Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


medload.exe (I-Worm.Bagle)\C:\WINDOWS\RUNDLL32.EXE(Subseven)

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

medload.exe (I-Worm.Bagle)\C:\WINDOWS\RUNDLL32.EXE(Subseven)

Beitragvon TVK_HanF_ am 30.09.2004, 15:42

hi leute

folgendes problem: seit gestern abend ging die start liste nicht mehr richtig. habe heute msconfig gemacht und 2 einträge im autostart gefunden die vorher nicht da waren: 180ax.exe und bkx.exe beide im windows ordner. hab sie aus dem autostart entfernt und startleiste geht wieder. danach trat folgendes auf: der sound funktioniert nicht mehr und treiber lassen sich nicht neu installieren. im ie geht die menüleiste nicht mehr (hängt wenn ich auf datei klicke) und diverse win anwendungen wie hinergrund bild ändern, einstellungen veränder etc geht auch nicht mehr, und sind nur über task beenden abzuwürgen, desweiteren öffnen sich ab und zu popup fenster mit werbung ohne dass ich irgendetwas getan habe. nachdem ich gehört habe dass das kein einzelfall is im mom (vgl: http://www.mastersgames.de/wbb2/thread. ... e9e1a78bd8) wollt ich mal nachfragen wie ich das ändern kann.

habe auch diese hijack prog mal laufen lassen und hat folgendes ausgespuckt:

Logfile of HijackThis v1.98.2
Scan saved at 15:27:22, on 30.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\DATA BECKER\ANTIVIRUS\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\DATA BECKER\ANTIVIRUS\AVGCC32.EXE
C:\WINDOWS\MEDLOAD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
C:\EIGENE DATEIEN\DOWNLOADS\AGE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/root/ageofempires
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\DATABE~1\ANTIVI~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\medload.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\DATABE~1\ANTIVI~1\Avgserv9.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/shared ... Engine.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZI ... b27513.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/defaul ... der_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.150.33,194.25.2.129

vielen dank für die hilfe :) ich weiß nämlich nicht mehr weiter.. mein nächster schritt, wenn ich nicht auf diese site gstoßen wäre, wäre format c: gewesen^^
MFG HanF
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon Nikita am 01.10.2004, 01:37

Hallo @TVK_HanF_

Fixe mit dem HijackThis, dann neustarten:

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\medload.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

neustarten

#ueberpruefe diese exe und poste das Ergebnis:
Online-Scan
Jotti's malware scan 2.41
http://virusscan.jotti.dhs.org/
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\MEDLOAD.EXE

#um den WinsockVirus zu loeschen, lade dieses Tool:
LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm

««bringe die "WHIEHLPR.DLL" von der linken auf die rechte Seite und Loesche sie
(ohne Garantie, dass dadurch nicht dein Netzugang zerstoert wird....)

#Dann deinstalliere:
C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR

#Entfernungstool fuer den Sircam-Virus:
Go to http://www.sarc.com/avcenter/FixSirc.com

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

##Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#und scanne noch mal mit <EsCAN<

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde(denn der Dialer muss dann manuell geloescht werden) und das neue Log vom HijackThis

#Deaktiviere die Wiederherstellung
Windows Me
http://service1.symantec.com/SUPPORT/IN ... 7134146924

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

überprüfung der 2 exe dateien

Beitragvon TVK_HanF_ am 01.10.2004, 14:05

also medload exe:
Service load:
0% 100%
File: medload.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (1.34 seconds taken)
Avast
No viruses found (12.11 seconds taken)
BitDefender
No viruses found (10.13 seconds taken)
ClamAV
No viruses found (13.90 seconds taken)
Dr.Web
No viruses found (9.69 seconds taken)
F-Prot Antivirus
No viruses found (0.97 seconds taken)
Kaspersky Anti-Virus
No viruses found (7.73 seconds taken)
mks_vir
No viruses found (2.87 seconds taken)
NOD32
No viruses found (4.38 seconds taken)
Norman Virus Control
No viruses found (5.12 seconds taken)

Statistics
Last piece of malware found was Bagle.AO@mm in bawindo.exe, detected by:

