Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Virus dxsetu.exe





Frage

Hallo zusammen Beim aufstarten versucht der prozess C:\WINDOWS\system32\cmd.exe immer den host 224.0.0.22 zu kontaktieren. dieser prozess startet bis zu 9 mal und lastet meinen prozessor immer bis zu 100% aus! zudem ist der prozess C:\WINDOWS\dxsetu.exe aktiv, von welchem ich im internet gelesen habe dass es ein virus ist. ich hab schon so einiges versuche um ihn zu entfernen, doch er erscheint immer von neuem. kann mir jemand helfen? Besten Dank! Hier noch das Logfile von HijackThis Logfile of HijackThis v1.98.2 Scan saved at 21:05:50, on 08.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\PROGRAMME\NORMAN\Nvc\BIN\ZLH.EXE C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRAMME\NORMAN\Nvc\BIN\NYMSE.EXE C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\PROGRAMME\NORMAN\Nvc\BIN\NJEEVES.EXE C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe C:\PROGRAMME\NORMAN\Nvc\BIN\cclaw.exe C:\Programme\GetRight\GETRIGHT.EXE C:\Programme\GetRight\GETRIGHT.EXE C:\Programme\Maxthon\Maxthon.exe C:\DOKUME~1\DAVIDM~1.DAV\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = provided by David Meier F2 - REG:system.ini: Shell=Explorer.exe winsock.scr O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

Antwort 1 von Ameise

Antwort 2 von pete6915

Sieht nach zwei verschiedenen Problemen aus.
DXSETU.EXE (shell datei) ist ein Trojaner. Versuche mal die Tools "Stinger" oder "SpyBot". Einer von den beiden macht den Trojaner platt.

Für CMD.EXE ist am besten das Tool "CWS" geeignet.

Alle drei download Adressen der Tools findest Du bei Googles.

Aber auch hier gilt Systemwiederherstellung deaktivieren und den Scan im Safe Mode (BOOT.INI)
über msconfig.

MFG Pete

Antwort 3 von dave555

das fixen mit HijackThis hat nicht funktioniert:

folgende sind nach einem neustart wieder da:
C:\WINDOWS\dxsetu.exe
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr

stinger, spyBot und CWShredder haben nichts gefunden.

Neu meldet mir der Norman Antivirus, dass er den virus Nimda gefunden und gelöscht hat. komisch ist nur, dass er dies bereits zum dritten mal macht...trotzdem ändert sich nichts...

was meinst du mit:
"Aber auch hier gilt Systemwiederherstellung deaktivieren und den Scan im Safe Mode (BOOT.INI)
über msconfig."

Danke für die Hilfe

Antwort 4 von Nichtsnutz

Safe Mode = abgesicherten Modus

guckst du hier,

Deaktivieren der Systemwiederherstellung und Start in den abgesich...

Antwort 5 von dave555

ich habe alles wie von dir beschrieben durchgeführt...leider ohne zählbares ergebnis.
kein tool hat etwas entdeckt.

dann habe ich die bösartigen reg.-einträge mit dem HijackThis gefixt und die datei dxsetu.exe gelöscht.

leider war nach einem neustart alles wieder da (hatte die Systemwiederherstellung deaktiviert!)

übrigens die cmd.exe prozesse waren auch im abgesicherten modus aktiv!

zudem wollte beim neustart nun der prozess csrss.exe mit der IP 224.0.0.22 connecten

hast du noch eine idee, wie ich vorgehen könnte?

würde eine Bootdisk mit Virenscanner helfen?

Danke für dine Hilfe!

Antwort 6 von pete6915

David :

Hier muss ich mich korrigieren. CMD.EXE ist ein win command prompt, also kein virus/trojaner.

Somit verbleibt nur noch ein Problem : DXSETU.EXE,
welches ein Trojaner ist.

