# salm.exe



## gudrun-rita (9 Januar 2005)

Wer kann mir helfen,
ich habe seit ein paar Tagen diese Datei auf meinem PC (Window XP Home Edition). Sie will laufend in`s Internet! Woher sie kommt weis ich nicht. Löchversuch auf herkömliche Art vergeblich. Auch die Löschung des Registry-Eintages bachte nichts. Sie hat sich im Temp-Verzeichnis eingenistet. Mein Norten Antivir meckert zwar, aber beim Scannen keine Anzeige einer Infizierung. Ist diese Datei harmlos oder muß ich sie unbedingt entfernen. Wenn ja wie? Ich habe schon in anderen Foren nachgeschaut, aber bisher keine befriedigende Anwort gefunden. Leider bin ich auch noch kein "Experte" im Umgang mit den "Innereien" eines PC´s. Und Englisch ist für mich ein Buch mit sieben Siegeln.
 Wer
Für sachdienliche Hinweise bin ich sehr dankbar.


----------



## Dino (9 Januar 2005)

Tue Dir und mir und anderen mal den Gefallen, ein HiJackThis-Log zu erstellen und hier (als Attachment) zu posten. Ich nehme an bzw. befürchte, dass da noch mehr auf dem Rechner zuhause ist, was die Quelle (wahrscheinlich "180searchassistent") nach (möglicherweise bewusster) Installation so einiges im Schlepptau eingeschleust hat.

Um es schon einmal vorwegzuschicken: Ich habe diese Spyware noch nicht am eigenen Leibe (sprich Rechner) zu spüren bekommen, gehe aber davon aus, dass HJT auch den Schlüssel zum Erfolg im Gepäck hat. Wichtig ist dabei - und das wird immer wieder gerne übersehen - das Ausführen von HJT im abgesicherten Modus von Windows, da hierbei keine Prozesse gestartet werden, die ggf. Fieslingen zu einer schnellen Wiedergeburt verhelfen.


----------



## Anonymous (9 Januar 2005)

gudrun-rita schrieb:
			
		

> Wer kann mir helfen,
> ich habe seit ein paar Tagen diese Datei auf meinem PC (Window XP Home Edition). Sie will laufend in`s Internet! Woher sie kommt weis ich nicht. Löchversuch auf herkömliche Art vergeblich. Auch die Löschung des Registry-Eintages bachte nichts. Sie hat sich im Temp-Verzeichnis eingenistet. Mein Norten Antivir meckert zwar, aber beim Scannen keine Anzeige einer Infizierung. Ist diese Datei harmlos oder muß ich sie unbedingt entfernen. Wenn ja wie? Ich habe schon in anderen Foren nachgeschaut, aber bisher keine befriedigende Anwort gefunden. Leider bin ich auch noch kein "Experte" im Umgang mit den "Innereien" eines PC´s. Und Englisch ist für mich ein Buch mit sieben Siegeln.
> Wer
> Für sachdienliche Hinweise bin ich sehr dankbar.


Dino*Danke für die Mail*


----------



## gudrun-rita (9 Januar 2005)

Dino,
die Anwort vom Gast ist von mir. Ich musste mich erst einmal hier durcharbeiten.


----------



## Aka-Aka (9 Januar 2005)

windupdates? Pfui! (das steht bei "O16"). ---> loudmarketing

irgendwas in O4 korrespondiert damit, aber warte auf die Experten


----------



## Dino (9 Januar 2005)

Tjä, da hast Du allerdings ein paar nette Passagiere an Bord, auf die man gut verzichten kann!

So, was sollten wir denn nun fixen. Schaumerma!

R3 - Default URLSearchHook is missing
O2 - BHO: Search Relevancy - {1D7E3B41-...} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O16 - DPF: {15AD4789-...} - h**p://static.windupdates.com/...

Zum Letzteren habe ich auf windupdates.com folgendes gefunden:





> What is Wind Updates?
> 
> Wind Updates is free ad delivery software which provides targeted advertising offers.
> 
> ...


Oder mit anderen Worten: Wir machen den Weg frei...0

Nicht so ganz sicher bin ich mir bei den folgenden Einträgen:
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
Hast Du selbst 'ne Ahnung, was das ist und ob Du das ggf. selbst installiert hast? Bitte mal selbst überprüfen...
O4 - HKLM\..\Run: [cryrcl] C:\WINDOWS\cryrcl.exe
Sagt mir nix, sagt HJT nix und auch Google kennt das nich'! Auch dies bitte mal selbst dahingehend überprüfen, ob es zu einer gewollten Installation gehört.
O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\Firewall\DFInject.exe (file missing)
Scheint zu einer T-Online-Dialerschutz-Software zu gehören. Bitte auch mal nachvollziehen. HJT beschreibt diesen Eintrag als unnötig bzw. wirkungslos und damit überflüssig. Ich wäre da eher vorsichtig, um nicht ggf. eine gewollte Software abzuschießen.

So, dann fixe mal die obengenannten Einträge, am besten gleich im abgesicherten Modus, weil...besser issas!
Und wenn wir da schon mal drin sind, dann lösche auch gleich den Inhalt des Temp-Ordners, denn der ist ohnehin nur für - wie der Name schon sagt - temporäre Dateien vorgesehen. Dann ist - hoffentlich - auch diese salm.exe dauerhaft verschwunden.

Ansonsten:
1. Mach Dir mal intensive Gedanken zu den Sicherheitseinstellungen Deines Browsers, insbesondere in Bezug auf ActiveX. Infos zu diesen Einstellungen findest Du auf den Hauptseiten von Dialerschutz.de und Computerbetrug.de und vielen anderen Seiten im INet. Durch das Deaktivieren einiger Features nimmst Du Dir zwar den Teil der schönen bunten Online-Welt, die sich nur mit dem IE erschließen lässt, aber gleichzeitig erhöhst Du Deine Sicherheit um ein Vielfaches.
Vielleicht versuchst Du es mal mit einem anderen Browser, z.B. Firefox. Du wirst Dich wundern, wie komfortabel es sich mit dem surfen lässt. Und das, was er nicht kann, ist genau das, was den IE bzw. seinen Nutzer anfällig macht.
2. Ein ganz wertungsfreie Frage, die sich mir aufdrängt: Kann es sein, dass Du recht unkritisch Filesharing betreibst? FS wird nicht nur von  "Idealisten" betrieben und die Angebote sind nicht immer koscher. Manchmal schleppt man sich bei allzu unkritischem Umgang schon mal ein paar Parasiten ein...
3. Freeware ist 'ne feine Sache! Aber auch Freeware muss irgendwie die Kosten des Anbieters einspielen. Und so erkauft man sich manche Freeware eben mit gewissen Nachteilen, z.B. kleinen Fieslingen, die - wenn überhaupt - irgendwo im Kleindedruckten ganz hinten erwähnt werden und oft nur schwer deinstalliert werden können. Manche Freeware funzt auch überhaupt nicht mehr, wenn man die kleinen Begleiter entfernt.

Das nur mal so als kleine Tipps am Rande!
Und nur mal so am Rande - quasi auch hier als das Kleingedruckte ganz hinten: Keine Garantie für irgendwas! Sollte nach der Säuberungsaktion irgendwas nicht mehr hinhauen....Dein Problem. Will sagen: alle Angaben in diesem Posting ohne Gewähr!


----------



## wolfgang30 (10 Januar 2005)

Hallo gudrun-rita  !

Hier noch einige Anmerkungen/Tipps neben den o.g. Empfehlungen:

a) zur Eintragung:
    O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

siehe: http://www.answersthatwork.com/Tasklist_pages/tasklist_d.htm
--->hier seine (englische) Erklärung:
"...Nightmarish adware which has appeared on the scene in January 2005.  This program is responsible for endless popup and popunder advertisements and a slow Internet connection.  At the time of writing, 8‑Jan‑2005, we do not know much more about it except that it is most definitely picked up through file sharing activities, particularly if using KaZaA.  In all cases that we have seen thus far the PC is also infected with other adware, spyware, and, worse, viruses."

d.h. verantwortlich für zahlreiche PopupFenster und Verlangsamung des
Internets. Neueren Datums; es besteht z.Z. noch nicht allzu viel Hintergrundinformationen ausser dem genannten.  Kommt haupsächlich durch Filesharingaktivitäten, vorallem KaZaA.


b) zu O4 - HKLM\..\Run: [cryrcl] C:\WINDOWS\cryrcl.exe:

kann ich auch nichts finden, soeben über 5 Suchmaschinen gegangen: keine findet dazu etwas.  Auch Kaspersky schweigt dazu noch im Moment.
Dieses Nicht-finden ist eher negativ zu bewerten, dh. wieder wohl eher so eine neue Spywaregemeinheit, evlt. im Zusammenhang mit der obigen
DeskAdServ.exe (diese produziert ja wie beschrieben "other adware, spyware, and, worse, viruses.)


c) zu O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\Firewall\DFInject.exe (file missing) 

gibt es so direkt auch keine Hinweise ausser bei diesem Link:
http://217.160.111.99/?per_page=25&...1Spyldhss+QSVuqlja.lel&type=and&tt=4&catg=web

In keinemFalle wurde die DFInject.exe negativ bewertet und dürfte wohl im Zusammenhang mit T-Online\Dialerschutz-Software\DFInject.exe stehen wie Raman schon andeutete ,aber keine 100%ige Garantie, sondern  nur 99% 

Hast Du Dir je den T-Online-Dialerschutz heruntergeladen?  
File missing bedeutet, dass da mal ein Programm da war und irgendwann dann deinstalliert wurde.  Ist das so  gewesen?

