ntvdm.exe??\Adware.DealHelper
6 Beiträge • Seite 1 von 1
ntvdm.exe??\Adware.DealHelper
von AnnikaLuna am 18.09.2004, 13:45
Hallo!
Schon wieder ein Problem hier.
Ab und zu kommt beim Einwählen die Fehlermeldung:
"Ntvdm.exe hat ein Problem festgestellt und muss beendet werden...bla."
Laufe unter Windows XP.
Gehijacked hab ich schon:
Logfile of HijackThis v1.98.2
Scan saved at 13:43:59, on 18.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\dhbrwsr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLI~1\BSW4\ToDuCAlC.EXE
c:\t-onli~1\browser\browser.exe
C:\WINDOWS\System32\dwwin.exe
C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... cc17178f36
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13f751e45db ... xIE601.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8004273-FC29-41E6-B716-FB202280DC88}: NameServer = 217.237.150.33 217.237.151.161
Hoffe, mir kann so genial geholfen werden, wie beim letzten Mal (Danke Nikita!!!)
Gruß, *Annika*
Schon wieder ein Problem hier.
Ab und zu kommt beim Einwählen die Fehlermeldung:
"Ntvdm.exe hat ein Problem festgestellt und muss beendet werden...bla."
Laufe unter Windows XP.
Gehijacked hab ich schon:
Logfile of HijackThis v1.98.2
Scan saved at 13:43:59, on 18.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\dhbrwsr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLI~1\BSW4\ToDuCAlC.EXE
c:\t-onli~1\browser\browser.exe
C:\WINDOWS\System32\dwwin.exe
C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... cc17178f36
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13f751e45db ... xIE601.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8004273-FC29-41E6-B716-FB202280DC88}: NameServer = 217.237.150.33 217.237.151.161
Hoffe, mir kann so genial geholfen werden, wie beim letzten Mal (Danke Nikita!!!)
Gruß, *Annika*
- AnnikaLuna
- Beiträge: 99
- Registriert: 20.08.2004, 15:39
- Wohnort: Frankenthal
von Nikita am 18.09.2004, 17:13
Hallo @AnnikaLuna
Hast du das installiert: (?)
Kontiki - Video-On-Demand
..........................................................................................................
Fixe:
O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 8c135de148
O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab
neustarten
1.Leere folgende Ordner:
(nicht die Ordner selbst loeschen !)
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
2.Gehe in die Registry
Start<Ausfuehren<regedit
loesche rechts folgende Eintraege:
HKEY_CLASSES_ROOT\AppID\{A1F53F1D-FB2D-4FE0-8EE8-7BBE69999D9F}\
HKEY_CLASSES_ROOT\AppID\{A57AFB0F-C63E-4AE2-8A7B-BCA01BA32CC5}\
HKEY_CLASSES_ROOT\AppID\dhbrwsr.EXE\
HKEY_CLASSES_ROOT\AppID\dhsvr.EXE\
HKEY_CLASSES_ROOT\Dealhlpr.Band.1\
HKEY_CLASSES_ROOT\Dealhlpr.Band\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows.1\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows\
HKEY_CLASSES_ROOT\DHP.DHEvents.1\
HKEY_CLASSES_ROOT\DHP.DHEvents\
HKEY_CLASSES_ROOT\DHP.Popup.1\
HKEY_CLASSES_ROOT\DHP.Popup\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase.1\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper.1\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper\
HKEY_CLASSES_ROOT\Dhsvr.Even.1\
HKEY_CLASSES_ROOT\Dhsvr.Even\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents.1\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents\
HKCU\Software\DealHelper\
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperBrwsr="C:\WINDOWS\dhbrwsr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperUpdate="C:\WINDOWS\DHUpdt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dealhlpr.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhbrwsr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHP.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhsvr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHUpdt.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealHelper\
schliesse die Registry
#Start<Ausfuehren (reinkopieren:
regsvr32 /u c:\system32\DHP.dll
regsvr32 /u c:\system32\Dea;jlpr.dll
regsvr32 /u c:\system32\dealhlpr.dll
neustarten
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
3.Loesche:(Adware.DealHelper)
#C:\WINDOWS\ Dhbrowser.exe
#C:\WINDOWS\ DHP.dll
# C:\WINDOWS\Dhsvr.exe
#C:\WINDOWS\ DHUpdt.exe
#C:\WINDOWS\ Dea;jlpr.dll
#C:\WINDOWS\dhbrwsr.exe
4.#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
5.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
mfg
Nikita
http://sarc.com/avcenter/venc/data/pf/a ... elper.html
Hast du das installiert: (?)