Scanner Malware name Time taken
AntiVir Worm/Bagle.AR 2.36 seconds
Avast Win32:Beagle-AO 4.62 seconds
BitDefender Win32.Bagle.AU@mm 4.94 seconds
ClamAV Worm.Bagle.AP 14.06 seconds
Dr.Web Win32.HLLM.Beagle.18688 8.96 seconds
F-Prot Antivirus W32/Bagle.AM@mm 0.73 seconds
Kaspersky Anti-Virus I-Worm.Bagle.as 7.91 seconds
mks_vir Worm.Beagle.Ar 2.77 seconds
NOD32 Win32/Bagle.AQ 4.47 seconds
Norman Virus Control Bagle.AO@mm 2.12 seconds


und rundll32:

Service load:
0% 100%
File: RUNDLL32.EXE
Status:
OK
Packers detected:
None

AntiVir
No viruses found (2.42 seconds taken)
Avast
No viruses found (7.62 seconds taken)
BitDefender
No viruses found (5.78 seconds taken)
ClamAV
No viruses found (14.26 seconds taken)
Dr.Web
No viruses found (11.19 seconds taken)
F-Prot Antivirus
No viruses found (0.62 seconds taken)
Kaspersky Anti-Virus
No viruses found (6.12 seconds taken)
mks_vir
No viruses found (1.42 seconds taken)
NOD32
No viruses found (2.28 seconds taken)
Norman Virus Control
No viruses found (2.81 seconds taken)

Statistics
Last piece of malware found was SubSeven.1_9C in backdoor.subseven.1_9 virus.zip, detected by:

Scanner Malware name Time taken
AntiVir BDS/SubSeven.19 4.70 seconds
Avast Win32:Trojan-gen. {Other} 3.54 seconds
BitDefender Backdoor.SubSeven.19 9.32 seconds
ClamAV X 13.63 seconds
Dr.Web BackDoor.SubSeven.19 9.39 seconds
F-Prot Antivirus SubSeven.backdoor.v19 0.74 seconds
Kaspersky Anti-Virus Backdoor.SubSeven.19 10.10 seconds
mks_vir W32.Sub.719 5.05 seconds
NOD32 SubSeven.1_9 4.63 seconds
Norman Virus Control SubSeven.1_9C 1.40 seconds
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon Nikita am 01.10.2004, 14:08

Nun arbeite die anderen Punkte ab, um den Virus und den Backdoor zu loeschen.

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon TVK_HanF_ am 01.10.2004, 14:13

nikita hat geschrieben:««bringe die "WHIEHLPR.DLL" von der linken auf die rechte Seite und Loesche sie
(ohne Garantie, dass dadurch nicht dein Netzugang zerstoert wird....)
Nikita

die datei gibt es dort nicht.. es gibt nur:
rnr20.dll
msafd.dll
rsvpsp.dll
mswsosp.dll :?
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon Nikita am 01.10.2004, 14:21

dann ist es gut...du hast bestimmt das C:\PROGRAM FILES\WEBHANCER schon deinstalliert und damit die dll ebenfalls.

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon TVK_HanF_ am 01.10.2004, 14:24

den ordner gab es noch und auch diese dll ----> hab ich per hand in den papierkorb geworfen :)
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon TVK_HanF_ am 01.10.2004, 14:30

nikita hat geschrieben:
#Entfernungstool fuer den Sircam-Virus:
Go to http://www.sarc.com/avcenter/FixSirc.com


---> kein worm gefunden

nikita hat geschrieben:
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K



------>erledigt. hab ich bereits gestern schon da mein virenscanner dann doch bei n paar temp i files angesprungen ist und sie entfernt hat
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon Nikita am 01.10.2004, 15:04

#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
I-Worm.Bagle.a-j,n-r,z loeschen

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#und scanne noch mal mit <EsCAN<

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde(denn der Dialer muss dann manuell geloescht werden) und das neue Log vom HijackThis

#Deaktiviere die Wiederherstellung
Windows Me
http://service1.symantec.com/SUPPORT/IN ... 7134146924

mfg
Nikita ;)
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon TVK_HanF_ am 02.10.2004, 18:18

nikita hat geschrieben:#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
I-Worm.Bagle.a-j,n-r,z loeschen


------> test negativ ausgefallen, kein wurm gefunden

nikita hat geschrieben: #Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus


--------> hat ein paar viren gefunden (~30 entwerder deleted, renamed oder no action taken.. vergessen log zu saven :()

nikita hat geschrieben:#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.