Also, erst die Systemwiederherstellung deaktivieren,
denn wenn Du dies nicht machst, dann hast Du die Datei jedes mal wieder mit im System, nachdem Du einen Scan gemacht hast und den Virus/Trojaner gelöscht hast.
Ausserdem unbedingt im Safe Mode über "run/ausführen"
und msconfig eingeben den Scan machen, damit Du den Virus/Trojaner besser findest, was ja im Ruhezustand einfacher ist (System).
Wie beides im Einzelnen gemacht wird, hat Dir Antwort # 4 ja schon mitgeteilt.

Hoffentlich hast Du diesmal Erfolg.
Wundert mich, dass Du weder mit AV=Antivirus, noch Stinger / Spybot / CWS diesen Trojaner bisher löschen konntest.

MFG Pete

Antwort 7 von pete6915

David :
Ich sehe gerade Deine vorhergehende Antwort #3 betreff NIMDA , das ist auch ein Virus aus der W32-Serie, und der kommt meistens "verkleidet" über
die WIN Datei CSRSS.EXE in Dein System.
CSRSS.EXE ist ja ein WIN Sub System.

Also, Dein PC ist anscheinend offen nach aussen wie ein "Scheunentor". Da solltest Du etwas unternehmen für die Zukunft.

Für die W32 Wurm Serie ist "Stinger" ausgezeichnet geeignet, um diesen zu löschen.

Falls Du wieder nicht richtig Erfolg hast, dann gebe mir mal mehr Info, welches XP / SP1 oder SP2, denn Deine "Dienste" in der "Verwaltung" (Control) müssen unbedingt angepasst werden, heisst, alle Dienste, die Du nicht benötigst, müssen deaktiviert werden. Damit Deine Ports besser geschützt sind.
Aber jetzt hast Du die [ZENS] natürlich schon bei Dir im System (Trojaner/Viren/Würmer).
Welches AV und welche Firewall benutzt Du ?

Ich will schlafen gehen jetzt, melde Dich mal morgen, wie die Sachlage ist bei Deinem PC.

MFG Pete

Antwort 8 von dave555

dass die cmd.exe kein trojaner ist stimmt, aber ich nehme schwer an, dass diese von einem trojaner z.B. dxsetu.exe ausgelöst werden.
ansonsten hätte ich nicht immer bis zu 9 von diesen prozessen die gleich 100% des prozessors auslasten und aufs netz zugreifen wollen!
komisch nur, dass diese auch im abgesicherten modus aktiv sind!

die Systemwiederherstellung war deaktiviert. habe auch die anweisungen deiner Antwort # 4 genaustens befolgt!

Ich werde das ganze morgen nochmals durchspielen...hoffentlich klappt es dann.

Gruss David

Antwort 9 von dave555

den virus habe ich mir wahrscheinlich über die taschbörse emule eingefangen ;-)

habe einen Router (mit hardware-firewall) + Sygate personal firewall
XP Home + SP2
Norman Antivirus (Neuste Vierendaten)

bisher war ich etwas zu faul heraus zu finden welche dienste ich deaktivieren könnte, da ich noch nie probleme mit viren hatte. aber dieses mal war ich zu unvorsichtig beim öffnen einer heruntergeladenen datei aus emule und promt wurde ich bestraft.

ich gehe nun auch mal schlafen!
danke und hoffentlich bis morgen

Antwort 10 von dave555

habe heute morgen nochmals folgendes probiert.

im abgesicherten modus (Systemwiederherstellung deaktiv):

Stinger -> hat nichts gefunden
CWS -> nichts gefunden
HijackThis -> dxsetu.exe und F2 - REG:system.ini: Shell=Explorer.exe winsock.scr gefixt
registry nach dxsetu.exe durchsucht -> eintrag gelöscht
Datei setu.exe in c:\windows gelöscht.

