Hallo,

beim morgentlichen Start meines Rechners versuchte nach dem
hochfahren die Datei "adapi.exe" eine Verbindung über das
T-Online-Startcenter herzustellen.

Habe bisher zu dieser Datei im Netz nichts finden können?

Meine Fragen:
- Was ist das für eine Datei?
- Spyware?
- Viren?
- Wie bekomme ich diese Datei rückstandslos vom Rechner?

Weiss auch nicht, wie die Datei auf meinen Rechner gekommen
ist.

Beruflich nutze ich den Rechner ganztags, d. h. durch Flatrate
ist der Rechner bis zum Abend immer online.

Danke für die Rückantworten.


Grüße

Willi

Hallo @Pokemonn

Lade bitte das HijackThis:
scanne, save und kopiere das Log mit der Maus ins Forum.
Downloadlinks:
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
............................................................................................................

Datei "adapi.exe" ist AdAware
C:\windows\adapi.exe will sich sich zu host 217.67.244.31 verbinden.
Wenn man den Host vefolgt , kommt man auf diese Site:
<http://217.67.244.31<Willkommen bei netzring.net (der Rest sind dann Pornoseiten)


Also unbedingt das Log vom HijackThis posten, hoffentlich koennen wir das entfernen.
mfg
Nikita

Hallo,

hier das log.

Danke.

-----

Logfile of HijackThis v1.98.2
Scan saved at 09:29:54, on 12.08.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\ADAPI.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

Habs schon gefunden !!
Mache folgendes:
Scanne noch einmal mit dem HijackThis, dann hake an, was ich poste und dann <fix<.
Dann starte neu.

fix:
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

neustarten


#Loesche:
C:\WINDOWS\ADAPI.EXE

#aktualisiere den IE (wichtig fuer die Sicherheit !)
http://www.microsoft.com/downloads/deta ... B602228DE6


#Lade eScan
http://www.mwti.net/antivirus/free_utilities.asp
Entpacke in c:\
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die Virus Log Information posten.
und das neue Log vom HijackThis.

mfg
Nikita

Tip:
ich sehe keinen Virenscanner (und eScan ist nur 30 Tage free)
Lade also das Freetool Antivir,
Nach dem Installationsscann stellst du unter <Optionen den Guard ein und machst regelmaessig die Updates.
http://www.free-av.de/

Hallo Nikita,

danke für Deine Hilfe.
Die Scanner laufen noch, das Log kommt gleich.

AntiVir habe ich installiert, aber die automatische Hintergrundroutine deaktiviert.
Ich starte AntiVir einmal pro Woche.
Am letzten Freitag wurde nichts angezeigt.

Bis nachher.

Die VirusLog-Informationen bekomme ich nicht kopiert?

oder mache ich was falsch?

es gibt die Funktion <ViewLog ?)
Aber dieses Log ist zu lang....mich interessiert nur , ob und was und wo was infiziert ist.

Nikita

Ja, habe ich gedrückt,

wordpad öffnet sich und die im oberen fenster befindlichen
angaben " Files Scanned" werden angezeigt.

Dabei sind aber nicht die Angaben des Fensters "VirusLog Information" enthalten.

Files Scanned sind mehrere Seiten.

Nikita,

Panne, der scant noch immer.

melde mich gleich.

aber dieses Log ist zu lang....mich interessiert nur , ob und was und wo was infiziert ist.
Das kannst du aus dem Log kopieren.
(no Aktion taken., delete...usw z. B.:
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\PersonalFirewall\Support\MSI\InstMSIa.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

mfg
Nikita

wenn es durchgelaufen ist, schick ich dir die angaben ...

läuft schon 34 minuten ...

Bei mir sinds zwei Stunden...
Nikita

... mach keinen quatsch, muss weiterarbeiten ...,
aber das hier hat vorrang ...

Hallo Nikita,

hier die Angaben:

-----

Virus Log Information

File C:\\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus: Tool. DOS.Restart. No Action Taken.
File C:\\WINDOWS\Anwendungsdaten\Mozilla\Profiles\walkerboy_de\kk3hhlmw.slt\Mail\pop.btx.dtag.de\Inbox infected by "I-Worm.NetSky.d"Virus, Action Taken: File Deleted.
File C:\\WINDOWS\Anwendungsdaten\Mozilla\Profiles\walkerboy_de\kk3hhlmw.slt\Mail\pop.btx.dtag.de\Trash infected by "I-Worm.NetSky.q"Virus, Action Taken: File Deleted.

File C:\\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus: Tool. DOS.Restart. No Action Taken.

-----

Hijack

Logfile of HijackThis v1.98.2
Scan saved at 11:28:42, on 12.08.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TONAUDI.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

-----

So, so....dein Mail war mit dem I-Worm.NetSky/MyDoom verseucht...da werden sich deine Mail-Empfanger sicher nicht drueber amuesiert haben...

Fixe bitte noch:
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
......................................................................................................

Name=c:explorer.cab | Adult Content Dialer ? ?
CLSID={11111111-1111-1111-1111-111111113457}
Duerfte zu adapi.exe gehoeren !

#Lade AdAware free und scanne <alle Datein<
http://www.lavasoft.de/support/download/

der 016-Eintrag darf dann nicht mehr erscheinen.
Und es waere besser, den Guard vom Antivirus immer im Autostart zu haben...sicherer.

Gruss
Nikita