Neben den anderen o.g. Empfehlungen ,denen ich nur beipflichten kann,
solltest du zusätzlich auf jeden Fall den Eintrag

 O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe     fixen.


Die beiden anderen (cryrcl.exe  +  DFInject.exe) sind "Gewissensentscheidungen", ausser jemand anders hat noch eine zündende Idee dazu, würde aber doch auch die dryrcl.exe fixen aber nur mit einem backup.

Generell solltest Du immer ein Backup machen, dass ist da immer wichtig.
Siehe bei Hijackthis  rechts unten nach bei:
other stuff ---> config
Prüfe nach, ob ein Häkchen bei "make backups before  fixing items" ist bzw. wenn nicht, dann eben ein Häkcken machen.
Im dortigen 3.Button  (= Backups) werden dann eben die backups gemacht und du kannst mit "restore" jederzeit wieder zurück,wenn was nicht mehr geht.

Ansonsten solltest Du auch noch mal einen 2. oder 3. AV-Scanner gegenchecken lassen. Hier im Board gibt es bereits eine Empfehlung dazu
oder auch: http://malware.bul-online.de/av_onlinescan.php 
Hier findest du 13 kostenlose AV-Onlinescanner: Kaspersky ist zwar sehr gut, aber bei onlinescan leider auf 1MB begrenzt, da kannste keinen ganzen PC damit scannen. Aber auch Bitdefender, TrendMicro, RAV oder Panda sind sehr gut. Lade dir da ein oder zwei als Gegenmeinung/Zusatzcheck herunter. Niemals nur einem vertrauen 

Viel Erfolg und wenn du die Prozedur durch hast, kannst du ja hinterher nochmals eine neue Hijackthis-Logfile als Nachkontrolle erstellen + etwaige AV-Scan-Ergebnisse von einem bzw. besser mehreren Scannern.


----------



## Anonymous (17 Januar 2005)

Soundman.exe scheint auch verdächtig (so ganz ohne Pfadangabe)

Bei Sophos Virlenlexikon:

"
W32/Agobot-JS ist ein Wurm, der sich auf remote Freigaben mit einfachen Kennwörtern kopiert. 
Der Wurm kopiert sich als soundman.exe in den Windows-Systemordner. 
Damit er beim Start aktiviert wird, installiert er sich als Dienst namens "soundman" und erstellt die folgenden Registrierungseinträge: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\soundman
= soundman.exe 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\soundman
= soundman.exe "


----------



## Anonymous (19 Januar 2005)

hab  diese salm  exe  auch drauf  bekomm das ding  nicht weg!!!!   kann mir jemand helfen?


----------



## wolfgang30 (19 Januar 2005)

Hallo gudrun-rita  & Gast !

Wie schon oben vermutet wird die  salm.exe  durch 180’s search assistant executable verursacht , dh. salm.exe = 180’s search assistant executable.

Siehe dazu: http://netrn.net/spywareblog  mit den folg. Erläuterungen:

"....This process monitors your browsing habits and distributes the data back to the author’s servers for analysis. This also prompts advertising popups. This program is a registered security risk and should be removed immediately."

180Solutions hat die grösste Kaufs-/Marketingsvergleichsagentur-Plattform in den USA geschaffen mit dem Ziel, die Kunden zum Kauf der jeweils hervorgehobenen Angebote zu bewegen durch gezielte Pop-ups usw.

Siehe dazu: http://www.pestpatrol.com/pestinfo/other/180solutions.asp

Hier wird auch die manuelle Entfernung von 180Solutions und damit ua. der salm.exe im Detail erklärt; siehe dort 
Stop Running Processe + Remove AutoRun Reference + 
Unregister DLLs + Clean Registry  usw..

Das ist echt eine Heidenarbeit, da eben die salm.exe zig-Einträge verursacht.

Die Frage ist, ob  man dies eben manuell machen will oder evlt. sich Pestpatrol (nun CAPestpatrol nach dem Firmenkauf) kauft bzw. nur mal die Probeversion zum Test sich herunterlädt. 

Du kannst auch gerne deine Hijackthis-Logfile (als Attachment!) einstellen, fürchte aber angesichts dieser Erkenntnis der vielen Einträge, dass man mit Hijackthis nicht 100% alles schafft.
Das Hijackthis-Tool ist eine wunderbare Hilfe und wurde ja ursprünglich geschaffen um diesem Browser-Hijacking beim IE beizukommen.
Für die Ad-ware/Sypware-Erkennung ist es teilweise (je nach Spyware halt) durchaus geeignet, aber  nicht für alles.  Auch Hijackthis hat da seine Grenzen...leider.

Mach trotzdem diese Logfile als Attachment ; am besten gleich im abgesicherten Modus (also mehrmals die Taste F8 drücken beim PC-Start).  Ein Versuch ist es immer wert, so klein beigeben wollen wir nicht


----------