Danach habe ich den PC heruntergefahren und nochmals neu gestartet.

hat alles nichts gebracht :-(

Antwort 11 von pete6915

David :

Nach Deiner Antwort # 9 zu urteilen bist Du gar nicht so schlecht ausgerüstet.
Verstehe nicht, warum Du den PC nicht wieder gesäubert bekommst.
Download Dir mal diesen Reg-Cleaner "XP-Clean" mit der Version 5.6
http://www.xpclean.de/

Dieser Reg-Cleaner ist kostenlos und nur für WIN XP. Ich arbeite selbst damit und läuft bei mir absolut stabil. Mit das Beste, was ich je gehabt habe, und ich habe allerhand gehabt, nämlich Tune-Up und JV-16.

Voraussetzung ist, dass Du ein bissl mit dem PC Bescheid weisst, und Dir immer erst die "Hilfe" durchliest, bevor Du etwas machst oder etwas löscht, denn für jeden Arbeitsgang gibt es eine "Hilfe", die man zuerst lesen sollte.
Da ich gesehen habe, dass Du noch mit I.E. arbeitest, so schau Dir im Reg-Cleaner mal "Active-X Program Files" an.
Danach dann mal die gesamte "Spyware" Section durchchecken (Dialer/Spyware/Schwarze Listen). Dann danach "Überprüfung der Registry-Einträge". Hier wird Dir schon mal angezeigt, falls etwas nicht in Ordnung ist.
Das Programm macht von allen Schritten einen "backup", ist der letzte Befehl ganz unten, falls man etwas rückgängig machen möchte.

Auf jeden Fall hast Du damit eine gute Reinigungsmaschine, die Dein System gut reinigt.

Dazu hier anbei noch ein "Tool", um Deine "Dienste" in der "Verwaltung" einmal anzupassen. Das, was Du normalerweise manuell machen solltest, dass macht dieses Programm automatisch mit einem klick.

http://www.dingens.org/

Lies Dir das erst einmal durch, weil Du ja anscheinend einen "Router" verwendest.

Hier noch einige Adressen :

http://www.ntsvcfg.de/kss_xp/kss_xp.html

http://www.computer-security.ch/ids/default.asp?TopicID=164

http://www.sans.org/resources/idfaq/oddports.php

http://www.simovits.com/trojans/trojans.html

http://grc.com/faq-shieldsup.htm

http://lists.gpick.com/portlist/portlist.htm

Hier für Dein Problem einige Adressen :

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.nimda.e@mm.html

http://frankn.com/html/csrss_exe.html

http://www.liutilities.com/products/wintaskspro/processlibrary/cmd/

Schau mal hier :

dxsetu.exe

http://www.daniweb.com/techtalkforums/forumdisplay.php?f=64

Ich bin mir nicht sicher, ob Du mit "Spybot" alle Möglichkeiten verfolgt hast : Du musst auf ADVANCE MODE gehen, oben, der zweite Reiter von links.

Schau Dir mal meine Antwort # 9 an :

https://supportnet.de/discussion/listmessages.asp?AutoID=205443&query=Spybot

"SpyBot" ist in der Lage auch unter "Tools" und dann "System Internals" zu checken, ob etwas nicht in Ordnung ist in der Registry.

Also, alles Gute und viel Erfolg, hier habe ich Dir heute eine ganze Menge Info gegeben für Dein jetziges Problem, und auch ganz allgemein.

Zum Schluss noch eine Empfehlung :
Benutze "Firefox" Browser in Zukunft, lasse die Finger vom I.E. , dann hast Du weitere zusätzliche Sicherheit.

MFG Pete

Antwort 12 von dave555

vielen dank für deine guten tipps, ich werde sie alle noch durcharbeiten!

Ich habe das problem nun auf eigene weise lösen können.

als erstes habe ich unter Antwort 10 genannten probleme mit HijackThis gefixt.

anschliessend habe die dateien
dxsetu.exe
wsock.dll
wsock.exe
dxwinex.exe
winlog.com

alle mit dem tool GiPo@FileUtilities löschen lassen.

nun ist zum glück alles wieder in ordnung

Nochmals besten dank für eure bemühungen pete und ameise, ihr habt mich auf die richtige färte gebracht!

Antwort 13 von dave555

bei den gelöschten dateien habe ich natürlich
winsock.scr und NICHT wsock.exe gemeint!

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: