Win XP: trojaner

Folgende Tools mals besorgen und laufen lassen:

Ad-Aware
Spybot
CoolWebShredder
HijackThis

Hallo Pierre, hat leider auch nichts gebracht. Adaware hatte ich installiert kann aber auch nichts finden. Die anderen Programme habe ich mir besorgt aber kann damit wenig anfangen, da dort zwar einträge waren aber eben nicht dieser. Hast du noch einen Tipp.

Also CoolWebShredder hat nix gelöscht bei dir?
Dann poste mal bitte dein Logfile von HijackThis hier. Alle Informationen, die ich nämlich über die von dir genannte Datei gefunden habe, hat das was mit Hijacking zu tun. Eine geänderte Seite im Explorer ist die Folge, die den Namen res://mshp.dll/index.html#10213 trägt. Jedenfalls so ähnlich.

Außerdem sollte bei einer Virenbekämpfung grundsätzlich die Systemwiederherstellung ausgeschaltet werden.

Schaust du hier:
http://www.computerhilfen.de/magazin_spyware.php3

Gruß

Hallo Pierre, habe es nochmal mit coolwebshredder versucht, hat die Datei gefunden und entfernt, soweit sogut, doch jetzt bekomme ich die Meldung von windows.
Rundll
Fehler beim Laden von C:/WINDOWS/image.dll
das angegebende Modul nicht gefunden. Was heißt das?
Gruß Stelle

poste mal bitte dein Logfile von HijackThis hier.

Wahrscheinlich wurde nur die Datei entfernt aber nicht der aufruf...Hijackthis-Logfile posten ->link und Anleitung findest bei meinem vorigen Link

Gruß

Stellvertretend für stelle poste ich mal das LogFile, welches ich gerade per Persönlicher Mittleilung bekommen habe. Da ich aber nicht nur alleine drüberschauen will, poste ich das mal:

Logfile of HijackThis v1.97.7
Scan saved at 17:16:50, on 05.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Stefan\Software\Hi Jack(Sicherheit\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\sysgp32.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\mssearch.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\msiesh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8EB25F-D1CB-4E8A-84E9-6AC3EAA07D28}: NameServer = 195.93.88.134

Die 2 gehörn da glaub nicht dahin

O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\msiesh.dll


O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\sysgp32.dll

Am besten erstmal Spybot & destroy drüber laufen lassen.

Wenn dieser nichts findet die beiden Dateien Online scannen lassen:
http://www.kaspersky.com/de/remoteviruschk.html

Gruß

Also diese drei kommen mir etwas verdächtig vor:
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\sysgp32.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\mssearch.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\msiesh.dll

Des Weiteren schau mal unter Start -> Ausführen -> msconfig nach, ob es dort unter der Registerkarte Systemstart einen Verweis auf deine image.dll gibt. Wenn ja, dann deaktiviere ihn bitte.

Hallo Ihr zwei, habe grade bei Kapersky einen Scan dieser Datei O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\stefan\Anwendungsdaten\sysgp\msiesh.dll
gemacht und sie ist Safe. Die anderen Dateien sind gar nicht in diesen Ordner.Bin ich zu blöd? Aber die 3 Dateien sollen doch alle im gleichen Ordner sein.

Haste vorjer Spybot drüberlaufen lassen?

Kaspersky erkennt im Online-Scan nur Viren/trojaner/Würmer aber keine Spyware/Adaware

Gruß

Also ich habe in der msconfig geschaut kein Verweis auf image.dll, auch spybot drüber laufen lassen.
Aber bekomme immer noch diese run dll meldung.Wat nun.
Gruß Stelle

geh mal start->ausführen->Eingabe: regedit

Arbeitsplatz muss markiert sein(blau) dann oben auf bearbeiten->suchen

Dort gibste image.dll->suchen

Und wenn er was gefunden hat schreibst dir auf wo.

Am besten machst das so:
wenn er was gefunden hat siehste links die ganzen Ordner und der Ordner wo ers gefunden hast is das Icon anderst (geöffneter/aufgeklappter Ordner)

Dort drauf machste nen rechtsklick->schlüsselnamen kopieren und am besten in den Editor/notepad einfügen
Und die infos rechts im Feld wo das Image steht schreibts Name und Wert dazu in Notepad

Dann auf weitersuchen (F3)->wieder schlüsselnamen kopieren etc

Das ergebnis kannste hier dann posten oder du kannst sie natürlich auch gleich löschen musst selber wissen  .

Gruß

Hallo Nighty, das habe ich gefunden.
HKEY_CLASSES_ROOT\CLSID\{D35B0FC0-FD7F-11D2-ACB6-0080C877D9B9}\InprocServer32
Name:ThreadingModel. Wert:Apartment

Name:Standard. Wert:C:\PROGRA~1\GEMEIN~1\MGISHA~1\Photo\Image.dll
Gruß Stelle

Und das ist der einzige Eintrag mit image.dll?
Hast du auf weitersuchen geklickt F3

Hallo Pierre, hab ich gemacht, das war der einzige Ordner der sich geöffnet hat. Ist das sehr ungewöhnlich?

Was isn das fürn Programm: MGISHA~1

MFPhotoSuite oder sowas wo oft bei Digitalkameras/Scannern beiliegt?

Gruß

Hallo Pierre, ich hab scheiße gemacht, habe nach run dll gesucht, ich mach es nochmal. Sorry

Ich wollte so zwischendurch nur mal darauf hinweisen, daß ich hier nicht der einzige bin, der dir in diesem Thread hilft. Nighty ist auch noch mit von der Partie. ;-)

Du hast recht, war aber keine Absicht unhöfflich zu sein.Also ich habe nochmal in der registry nachgeschaut es gibt unter image.dll nur diesen einen Ordner mit den 2 Dateien die ich Euch genannt habe.
Gruß Stelle

Hallo, habe im internet ne Seite gefunden wo man sich die image.dll Datei runterladen kann. Frage hat das schon mal jemand gemacht und legt die Datei sich gleich in den richtigen registry Ordner oder wie funktioniert das?
Gruß Stelle

Ja ich hatte dich schon gefragt was das für ein Programm ist schau doch mal in den ordner wie angegeben oder vielleicht weisst du ja welches Programm das ist.

UNd irgendwelche DLL's von irgendwo aus dem INternet ist nicht ratsam

Gruß

habe bsp adware-spyware-remover benutzt (shareware), hat funktioniert