Hallo,

seit kurzem bekomme ich bei jedem Systemstart die Meldung des "Droppers DR/Dialers.1 in den Temporary internet files von AntiVir und nachdem ich löschen drücke kommt die Meldung des Droppers DR/Dialers.1 in c:/misbo1.exe.

Habe schon aus der Registry den Eintrag "WebSiteViewer" gelöscht. Unter HKEY Curren User - Software - WebSiteViewer.

Hat aber nichts gebracht.

Kann mir jemand weiterhelfen?

Danke

@verplaner
poste mal ein HJT logfile
direktdownload
anleitung
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

chaosman

Hier ist mein HJT logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:51:22, on 10.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GranDios\LOKALE~1\Temp\Rar$EX00.002\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\system32\miamore32.dll - {1559C6FD-8BDE-476E-98C7-871E59193FCE} - C:\WINDOWS\system32\miamore32.dll
O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll
O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
O2 - BHO: C:\WINDOWS\system32\trustac.dll - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - C:\WINDOWS\system32\trustac.dll
O2 - BHO: C:\WINDOWS\system32\clbcatix.dll - {D4DFC1D8-2D2E-4962-B0D0-389FBA0F76B5} - C:\WINDOWS\system32\clbcatix.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\clbcatix.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\clbcatix.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de
O20 - Winlogon Notify: clbcatex - C:\WINDOWS\system32\clbcatix.dll
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll
O20 - Winlogon Notify: gg - C:\WINDOWS\system32\trustac.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: lindow - C:\WINDOWS\system32\miamore32.dll
O20 - Winlogon Notify: lindows - C:\WINDOWS\system32\miamore.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Hallo verplaner,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT, häckchen vor den Einträgen und auf fix checked klicken):

O2 - BHO: C:\WINDOWS\system32\miamore32.dll - {1559C6FD-8BDE-476E-98C7-871E59193FCE} - C:\WINDOWS\system32\miamore32.dll
O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll
O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
O2 - BHO: C:\WINDOWS\system32\trustac.dll - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - C:\WINDOWS\system32\trustac.dll
O2 - BHO: C:\WINDOWS\system32\clbcatix.dll - {D4DFC1D8-2D2E-4962-B0D0-389FBA0F76B5} - C:\WINDOWS\system32\clbcatix.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: clbcatex - C:\WINDOWS\system32\clbcatix.dll
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll
O20 - Winlogon Notify: gg - C:\WINDOWS\system32\trustac.dll
O20 - Winlogon Notify: lindow - C:\WINDOWS\system32\miamore32.dll
O20 - Winlogon Notify: lindows - C:\WINDOWS\system32\miamore.dll

Lösche folgende Dateien:
(Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken)

C:\WINDOWS\system32\clbcatix.dll
C:\WINDOWS\system32\atmpvc.dll
C:\WINDOWS\system32\trustac.dll
C:\WINDOWS\system32\miamore32.dll
C:\WINDOWS\system32\miamore.dll
C:\WINDOWS\drexinit.dll

Papierkorb leeren

Desweitern führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Ordner „C:{base“ erstellen, die „mwav.exe“ dorthin entpacken, mit „kavupd.exe“ updaten. Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Hallo dartus,

also ich habe es probiert so weit wie möglich zu machen. Nur konnte ich einige Einträge nicht fixen (trotz fixen immer noch vorhanden):

O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll
O2 - BHO: (no name) - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - C:\WINDOWS\system32\trustac.dll

O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll
O20 - Winlogon Notify: gg - C:\WINDOWS\system32\trustac.dll

und die Dateien konnte ich alle nicht löschen. Zugriff verweigert.

Habe dann weitergemacht mit escan:

Mon Apr 11 20:11:37 2005 => System found infected with myway Spyware/Adware! Action taken: No Action Taken.

Mon Apr 11 20:11:37 2005 => File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:11:37 2005 => File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:19:18 2005 => File C:\Dokumente und Einstellungen\GranDios\Eigene Dateien\4_Gezogenes_&_Archive\Files\fgf140.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:38:02 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Apr 11 20:38:02 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\128307[1].EXE.001

Mon Apr 11 20:38:02 2005 => File C:\Programme\AVPersonal\INFECTED\128307[1].EXE.001 infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:38:02 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\128307[1].EXE.VIR

Mon Apr 11 20:38:02 2005 => File C:\Programme\AVPersonal\INFECTED\128307[1].EXE.VIR infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:38:02 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MISB01.EXE.001

Mon Apr 11 20:38:02 2005 => File C:\Programme\AVPersonal\INFECTED\MISB01.EXE.001 infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Mon Apr 11 20:38:02 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MISB01.EXE.VIR

Mon Apr 11 20:38:02 2005 => File C:\Programme\AVPersonal\INFECTED\MISB01.EXE.VIR infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Mon Apr 11 21:10:32 2005 => Total Objects Scanned: 57799
Mon Apr 11 21:10:32 2005 => Total Virus(es) Found: 12
Mon Apr 11 21:10:32 2005 => Total Disinfected Files: 0

Ich hoffe das passt alles.

