Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe Antivir hat mir x-Warnungen und Viren gemeldet (https://www.trojaner-board.de/12198-hilfe-antivir-hat-mir-x-warnungen-viren-gemeldet.html)

hahnhuhn 15.01.2005 16:33
Hilfe Antivir hat mir x-Warnungen und Viren gemeldet
 
Hai Leute,

ich brauche dringend Hilfe! :heulen:
Antivir hat mir 136 Warunungen und insgesamt 28 Viren gemeldet.
Habe mit Antivir alles gelöscht. Weiß aber nicht, wie ich an die Archive,
die angeblich befallen sind kommen kann.

Befürchte noch größere Aktivitäten erledigen zu müssen, damit mein PC wieder einigermaßen in der Spur fährt.

Ich habe schon viel von dem Hijack-Teil gelesen, kann mir jemand sagen, wo ich das laden kann und was ich damit tun kann - muß - soll?

Ich danke euch schon jetzt.

hahnhuhn

Haui45 15.01.2005 16:36
Wo wurde was gefunden?
Poste ein HijackThis Logfile:
Download
kurze Beschreibung
ausführliche Beschreibung

cacatoa 15.01.2005 16:36
Hi, lade Dir hier HIJackThis runter und gehe nach der Anleitung vor. Poste das Logfile hier rein (einfach kopieren/einfügen).
cacatoa.
P.S. wo hat Antivir was gefunden?

cacatoa 15.01.2005 16:37
@ haui
warst um Sekunden schneller... ;)

hahnhuhn 15.01.2005 16:50
Da bin ich wieder,
also hab Mr. Hijack gefunden und hier anbei das Log:

Logfile of HijackThis v1.99.0
Scan saved at 16:47:02, on 15.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\COMUNDODIALER.EXE
C:\PROGRAMME\INTERNET EXPLORER\NEU\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\EIGENE DATEIEN\PC_PROBLEME\HIJACK_THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM300.DLL (file missing)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [Registering itss.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

p.s. - großen Respekt allen denjenigen, die damit was anfangen können.

Grüße - hahnhuhn

cacatoa 15.01.2005 16:55
Bevor wir uns an die Arbeit machen, lasse bitte die folgenden Dateien bei Jotti online scannen und kopiere das 10-zeilige Ergenis hier rein:
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\WINDOWS\COMUNDODIALER.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE (Ist das Dein HP-Drucker?)
C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll

Bis dann
cacatoa

hahnhuhn 15.01.2005 17:12
Hai, cacatoa,

also Jotti hat nix gemeldet.
Ich habe alle Dateien einzeln eingetragen. Bei jeder Datei war der Status o.k.
Der Comundodialer, damit gehe ich ins Netz und der HPZxx - könnte der Drucker sein ist ein HP.
Die Regsvr32 habe ich auch gescannt - war o.k. die Parameter dahinter verstehe ich nicht so ganz. (kann ich die beim Scannen mit eintragen?)

Gruß hahnhuhn

cacatoa 15.01.2005 17:15
Hast du bei Jotti auf "Durchsuchen" geclickt, und dann, wenn die Datei gefunden ist, auf submit, oder hast du einfach den Dateinamen eingegeben? Wenn ja, dann nochmal mit durchsuchen von Jotti machen. Ich glaube nicht, daß alle DAteien sauber sind. Wenn doch, dann ist ja gut.
cacatoa

hahnhuhn 15.01.2005 17:18
Hallöle,

ich bin auf Durchsuchen gegangen und habe dann auf submit geklickt.
-> ansonsten bringst das ja nicht unten im Status wurde dann auch
immer die jeweilige Datei angzeigt.
-> alles bené?

hahnhuhn :crazy:

hahnhuhn 15.01.2005 17:30
...
bin gleich wieder an -board-

ach, was mir auch noch auffällt, das der PC elend langsam ist
... auch mit einer ISDN-Verbindung verhält er sich wie mit einem 56k Modem.

Gruß hahnhuhn

cacatoa 15.01.2005 17:30
Gut, dann fangen wir jetzt an:
Im abgesicherten Modus mit HJT folgendes fixen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM300.DLL (file missing)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

Dann die folgenden Dateien manuell löschen:
C:\WINDOWS\WSEM300.DLL
C:\WINDOWS\NEM220.DLL

Zum Schluß neu booten und neues Logfile posten.
cacatoa

hahnhuhn 15.01.2005 17:53
Hey,

also habe im abgesicherten Modus die mitgeteilten Einträge angehakt und gefixt.
Die Dateien wsem300.dll und auch nem220.dll habe ich nicht mehr gefunden (auch nicht in den versteckten Dateien)! - macht das was?

Danach System neu gebootet und jetzt kommt der neue Log-Eintrag:

Logfile of HijackThis v1.99.0
Scan saved at 17:44:57, on 15.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\EIGENE DATEIEN\PC_PROBLEME\HIJACK_THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F1 - win.ini: run=hpfsched
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll


... by the way - wie kann ich gemeldete infizierte Archive-Dateien löschen und warum bekomme ich immer noch die lycos-Startseite, wenn ich ins Internet gehe, obwohl ich google eingetragen habe

... ist da immer noch was faul???

DAnke - hahnhuhn

cacatoa 15.01.2005 18:09
Hi, die beiden sind weg.
Das bitte noch im abgesicherten Modus mit HJT fixen: (Ist unnötig und kann spyware enthalten):
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Dann die Datei:
C:\WINDOWS\web\related.htm
manuell löschen.
Ansonsten ist das Log sauber :daumenhoc
cacatoa

cacatoa 15.01.2005 18:11
Ich nochmal:
Den Quarantäne-Ordner von Antivir leeren.
Hier gibt´s das aktuelle deutsche Handbuch von Antivir.
cacatoa

hahnhuhn 15.01.2005 20:02
Hai,

DAnke, DAnke - für die Hilfe.

nettes Wochenende und bis dann - hahnhuhn


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:00 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130