Kontiki - Video-On-Demand
..........................................................................................................
Fixe:
O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 8c135de148
O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab
neustarten
1.Leere folgende Ordner:
(nicht die Ordner selbst loeschen !)
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
2.Gehe in die Registry
Start<Ausfuehren<regedit
loesche rechts folgende Eintraege:
HKEY_CLASSES_ROOT\AppID\{A1F53F1D-FB2D-4FE0-8EE8-7BBE69999D9F}\
HKEY_CLASSES_ROOT\AppID\{A57AFB0F-C63E-4AE2-8A7B-BCA01BA32CC5}\
HKEY_CLASSES_ROOT\AppID\dhbrwsr.EXE\
HKEY_CLASSES_ROOT\AppID\dhsvr.EXE\
HKEY_CLASSES_ROOT\Dealhlpr.Band.1\
HKEY_CLASSES_ROOT\Dealhlpr.Band\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows.1\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows\
HKEY_CLASSES_ROOT\DHP.DHEvents.1\
HKEY_CLASSES_ROOT\DHP.DHEvents\
HKEY_CLASSES_ROOT\DHP.Popup.1\
HKEY_CLASSES_ROOT\DHP.Popup\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase.1\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper.1\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper\
HKEY_CLASSES_ROOT\Dhsvr.Even.1\
HKEY_CLASSES_ROOT\Dhsvr.Even\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents.1\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents\
HKCU\Software\DealHelper\
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperBrwsr="C:\WINDOWS\dhbrwsr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperUpdate="C:\WINDOWS\DHUpdt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dealhlpr.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhbrwsr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHP.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhsvr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHUpdt.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealHelper\
schliesse die Registry
#Start<Ausfuehren (reinkopieren:
regsvr32 /u c:\system32\DHP.dll
regsvr32 /u c:\system32\Dea;jlpr.dll
regsvr32 /u c:\system32\dealhlpr.dll
neustarten
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
3.Loesche:(Adware.DealHelper)
#C:\WINDOWS\ Dhbrowser.exe
#C:\WINDOWS\ DHP.dll
# C:\WINDOWS\Dhsvr.exe
#C:\WINDOWS\ DHUpdt.exe
#C:\WINDOWS\ Dea;jlpr.dll
#C:\WINDOWS\dhbrwsr.exe
4.#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
5.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
mfg
Nikita
http://sarc.com/avcenter/venc/data/pf/a ... elper.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von AnnikaLuna am 19.09.2004, 13:55
Mmmmh...
hab's versucht. Sollte vielleicht noch hinzufügen, dass ich eben grad noch das Windows update gemacht hab.
Also:
- gefixt und neugestartet hab ich.
- die ganzen Ordnerinhalte, die ich löschen sollte hab ich nur zum Teil gefunden
- in der Registry habe ich alles auf "Wert nicht gesetzt" gesetzt, löschen ging nicht
- verschiedene Sachen gab es nicht (soll ich die auflisten?)
- das letzte, das du aufgeführt hast (...\uninstall\dealHelper) gibt's nur als ...\D-Hepler Web Driver. Hab's mal (noch?) nicht gelöscht. Was anderes gab's nicht.
So, und weiter bin ich noch gar nciht. Wie soll ich unter Start<Ausführen was "reinkopieren"?
Ach ja, und "Kontiki" hab ich noch nie gehört... Wenn's installiert worden ist, dann unbsichtlich.
Ich hoffe, du verzweifelst nicht an mir...
Danke schon mal!
hab's versucht. Sollte vielleicht noch hinzufügen, dass ich eben grad noch das Windows update gemacht hab.
Also:
- gefixt und neugestartet hab ich.
- die ganzen Ordnerinhalte, die ich löschen sollte hab ich nur zum Teil gefunden
- in der Registry habe ich alles auf "Wert nicht gesetzt" gesetzt, löschen ging nicht
- verschiedene Sachen gab es nicht (soll ich die auflisten?)
- das letzte, das du aufgeführt hast (...\uninstall\dealHelper) gibt's nur als ...\D-Hepler Web Driver. Hab's mal (noch?) nicht gelöscht. Was anderes gab's nicht.
So, und weiter bin ich noch gar nciht. Wie soll ich unter Start<Ausführen was "reinkopieren"?
Ach ja, und "Kontiki" hab ich noch nie gehört... Wenn's installiert worden ist, dann unbsichtlich.
Ich hoffe, du verzweifelst nicht an mir...
Danke schon mal!
- AnnikaLuna
- Beiträge: 99
- Registriert: 20.08.2004, 15:39
- Wohnort: Frankenthal
von Nikita am 19.09.2004, 15:15
Hallo @AnnikaLuna 
1.Wenn du die Kontiki nicht hast, fixe:
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
2..Loesche:(Adware.DealHelper)
#C:\WINDOWS\ Dhbrowser.exe
#C:\WINDOWS\ DHP.dll
# C:\WINDOWS\Dhsvr.exe
#C:\WINDOWS\ DHUpdt.exe
#C:\WINDOWS\ Dea;jlpr.dll
#C:\WINDOWS\dhbrwsr.exe
3.D-Hepler Web Driver nicht loeschen (!)
4.Mit AdAware scannen
5.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
Dann poste das neue Log noch mal.
mfg
Nikita
1.Wenn du die Kontiki nicht hast, fixe:
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
2..Loesche:(Adware.DealHelper)
#C:\WINDOWS\ Dhbrowser.exe
#C:\WINDOWS\ DHP.dll
# C:\WINDOWS\Dhsvr.exe
#C:\WINDOWS\ DHUpdt.exe
#C:\WINDOWS\ Dea;jlpr.dll
#C:\WINDOWS\dhbrwsr.exe
3.D-Hepler Web Driver nicht loeschen (!)
4.Mit AdAware scannen
5.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
Dann poste das neue Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von AnnikaLuna am 19.09.2004, 16:49
Hallo!
zu 1.: Kontiki ist Sygate stimmt's? Das hatte ich irgendwann mal runtergeladen aber nie installiert... Ist jetzt auch noch drin.
zu 2.: alles gelöscht, bis auf \Dea;jlpr.dll und \dhbrwsr.exe. Die gab's nicht
zu 3. ok...
zu 4. 165 Dinger gelöscht! Unglaublich...
zu 5.:
File C:\WINDOWS\dhp2.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Annika\Desktop\Fun\SHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Annika\Desktop\Uni\Gru - Päd\Gru - Päd\SHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Annika\Desktop\Uni\U-Materialien\neu\Datenauszug aus Dokument ''...'.shs infected by "BkCln.Unknown" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SCB9T89\keywords;cat=11450;cat=9816;cat=13029;cat=54515;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SCB9T89\keywords;cat=11450;cat=9816;cat=13029;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEZC1QV\keywords;cat=11450;cat=9816;cat=13045;cat=54352;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1UJK9UN\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950932_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1UJK9UN\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950933_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YJGLIN\keywords;cat=11450;cat=9816;cat=13029;cat=54515;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVQRYT67\keywords;cat=11450;cat=9816;cat=13045;cat=54352;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVQRYT67\keywords;cat=11450;cat=9816;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo-+maraedel_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1MFO9AR\keywords;cat=11450;cat=9816;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo-+maraedel_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL45IVK9\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950932_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL45IVK9\keywords;cat=11450;cat=9816;cat=13045;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc369.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc371.exe infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc372.exe infected by "not-a-virus:AdvWare.DealHelper.f" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005387.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005388.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005389.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005390.exe infected by "not-a-virus:AdvWare.DealHelper.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP63\A0005423.dll infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP63\A0005424.dll infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010341.dll infected by "not-a-virus:AdvWare.DealHelper.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010345.dll infected by "not-a-virus:AdvWare.Winad" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010350.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010351.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010352.exe infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010353.exe infected by "not-a-virus:AdvWare.DealHelper.f" Virus. Action Taken: File Renamed.
Oh mann...
Und noch Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 16:43:02, on 19.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Annika\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13f751e45db ... xIE601.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
Was ist überhaupt DealHelper? Ein Virus?
Danke!! *Annika*
zu 1.: Kontiki ist Sygate stimmt's? Das hatte ich irgendwann mal runtergeladen aber nie installiert... Ist jetzt auch noch drin.
zu 2.: alles gelöscht, bis auf \Dea;jlpr.dll und \dhbrwsr.exe. Die gab's nicht
zu 3. ok...
zu 4. 165 Dinger gelöscht! Unglaublich...
zu 5.:
File C:\WINDOWS\dhp2.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Annika\Desktop\Fun\SHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Annika\Desktop\Uni\Gru - Päd\Gru - Päd\SHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Annika\Desktop\Uni\U-Materialien\neu\Datenauszug aus Dokument ''...'.shs infected by "BkCln.Unknown" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SCB9T89\keywords;cat=11450;cat=9816;cat=13029;cat=54515;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SCB9T89\keywords;cat=11450;cat=9816;cat=13029;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEZC1QV\keywords;cat=11450;cat=9816;cat=13045;cat=54352;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1UJK9UN\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950932_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1UJK9UN\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950933_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YJGLIN\keywords;cat=11450;cat=9816;cat=13029;cat=54515;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVQRYT67\keywords;cat=11450;cat=9816;cat=13045;cat=54352;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hech_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVQRYT67\keywords;cat=11450;cat=9816;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo-+maraedel_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1MFO9AR\keywords;cat=11450;cat=9816;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo-+maraedel_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL45IVK9\keywords;cat=11450;cat=9816;cat=13021;tile=1;sz=468x60;list=stores;kw=prada-+gucci-+joop-+boss-+lauren-+hilfiger-+max-+dolce-+karan-+sander;ord=10950932_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hildegard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL45IVK9\keywords;cat=11450;cat=9816;cat=13045;tile=1;sz=468x60;list=stores;kw=joop-+prada-+gabbana-+dkny-+sixty-+versace-+bogner-+escada-+sander-+hechter-+kenzo_ infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc369.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc371.exe infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-329068152-117609710-725345543-1007\Dc372.exe infected by "not-a-virus:AdvWare.DealHelper.f" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005387.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005388.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005389.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP62\A0005390.exe infected by "not-a-virus:AdvWare.DealHelper.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP63\A0005423.dll infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP63\A0005424.dll infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010341.dll infected by "not-a-virus:AdvWare.DealHelper.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010345.dll infected by "not-a-virus:AdvWare.Winad" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010350.dll infected by "not-a-virus:AdvWare.DealHelper.j" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010351.exe infected by "not-a-virus:AdvWare.DealHelper.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010352.exe infected by "not-a-virus:AdvWare.DealHelper.p" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{787A0B5F-9E07-4388-AC8D-BD054A949231}\RP82\A0010353.exe infected by "not-a-virus:AdvWare.DealHelper.f" Virus. Action Taken: File Renamed.
Oh mann...
Und noch Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 16:43:02, on 19.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Annika\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13f751e45db ... xIE601.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
Was ist überhaupt DealHelper? Ein Virus?
Danke!! *Annika*
- AnnikaLuna
- Beiträge: 99
- Registriert: 20.08.2004, 15:39
- Wohnort: Frankenthal
von Nikita am 19.09.2004, 17:36
Hallo @AnnikaLuna
1.Kontiki ist:- Video-On-Demand
2....du hattest nicht die Temporary-Files geloescht, wie ich gepostet hatte (!)
Nun ja, der escan hat den ganzen Muell dann geleoscht.
3.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.
4.Scanne noch mal im Normalmodus mit mwav.exe und poste das Virenlog.
mfg
Nikta
1.Kontiki ist:- Video-On-Demand
2....du hattest nicht die Temporary-Files geloescht, wie ich gepostet hatte (!)
Nun ja, der escan hat den ganzen Muell dann geleoscht.
3.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.
4.Scanne noch mal im Normalmodus mit mwav.exe und poste das Virenlog.
mfg
Nikta
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
6 Beiträge • Seite 1 von 1
Ähnliche Themen
| {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - Adware.DealHelper Forum: Online- und PC-Sicherheit Autor: redoer Antworten: 5 |
lpt.exe und ntvdm.exe - Adware Problem ? Forum: Online- und PC-Sicherheit Autor: mikey Antworten: 16 |
Adware.Istbar und Adware.BetterInternet Problem Forum: Online- und PC-Sicherheit Autor: rauron Antworten: 2 |
NTVDM....und andere troubles Forum: Software-Hilfe Autor: gericool Antworten: 0 |
NTVDM-CPU hat einen ungültigen Befehl entdeckt?! Forum: Software-Hilfe Autor: DruLuc Antworten: 6 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste