Zitat:

Zitat von Gigamail

....

[letzten 50 Tage]

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit....

Verzeichnis von C:\WINDOWS\system32

30.07.2005 14:08 102 PowerNow.log
29.07.2005 07:19 1.158 wpa.dbl
12.07.2005 18:04 520.456 LegitCheckControl.dll
12.07.2005 18:04 23.304 GWFSPidGen.dll
09.07.2005 19:16 248 systemdrv32.aso
07.07.2005 04:21 1.375.064 MRT.exe
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 SET1FF.tmp
29.06.2005 03:49 74.240 SET1D8.tmp
09.06.2005 22:32 692.736 DivX.dll
06.06.2005 23:13 356.436 DivXMedia.ax
29.05.2005 01:35 692.224 divxdec.ax

Zitat:

Zitat von Gigamail

....

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

Verzeichnis von C:\DOKUME~1\LIMA~1\LOKALE~1\Temp

31.07.2005 06:59 222 jusched.log
1 Datei(en) 222 Bytes
0 Verzeichnis(se), 3.874.172.928 Bytes frei

Zitat:

Zitat von Gigamail

...

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

Verzeichnis von C:\WINDOWS

31.07.2005 07:19 487 win.ini
31.07.2005 07:00 62 ad_av_2_h_0001.ini
31.07.2005 06:59 159 wiadebug.log
31.07.2005 06:59 50 wiaservc.log
31.07.2005 06:59 2.048 bootstat.dat
31.07.2005 06:51 639.232 WindowsUpdate.log
30.07.2005 21:26 3.000 setupact.log
30.07.2005 21:25 40 avfile_h.ini
30.07.2005 18:25 64 avfile_dir.ini
30.07.2005 18:02 116 NeroDigital.ini
30.07.2005 13:34 227 system.ini
29.07.2005 08:39 1.125 winamp.ini
29.07.2005 07:21 28.141 KB901214.log
29.07.2005 07:21 8.822 updspapi.log
15.07.2005 09:13 80.421 iis6.log
15.07.2005 09:13 117.054 ntdtcsetup.log
15.07.2005 09:13 221.106 tsoc.log
15.07.2005 09:13 25.308 ocmsn.log
15.07.2005 09:13 26.946 msgsocm.log
15.07.2005 09:13 522.438 FaxSetup.log
15.07.2005 09:11 1.374 imsins.BAK
15.07.2005 09:11 3.777 KB903235.log
08.07.2005 18:24 25 DEIZCWU.TXT
01.07.2005 10:03 6.855 KB898461.log
30.06.2005 21:32 54.839 PowerDVD Setup Log.txt
17.06.2005 07:25 25.768 KB893066.log
17.06.2005 07:25 19.280 KB883939.log
17.06.2005 07:25 13.589 KB896428.log
17.06.2005 07:25 13.923 KB896422.log
17.06.2005 07:24 13.998 KB890046.log
17.06.2005 07:24 13.668 KB896358.log
17.06.2005 07:24 8.674 KB893803v2.log
13.06.2005 14:58 145.258 UNNeroVision.cfg
27.05.2005 01:22 10.752 hh.exe

Zitat:

Zitat von Gigamail

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Verzeichnis von C:\

31.07.2005 08:04 0 sys.txt
31.07.2005 08:01 8.632 system.txt
31.07.2005 07:59 289 systemtemp.txt
31.07.2005 07:56 96.498 system32.txt
31.07.2005 06:58 352.321.536 pagefile.sys
30.07.2005 13:34 211 boot.ini
16.06.2005 12:24 12.149 hpfr3320.log
08.09.2004 19:19 47.564 NTDETECT.COM
08.09.2004 19:19 251.184 ntldr
20.05.2004 11:03 16 win2.log


Wie geht es jetzt weiter?
Vielen Dank schon mal vorab!

Lisa-Marie

Hallo,

ich habe mir die Dateien angeschaut, aber es ist nichts dabei was mit der oleadm32.dll im Zusammenhang steht. Führe mal noch folgendes aus

Windowstaste+R --> sfc /scannow --> <enter>
du wirst nach der Orginal-CD gefragt, einlegen und ausführen lassen. Es werden dabei wichtige Systemdateien überprüft und gegebenenfalls neu geschrieben.

Mehr kann ich dir leider auch nicht sagen, als weiter beobachten

Zitat:

Zitat von Gigamail

.... [sfc /scannow]
.....
Mehr kann ich dir leider auch nicht sagen, als weiter beobachten

"Scannow" mache ich wöchentlich, dazu noch "Purgecache" - habe ich mal so inner Windoof-Illu gelesen.

Der Rechner war jetzt drei Stunden aus, habe ihn jetzt neu gestartet - aber "oleadm32.dll" ist wieder da...

