Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: EGDACCESS und anderer Stuff

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.03.2006, 00:20   #1
Chrivi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



So ich hab ein Problem mit EGDACCESS_1072.DLL
und möchte gerne den Eintrag vom Mailskinner loswerden, also die Datei Mailskinner ist auch schon vom Rechner runter, aber bekomm den Eintrag in der regestry einfach nicht geloescht. Obwohl ich das im abgesicherten Modus mit desaktivierter Systemwiederherstellung gemacht hat, sind die Einträge alle wieder bei Neustart da.

Bitte deshalb um Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 01:08:43, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\***\Bureau\Nouveau dossier\Hijackthis\HijackThis.exe
C:\Norman\bin\niu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pt.lu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pt.lu
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pt.lu/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe"
O4 - HKLM\..\Run: [wbotehinc] c:\windows\system32\wbotehinc.exe wbotehinc
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Samsung Internet Keyboard.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pt.lu
O16 - DPF: SNET_082006 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2054.cab
O16 - DPF: SNET_092004 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2049.cab
O16 - DPF: SNET_092005 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2052.cab
O16 - DPF: SNET_102003 - h**ps://w*w.snet.lu/vprod/dusnet2b_v2045.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: AOpen Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Alt 08.03.2006, 05:55   #2
stupormundi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



Servus!
Zuallererst, bevor Du die unten angeführten Schritte setzt, mach folgendes:
Lass´ mal folgende Dateien
Zitat:
c:\windows\system32\wbotehinc.exe
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Außerdem hast Du hier
Zitat:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1072.dll,InstantAccess
einen Dialer sitzen! Falls Du nicht via DSL ins I.Net einsteigst, sichere dieses Logfile mal zur Dokumentation, falls Deine Online-Abrechnung zu hoch wird.
Hol Dir folgende Tools: killbox, clearprog 1.4.1 final, und regseeker.
Lösche im abgesicherten Modus mit der killbox und der Option 'kill on reboot' die 'EGDACCESS_1072.DLL' , dann reinigst mit regseeker und der Option 'claer registry' (Vorsicht: hier unbedingt darauf achten, dass die Backup-Funktion aktiviert ist!) Deine Registrierung, dann startet Du - immer noch im abgesicherten Modus - HJT und fixt (--> siehe Anleitung: 'fix checked' anhaken) folgende Einträge (falls noch vorhanden)
Zitat:
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe
EGDACCESS_1072.dll,InstantAccess
und zuletzt bringst Du mit clearprog 1.4.1 und der Option 'clear all' noch den Müll vor die Tür.
Den gesamten Ordner von Mailskinner hast Du schon gelöscht/deinstalliert?
Wenn hier noch etwas auf Deinem System ist, ebenfalls löschen.
stupormundi
__________________

__________________

Alt 08.03.2006, 07:01   #3
Chrivi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



So danke stupormundi für deine schnelle Antwort.

Also ich hab alles getan was du mir aufgetragen hast, und hier sind meine Ergebnisse:

c:\windows\system32\wbotehinc.exe

Diese Datei gibt es gar nicht, aber

c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat

Soll ich die löschen oder nicht?


'EGDACCESS_1072.DLL'

Diese Datei gibts auch nicht mehr auf meinem PC!


Und von Mailskinner ist auch alles runter vom PC.


Ich hab nur die regestry Einträge noch von denen Dateien, und
in msconfig sind die 3 unter den Startvorgängen.
Wenn ich diese deaktiviere, egal ob im abgesicherten oder normalen Modus, werden sie trotzdem wieder geladen.

Hab auch alle Vorgänge mir regseeker und clearprog vollzogen im abgesicherten Modus, trotzdem tritt beim reboot wieder das selbe Problem auf.


Wäre froh über weitere Hilfe.

Mit freundlichen Grüssen
Chrivi
__________________

Alt 08.03.2006, 07:45   #4
stupormundi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



Servus noch mal!

Hast Du auch wie im meiner Signatur unten verlinkt, versteckte Dateien anzeigen lassen!

Zitat:
c:\windows\system32\wbotehinc.dat
c:\windows\system32\wbotehinc_nav.dat
c:\windows\system32\wbotehinc_navps.dat
lass diese mal bei Jotti und virustotal checken und poste das Ergebnis!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 08.03.2006, 08:09   #5
Chrivi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



So danke fuer den schnellen Reply.

Ja, hab die versteckten Dateien anzeigen lassen.

Also ich liess beide Online-VirenScan-Programme laufen:


c:\windows\system32\wbotehinc.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_nav.dat

Keine Viren gefunden.

c:\windows\system32\wbotehinc_navps.dat

Keine Viren gefunden.


Alt 08.03.2006, 17:15   #6
Chrivi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



Weiss denn keiner hier Rat?

Alt 09.03.2006, 09:50   #7
stupormundi
 
EGDACCESS und anderer Stuff - Standard

EGDACCESS und anderer Stuff



Servus!
Nun, wenn keine der Dateien auffindbar ist und die bereits gesetzten Maßnahmen scheinbar keinen Erfolg bringen, müssen wir weitersuchen:
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu EGDACCESS und anderer Stuff
.dll, abgesicherten modus, ad-aware, adobe, bho, defense, ellung, excel, explorer, hijack, hijackthis, internet, internet explorer, loswerden, messenger, microsoft, neustart, norman, nvidia, problem, rundll, security, security suite, software, system32, systemwiederherstellung, systemwiederherstellung gemacht, träge, virus, webroot, windows, windows xp



Ähnliche Themen: EGDACCESS und anderer Stuff


  1. 123Rede.com und anderer Befall
    Alles rund um Windows - 24.05.2015 (123)
  2. Handy: SMS mit anderer Absendernummer versehen
    Überwachung, Datenschutz und Spam - 26.01.2013 (6)
  3. Noch ein anderer Scanner?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.04.2012 (8)
  4. Anderer Provider bei netstat gefunden
    Log-Analyse und Auswertung - 28.07.2011 (6)
  5. Hartnäckiger TR/ATRAPS.Gen und anderer Befall
    Log-Analyse und Auswertung - 19.01.2011 (20)
  6. TR/vundo.gen oder anderer / mdnsNSP.dll
    Plagegeister aller Art und deren Bekämpfung - 26.12.2008 (0)
  7. Go.Google Virus und anderer Trojaner
    Log-Analyse und Auswertung - 17.12.2008 (3)
  8. Adware und anderer Kram
    Mülltonne - 14.09.2008 (0)
  9. PC (ein anderer)
    Log-Analyse und Auswertung - 26.08.2008 (1)
  10. Plagegeißt anderer Art!
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  11. anderer Anbieter
    Netzwerk und Hardware - 06.04.2007 (4)
  12. noch ein HJT Log-File anderer PC!!!
    Mülltonne - 23.10.2006 (1)
  13. win xp auf anderer partition als c/ sicherer?
    Alles rund um Windows - 14.12.2005 (6)
  14. Egdaccess.dll
    Log-Analyse und Auswertung - 30.06.2005 (6)
  15. Trojaner und anderer Plagegeister
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (12)
  16. www.searchcentral.cc und anderer mist
    Log-Analyse und Auswertung - 04.01.2005 (3)
  17. Doch noch ein anderer VIrus?
    Archiv - 03.01.2003 (2)

Zum Thema EGDACCESS und anderer Stuff - So ich hab ein Problem mit EGDACCESS_1072.DLL und möchte gerne den Eintrag vom Mailskinner loswerden, also die Datei Mailskinner ist auch schon vom Rechner runter, aber bekomm den Eintrag in - EGDACCESS und anderer Stuff...
Archiv
Du betrachtest: EGDACCESS und anderer Stuff auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.