-------> ~ 500 dinge gefunden davon 23 vom programm angeklickt und geöscht worden, kann ich da die restlichen 400 die nicht vom prog ange -x- t wurden auch löschen?

nikita hat geschrieben:# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen


--------> log:

Scanned at: 18:00:48 on: 02.10.2004


-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15


ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15


ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

nikita hat geschrieben:#Search&Destroy
http://www.safer-networking.org/de/download/index.html


---------> ~ 20 einträge gefunden und beseitigt, immunitätsschutz angeschalten

nikita hat geschrieben:#und scanne noch mal mit <EsCAN<

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde(denn der Dialer muss dann manuell geloescht werden) und das neue Log vom HijackThis


---------> nachdem wordpad einen fehler ausgespuckt hat hab ich es per hand hineinkopiert, was er während dem scan im Fenster gezeigt hat:

File C:\_RESTORE\TEMP\A0470917.CPY tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Programme\EasyDivX\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
File C:\Programme\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
File C:\Eigene Dateien\HTML\HTML 4\SOFTWARE\ACDC3221.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\j2sdk1.4.2\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\j2sdk1.4.2\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.

allse anderen viren wurden beim ersten scan durchgag siehe oben bseitigt.

nikita hat geschrieben:#Deaktiviere die Wiederherstellung
Windows Me
http://service1.symantec.com/SUPPORT/IN ... 7134146924


----------> erledigt (war vorher schon auf wiederherstellung deaktivieren )


hier da neue hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 18:17:24, on 02.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\DATA BECKER\ANTIVIRUS\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\DATA BECKER\ANTIVIRUS\AVGCC32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ABOUTBASTER\ABOUTBUSTER.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\EIGENE DATEIEN\DOWNLOADS\AGE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\DATABE~1\ANTIVI~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\DATABE~1\ANTIVI~1\Avgserv9.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/shared ... Engine.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZI ... b27513.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/defaul ... der_v5.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.150.33,194.25.2.129

sodale bittö nochmal checken :) danke

mfg Hanfi
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon TVK_HanF_ am 02.10.2004, 18:22

achja und noch eine frage. du sagtest dass ich einen dialer auf dem comp möglicherweiße per hand löschen muss. funktioniert bei DSL mit router eigtl ein dialer? ich hab da was auf einer dialerschutzsite gelesen, dass sich bei DSL keine dialer einloggen können.

mfg
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben

Beitragvon Nikita am 03.10.2004, 00:23

Hallo @TVK_HanF_

So macht die Hilfestellung Freude !!!!;)
Du hast alles seeeehr gut abgearbeitet.
Im AdAware kannst du alles anhaken und in die Quarantaene schicken.
Wenn danach noch alles sauber laeuft...loesche es definitiv.

Das war der Dialer:
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

Vielleicht findest du die exe ja noch und loescht manuell.
Auch wenn du DSL hast, kann der Dialer Spyware mit sich bringen.

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon TVK_HanF_ am 03.10.2004, 00:44

hiho

yo spyware schon aber kosten kann er keine verursachen oder? wenn es dialer heißt denke ich immer an diese hohen rechnungen.
auf jedenfall 1000000 mal danke nikita, erste sahne deine hilfetips. der comp läuft um einiges besser als vorher (keine popups mehr, keine abstürze etc) achja bin bereits vom IE auf firefox umgestiegen (der browser ist wirklich richtig gut :)).


MFG
ein glücklicher hanf ;)
TVK_HanF_
 
Beiträge: 9
Registriert: 30.09.2004, 15:29
Nach oben
Thema gesperrt

Ähnliche Themen

Windows-Reparatur unmöglich?
Forum: Software-Hilfe
Autor: Anonymous
Antworten:
Was macht Windows bei der Systemwiederherstellung?
Forum: Software-Hilfe
Autor: maus
Antworten:
virus oder windows?
Forum: Hardware-Hilfe
Autor: kamalura
Antworten:
Windows-Startdisketten
Forum: Software-Hilfe
Autor: maus
Antworten:
Windows 2000 startet bei spieleanwendungen immer neu
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO