 2005, 02:18:44 Uhr #9
Hay,

Hier noch alle aktuellen Prozesse die bei mir laufen,

Process   PID   CPU   Description   Company Name
System Idle Process   0   98      
Interrupts   n/a      Hardware Interrupts   
DPCs   n/a   1   Deferred Procedure Calls   
System   4         
  smss.exe   440      Windows NT-Sitzungs-Manager   Microsoft Corporation
   csrss.exe   512      Client Server Runtime Process   Microsoft Corporation
   winlogon.exe   544      Windows NT-Anmeldung   Microsoft Corporation
    services.exe   592      Anwendung für Dienste und Controller   Microsoft Corporation
     svchost.exe   764      Generic Host Process for Win32 Services   Microsoft Corporation
     svchost.exe   828      Generic Host Process for Win32 Services   Microsoft Corporation
     svchost.exe   860      Generic Host Process for Win32 Services   Microsoft Corporation
     svchost.exe   956      Generic Host Process for Win32 Services   Microsoft Corporation
     spoolsv.exe   1108      Spooler SubSystem App   Microsoft Corporation
     AVGUARD.EXE   1220      Antivirus Service for Windows XP/2000/NT   H+BEDV Datentechnik GmbH
     AVWUPSRV.EXE   1232      AntiVir Software Update Service for Windows   H+BEDV Datentechnik GmbH, Germany
     DVDRAMSV.exe   1268      DVD-RAM Utility Helper Service   Matsushita Electric Industrial Co., Ltd.
    lsass.exe   604      LSA Shell (Export Version)   Microsoft Corporation
explorer.exe   1708      Windows Explorer   Microsoft Corporation
SOUNDMAN.EXE   1804      Realtek Sound Manager   Realtek Semiconductor Corp.
daemon.exe   1828      Virtual DAEMON Manager   DAEMON'S HOME
AVGNT.EXE   1852      AntiVir Guard/XP Control Program   H+BEDV Datentechnik GmbH
Spamihilator.exe   1872      Spamihilator   Michel Krämer
RAMASST.exe   1920      CD Burning of Windows XP disabling tool for DVD MULTI Drive   Matsushita Electric Industrial Co., Ltd.
opera.exe   1444      Opera Internet Browser   Opera Software
procexp.exe   1340   1   Sysinternals Process Explorer   Sysinternals
EM_EXEC.EXE   1812      Logitech Events Handler Application   Logitech Inc.

Process: Procexp Pid: -2

Type   Name

Es gibt kaum etwas auf der Welt, das nicht irgend jemand ein wenig schlechter machen kann und etwas billiger verkaufen könnte, und die Menschen, die sich nur am Preis orientieren, werden die gerechte Beute solcher Machenschaften.

John Ruskin, engl. Sozialreformer, 1819-1900

michael_endres@gmx.de

23. Februar 2005, 17:54:02 Uhr #10
meine schaut so aus
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

+ C:\WINNT\system32\userinit.exe   Userinit-Anmeldeanwendung   Microsoft Corporation   c:\winnt\system32\userinit.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

+ Explorer.exe   Windows Explorer   Microsoft Corporation   c:\winnt\explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ 0190 Warner   0190 Warner / 0900 Warner   (Not verified) Mirko Böer   c:\programme\0190 warner\warn0190.exe

+ AVGCtrl   AntiVir Guard/XP Control Program   (Not verified) H+BEDV Datentechnik GmbH   c:\programme\avpersonal\avgnt.exe

+ AVSCHED32   AVSched32   (Not verified) H+BEDV Datentechnik GmbH   c:\programme\avpersonal\avsched32.exe

+ CloneCDTray   CloneCD Tray   (Not verified) SlySoft, Inc.   c:\programme\slysoft\clonecd\clonecdtray.exe

+ Cmaudio   CmiCnfg DLL   (Not verified) C-Media Corporation   c:\winnt\system\cmicnfg.cpl

+ GhostStartTrayApp   Norton Ghost Start   (Not verified) Symantec Corporation   e:\norton ghost 2003\ghoststarttrayapp.exe

+ HTpatch         c:\winnt\htpatch.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\winnt\system32\nerocheck.exe

+ PE2CKFNT SE         c:\programme\ulead systems\ulead photo express 2 se\chkfont.exe

+ routcnf         File not found: C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe

+ SiS KHooker   SiS Compatible Super VGA Keyboard Daemon   (Not verified) Silicon Integrated Systems Corporation   c:\winnt\system32\khooker.exe

+ SiS Tray   SiS Compatible Super VGA Tray Application   (Not verified) Silicon Integrated Systems Corporation   c:\winnt\system32\sistray.exe

+ Synchronization Manager   Microsoft Synchronisationsverwaltung   Microsoft Corporation   c:\winnt\system32\mobsync.exe

+ TkBellExe   RealNetworks Scheduler   (Not verified) RealNetworks, Inc.   c:\programme\gemeinsame dateien\real\update_ob\realsched.exe

+ ToADiMon.exe   T-Online Verbindungsassistent   (Not verified) Marmiko IT-Solutions GmbH   c:\programme\t-online\t-online_software_5\basis-software\basis1\toadimon.exe

+ WinampAgent         c:\programme\winamp\winampa.exe

+ Zone Labs Client   Zone Labs Client   Zone Labs Inc.   c:\programme\zone labs\zonealarm\zlclient.exe

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart         

+ Adobe Reader - Schnellstart.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe

+ CAPIControl.lnk   CAPIControl   (Not verified) DeTeWe AG & Co.   c:\programme\telekom\eumex 504pc usb\capictrl.exe

+ Corel MEDIA FOLDERS INDEXER 8.LNK   Utility which indexes Corel Media Folders   (Not verified) Corel Corporation   c:\corel\graphics8\programs\mfindexer.exe

+ Microsoft Office.lnk   Microsoft Office 2000 component   (Not verified) Microsoft Corporation   c:\programme\microsoft office\office\osa9.exe

+ Photo Express Calendar Checker SE.lnk   Photo Express -- Calendar Checker   (Not verified) Ulead Systems, Inc.   c:\programme\ulead systems\ulead photo express 2 se\calcheck.exe

C:\Dokumente und Einstellungen\Endres\Startmenü\Programme\Autostart         

+ Watch.lnk   Watch Dog   (Not verified) Common Group   c:\winnt\twain_32\cis600x\watch.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

+ CSRSSU         File not found: C:\WINNT\system32\CSRSSU.EXE

+ CTFMON32         File not found: C:\WINNT\system32\CTFMON32.EXE

+ internat.exe   Sprachanzeigeprogramm   Microsoft Corporation   c:\winnt\system32\internat.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

+ CommCenter   RVS CommCenter   (Not verified) RVS Datentechnik GmbH, München   c:\programme\teledat\wcom\system\ccui.exe

michael_endres@gmx.de

23. Februar 2005, 17:57:08 Uhr #11
hab bei Proces explorer nichts ausergewöhnliches gefunden.
und bei S&D kann ich die Probleme zwar beheben aber nach einem Neustart sind sie weider da

TMK

23. Februar 2005, 18:29:03 Uhr #12
Scheint auf den ersten Blick sauber zu sein, hast noch das gleiche Problem wie im ersten Posting erwähnt?

tyco

24. Februar 2005, 17:38:33 Uhr #13
Zitat von: michael-endres am 16. Februar 2005, 19:08:00 Uhr
Des löschen geht nicht. Anwendung ist geöffnet . Dann will ich sie beenden und es kommt kritische Anwendung kann nicht beendet werden

Hier ist vielleicht die Lösung um verwendete Dateien zu löschen:

ZitierenDer ganze Trick beim löschen von solchen 'gesperrten' Dateien besteht darin herauszufinden, welcher Prozess derjenige ist, der die Datei sperrt. Und genau diese Information ist mit dem ProcessExplorer leicht gefunden. Kenn man aber den 'abgestürzten' Prozess, dann kann man diesen auch beenden - und dann die lästige Datei löschen.

Den Prozess findet man mit dem Process Explorer ganz einfach: Im Menü 'Find' gibts den Befehl 'Find Handle'. Der öffnet eine Dialogbox, und in der kann man oben in einem Textfeld Text eingeben. Da gibt man eindach den Dateinamen (oder einen Teil davon) der zu löschenden Datei an und drückt dann auf 'Search'.

Der ProzessExplorer listet dann alle Prozesse auf, die diese Datei benutzen. Wenn man dann in der Liste der Suchresultate eines anklickt, wird der zugehörige Prozess in der Prozessliste markiert. In der Liste der 'Handles' darunter wird ebenso der Eintrag mit der gesuchten Datei markiert.

Da kann man dann einfach mit der rechten Maustaste draufklicken und 'Close Handle' verwenden: Danach ist die Datei wieder frei und kann gelöscht werden.

Quelle (http://www.nickles.de/c/s/45-0020-405-1.htm)

Download für Process Explorer (http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)
Bitte keine Supportanfragen per PM stellen.

michael_endres@gmx.de

26. Februar 2005, 20:51:19 Uhr #14
KAnn mir jemand mal alle VProgramme sagen die Schädliche programme beseitigen oder erkennen.
Jetz hänmgt sich mein Computer fast ebi jeder kleinigkeit auf.

TMK

27. Februar 2005, 01:09:35 Uhr #15
Hier:

--> http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_1.php

Ggf. das Hijackthis-Logfile posten, sofern du nicht weiter kommst.

michael_endres@gmx.de

27. Februar 2005, 12:13:30 Uhr #16
Ok die Seite hab ich schon durchgemacht hat nichts geholfen, Habe auch schon defragmentiert und uf fehler überprüfen lassen und habe auch scho bei housecall.de und mit AntiVir Viren durchsuchen lassen. nichts gefunden. Hier mein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 12:13:38, on 27.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
E:\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\system32\khooker.exe
E:\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\VOB\INSTAN~1\IWCTRL.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINNT\twain_32\CIS600X\WATCH.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\Dokumente und Einstellungen\Endres\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ferienhof-endres.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von STRATO
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINNT\lbbho.dll - {1EE8D0D3-A17E-4218-8552-3D21F0907E5D} - C:\WINNT\lbbho.dll
O2 - BHO: C:\WINNT\lbbho.dll - {30DD1CF1-A30F-4AC1-872C-BAA4111A511D} - C:\WINNT\lbbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: C:\WINNT\lbbho.dll - {A4F0D269-5409-4886-9985-807440FC504B} - C:\WINNT\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\VOB\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BA0020-7795-4FE5-A98A-7261E58557EF}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BA0020-7795-4FE5-A98A-7261E58557EF}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corpo

tyco

27. Februar 2005, 12:47:37 Uhr #17
Da scheinen noch Trojanerreste vorhanden zu sein. Fixe mal:

O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE

Die lbbho.dll taucht auch dreimal im Logfile auf. Sie erscheint mir auch verdächtig.

Du kannst Deinen Rechner auch noch mit http://www.anti-spy.info/ überprüfen.
Bitte keine Supportanfragen per PM stellen.

michael_endres@gmx.de

04. März 2005, 15:26:23 Uhr #18
Da hab ich auch nichts gefunden. Gibts noch irgendwas fürs System. kein Virenscanner. denk dass mein Rechner clean ist

tyco

04. März 2005, 15:39:54 Uhr #19
Gut...wenn der Rechner clean sein sollte, kannst Du Dein System mit TuneUp Utilities 2004  (http://www.tuneup.de/products/tuneup-utilities/) optimieren.
Bitte keine Supportanfragen per PM stellen.
Benutzer-Aktionen
Drucken
Nach oben Seiten1 2