Wie geht es weiter?

Danke, Lisa-Marie

@ladwein

Zitat:

Wenn es also tatsächlich dieser Virus ist, würde ich das System als kompromittiert betrachten und neu aufsetzen.

FULL ACK! Die Zeit, die Lisa-Marie schon erfolglos verbracht hat, um den Virus zu entfernen, würde für Neuaufsetzen von 3 PCs reichen .

Zitat:

Was mir zu denken gibt, ist dass Kaspersky nichts findet.

Ich vermute, die Datei selbst ist schon weg, Reg-Schlüssel blieb aber. Somit ist dein Vorschalg:

Zitat:

Suche mal nach oleadm.dll im Windows-Verzeichnis und lasse sie prüfen.

sehr zu empfehlen. Nach dem Jotti-Scan wissen wir bestimmt mehr.

Zitat:

Zitat von Rene-gad

....FULL ACK! Die Zeit, die Lisa-Marie schon erfolglos verbracht hat, um den Virus zu entfernen, würde für Neuaufsetzen von 3 PCs reichen .

Ne....so lerne ich noch wat dazu
Ich halte das Neuaufsetzen für Second Best, ist wie Surrender

Zitat:

Zitat von Rene-gad

Ich vermute, die Datei selbst ist schon weg, Reg-Schlüssel blieb aber. Somit ist dein Vorschalg:

sehr zu empfehlen. Nach dem Jotti-Scan wissen wir bestimmt mehr.

Jau, das hört sich gut an und erklärt auch warum KAV nüx fündet.

Aber ich stehe immer noch auffem Schlauch, denn Regseeker findet oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll...

Aber wo ist das auffer Pladde...?

Ich müßte doch die *.dll-Datei irgendwie nach jotti.org uppen, um den Jotti-Scan durchführen zu lassen?!

Vielleicht ist meine Frage zu trivial, aber ich weiß wirklich nicht die Lösung.

Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen?

Zitat:

Zitat von Lisa-Marie

......Soll ich jetzt mit der XP-eigenen-Suche nach "oleadm32.dll" suchen?

Suche ist beendet, hat ein büsken gedauert.



Das überrascht jetzt nicht wirklich, oder?

Fündig wurde die Suche im Backup von Regseeker...

Habe ich "falsch" gesucht( Systemordner und versteckte Ordner wurden in die Suche einbezogen)?



Danke, Lisa-Marie

@Lisa-Marie
Bereinge Backup von Regseeker. Ich gehe davon aus, dass diese DLL wirklich weg ist.
Spaßes halber könntest du noch eScan duchführen.
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

@ Lisa-Marie

ich glaube Sache mit eScan kannst du dir sparen ,da du das eh schon durch hast. Lösche die Backup-Datei von Regseeker und suche danach nochmal mit Regseeker ob du dann immer noch was findest

Zitat:

Zitat von Rene-gad

...[eScan to do]....

Hallo Rene et all,

es gab bei der Suche eine Fehlermeldung:

Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.


Ist das jetzt was ganz anderes? Oder gehört das zu oleadm32.dll? (Ad-Aware und Spybot ham nix gefunden - jeweils neueste Definition)

..oder einfach nur nen Bug? (Habe hier im Forum mal gesucht... )

und hier noch die eScan_neu.txt-Datei:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~

Also nüx gefunden, gelle?

..und jetzt nach dem Neustart findet Regseeker trotzdem wieder oleadm32.dll in HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\oleadm32.dll - obwohl ich es vor dem Booten gelöscht hatte (gelöscht mir Regseeker) und auch das Backup habe ich gelöscht, so wie von Euch empfohlen.


Danke noch mal für Eur Hülfe

Zitat:

Zitat von Rene-gad

@Lisa-Marie
Bereinge Backup von Regseeker. Ich gehe davon aus, dass diese DLL wirklich weg ist.
...

Rene, nachem Neustart ist das aber wieder da - komisch, oder?

Zitat:

Zitat von Gigamail

... und suche danach nochmal mit Regseeker ob du dann immer noch was findest

Hallo Giga,

irgendwie wird es jetzt kompliziert, gerade weil oleadm32.dll wiederkommt.

Was kann ich noch machen?


Danke.

Hallo,

langsam verstehe ich das auch nicht mehr, hier ein letzter Vorschlag von mir, dann fällt mir leider auch nichts mehr ein.
Navigierezu dem Schlüssel HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\SCSI\
mache auf SCSI rechte Maustaste --> Berechtigung
ist dort vielleicht der Zugriff verweigert? Wenn ja Haken entfernen Eintrag oleadm32.dll löschen.
Wenn das nicht so ist bin ich raus, vielleicht hat dann noch ein anderer einen Vorschlag