Hilft das weiter?

Hallo verplaner,

hast Du das Löschen und Fixen im abgesicherten Modus versucht?
Wenn es trotz alledem nicht klappt, versuch es mit der killbox.
Diese Datei auch löschen:
C:\Dokumente und Einstellungen\GranDios\Eigene Dateien\4_Gezogenes_&_Archive\Files\fgf140.exe

dartus

hallo,

also ich habe es im abgesicherten Modus probiert. Und mit der Killbox habe ich jetzt alle Dateien bis auf:

c:\windows\system32\atmpvc.dll und
c:\windows\system32\trustac.dll gelöscht. Die gehen auch mit Killbox nicht.

Und wie lösche ich mit der Killbox Logfiles? Also die:

O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll

O2 - BHO: C:\WINDOWS\system32\trustac.dll - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - C:\WINDOWS\system32\trustac.dll

O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll

O20 - Winlogon Notify: gg - C:\WINDOWS\system32\trustac.dll

?? Mit KillProcess? - Aber wie kann ja nicht die ganze winlogon löschen oder? Ich sehe die Einträge, die ich löschen will ja nur wenn ich auf Detail gehe?

Hallo verplaner,

Diese Einträge sind mit HJT zu fixen, d.h. werden aus dem Autostart herausgenommen:

O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll
O2 - BHO: (no name) - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - C:\WINDOWS\system32\trustac.dll

O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll
O20 - Winlogon Notify: gg - C:\WINDOWS\system32\trustac.dll

Nur diese Dateien sind zu löschen:

c:\windows\system32\atmpvc.dll
c:\windows\system32\trustac.dll
C:\Dokumente und Einstellungen\GranDios\Eigene Dateien\4_Gezogenes_&_Archive\Files\fgf140.exe

Verfahre mit der Killbox wie folgt:
Delete File on Reboot <--anhaken
Kopiere die erste Datei hinein (c:\windows\system32\atmpvc.dll)
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere die naechste hinein, erst nach der dritten auf "yes"

dartus

Hallo dartus,

also die Dateien habe ich jetzt gelöscht hat geklappt. Sind nur noch die Autostart einträge, die ich nicht fixen kann wie beschrieben.

Bis jetzt habe ich das Problem beim Systemstart aber immer noch.

verplaner

Hallo verplaner,

wenn die Dateien gelöscht wurden, sollte es mit dem Fixen auch klappen.

Leere Deinen Ordner "Temporary Internet Files" (Explorer öffnen/Extras/Internetoptionen/Allgemein/Dateien löschen/Häckchen bei "alle Offlineinhalte löschen/ok)
Wenn diese Datei noch da ist auch löschen = c:/misbo1.exe.

dartus

hallo dartus,

ja das fixen hat jetzt geklappt. Habe den IE gelöscht wie beschrieben, msb01.exe war nicht vorhanden.

Aber das PRoblem ist immernoch. Beim ersten Systemstart war es weg und jetzt ist es wieder da??

verplaner

Halo verplaner,

Zitat:

Habe den IE gelöscht wie beschrieben

Hier findest Du keine Anleitung zum Löschen des IEs, er wird ja auch noch zum Updaten gebraucht.
Was ist wieder da, beschreibe es genauer und poste ein aktuelles HJT-Logfile.

dartus

Hallo dartus,

also ich habe nicht den Internet Explorer gelöscht, sonder die Temp. Internet Files des Internet Explorer.

Das neue HJT ist:

Logfile of HijackThis v1.99.1
Scan saved at 08:57:33, on 13.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ibs22.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\GranDios\Eigene Dateien\4_Gezogenes_&_Archive\Dialerschutz_Spyware\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\trustac.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\trustac.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Wieder da ist die Meldung von Antivir sobald ich meinen Computer hochfahre, dass der Dropper DR/Dialers.1 gefunden wurde in den Temp Int. Files und auf c:\misb01.exe

verplaner

Hallo verplaner,

lösche diese Datei (im abgesicherten Modus):

C:\WINDOWS\ibs22.exe

Führe eine Datenträgerbereinigung über Start/ausführen/cleanmgr eingeben.

Starte nochmals Escan und lösche alle Funde (ebenfalls im abgesicherten Modus).
Verwende zum Surfen zukünftig einen anderen sicheren Browser.

dartus

Hallo dartus,

vielen vielen Dank. Es scheint so, als ob der Dialer endlich weg ist.

verplaner