Trojaner-Board - Hartnäckige Adware

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hartnäckige Adware (https://www.trojaner-board.de/9350-hartnaeckige-adware.html)

Hartnäckige Adware

Guten Tag liebes Forum,

seit einiger Zeit öffnen sich unter Win98 auf meinem System alle paar Minuten 3 bis 4 IE-Popups mit nervigen Werbeseiten (auch wenn der IE nicht aktiv ist).
Ausserdem hängt sich der Rechner beim Herunterfahren häufig auf. Zusätzlich erhalte ich bei jedem Windows-Start eine Fehlermeldung in die Datei DPKMAINT.dll als Ursache des Fehlers genannt wird. wenn ich den fehler schließen möchte stürzt der Pc ab. Es kommt immer die Meldung:
"Explorer" kann aufgrund einiges ungültigen Vorgangs...usw

Er ist im Ordner c:windows/system/ kann ihn weder löschen noch findet ihn ein virenprogramm.

Programme wie Adaware, Spybot, CWSchredder habe ich bereits laufen lassen. Sie finden und beseitigen Adware. Das Problem mit den lästigen Pop-ups besteht jedoch weiterhin!

(Betriebssystem Win98)

Wer kann mir helfen??

Danke im Voraus

hole dir HijackThis, und poste hier mal eine log.

Hi

Lad dir mal Hijackthis runter
Unter http://www.hijackthis.de

Da auf direktdownload gehen.

Dann scanst du dein system damit und postest hier den log !

MFG ZERO

Logfile of HijackThis v1.98.2
Scan saved at 19:12:51, on 08.11.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\HIGHCRITERIA\TOTALRECORDER\TOTRECSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAMME\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\PESTPATROL\PESTPATROL.EXE
C:\WINDOWS\TEMP\RAR$EX00.776\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
F1 - win.ini: run=hpfsched
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\CD-WRI~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [Overnet] C:\PROGRAMME\OVERNET\Overnet.exe -t
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRAMME\PESTPATROL\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRAMME\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [SmcService] F:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.buy@alfaromeo.de/Componen...or/Outside.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geonline-gmbh.de/buehl/mgaxctrl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20605/online.chm::/on-line.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://v-nature.biz/e/tshomer/tshomer.exe

hallo

diesen prozess fixen un manuell löschen:

C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EX

diese fixen:

O4 - HKLM\..\RunServices: [CMD] cmd32.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

diese 2 datein finde ich ja nicht mal:
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EX

diese fixen:

O4 - HKLM\..\RunServices: [CMD] cmd32.exe

andere is schon gelöscht..

dann musst du sie manuell über den windows explorer löschen. poste anschliesend eine neue log.

wenn ich sie nicht finde wie soll ich die dann löschen?
kannst mir das nicht bisschen genauer sagen?

die datei dpkmaint.dll macht mir ja auch probleme aber die kann ich nicht löschen weil sie von windows verwendet wird

ok dann hole dir ersteinmal escan und lasse

den im abgesicherten modus

scannen. poste was er gefunden hat.

@Tobiatch04
der hier ist im system
http://www.liutilities.com/products/...library/cmd32/
lade dir von www.clearprog.de clearprog .
schicke folgende datei nach
partytime-germany@web.de mit verweis auf diesen thread
C:\Recycled\Q330995.exe

wechsle in den abgesicherten modus und fixe
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing)
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

lösche anschließend manuell
C:\Recycled\Q330995.exe
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
neu starten, clearprog starten, Temporary Internet Files, Verlauf und Cookies löschen, neues Logfile von HJT hier posten

chaosman

Abgesicherter Modus ging eben nicht..muss nochmal probieren...

Zitat:

Zitat von chaosman

wie fixe ich überhaupt???

Mon Nov 08 20:50:05 2004 => ***** Scanning Memory Files *****
Mon Nov 08 20:50:05 2004 => Scanning File C:\WINDOWS\SYSTEM\ADVAPI32.DLL
Mon Nov 08 20:50:06 2004 => Scanning File C:\WINDOWS\SYSTEM\BROWSELC.DLL
Mon Nov 08 20:50:06 2004 => Scanning File C:\WINDOWS\SYSTEM\BROWSEUI.DLL
Mon Nov 08 20:50:06 2004 => Scanning File C:\WINDOWS\EXPLORER.EXE
Mon Nov 08 20:50:07 2004 => Scanning File C:\WINDOWS\RUNDLL32.EXE
Mon Nov 08 20:50:07 2004 => Scanning File C:\WINDOWS\SYSTEM\KERNEL32.DLL
Mon Nov 08 20:50:11 2004 => Scanning File C:\WINDOWS\SYSTEM\MPREXE.EXE
Mon Nov 08 20:50:11 2004 => Scanning File C:\WINDOWS\SYSTEM\MSGSRV32.EXE
Mon Nov 08 20:50:11 2004 => Scanning File C:\WINDOWS\TEMP\KAVSS.EXE
Mon Nov 08 20:50:11 2004 => Scanning File C:\WINDOWS\TEMP\MWAVSCAN.COM
Mon Nov 08 20:50:12 2004 => Scanning File C:\WINDOWS\SYSTEM\CFGMGR32.DLL
Mon Nov 08 20:50:13 2004 => Scanning File C:\WINDOWS\SYSTEM\COMCTL32.DLL
Mon Nov 08 20:50:14 2004 => Scanning File C:\WINDOWS\SYSTEM\COMDLG32.DLL
Mon Nov 08 20:50:14 2004 => Scanning File C:\WINDOWS\SYSTEM\CRYPT32.DLL
Mon Nov 08 20:50:14 2004 => Scanning File C:\WINDOWS\SYSTEM\DFKMAINT.DLL
Mon Nov 08 20:50:20 2004 => File C:\WINDOWS\SYSTEM\DFKMAINT.DLL tagged as not-a-virus:AdWare.Look2Me.l. No Action Taken.

Mon Nov 08 20:50:20 2004 => Scanning File C:\WINDOWS\SYSTEM\DPKMAINT.DLL
Mon Nov 08 20:50:20 2004 => File C:\WINDOWS\SYSTEM\DPKMAINT.DLL tagged as not-a-virus:AdWare.Look2Me.l. No Action Taken.
Mon Nov 08 20:50:41 2004 => ERROR!!! Invalid Entry Skype = "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized. Removing it.
Mon Nov 08 20:52:54 2004 => File C:\WINDOWS\SYSTEM\WqOCK32.DLL tagged as not-a-virus:AdWare.Look2Me.l. No Action Taken.
Mon Nov 08 20:53:54 2004 => File C:\WINDOWS\SYSTEM\WoOCK32.DLL tagged as not-a-virus:AdWare.Look2Me.l. No Action Taken.
Mon Nov 08 20:55:09 2004 => File C:\WINDOWS\SYSTEM\DeKMAINT.DLL tagged as not-a-virus:AdWare.Look2Me.l. No Action Taken.

@Tobiatch04
fixen:
abgesicherten modus starten wie hier beschrieben wird
http://www.trojaner-board.de/63335-w...s-starten.html
dann mit HJT scannen, dann die häkchen setzen und auf Fix Checked klicken
wie hier beschrieben
http://www.trojaner-board.de/51130-a...ijackthis.html

lade dir den spybot hier
http://www.safer-networking.org/en/download/
und den Adaware www.lavasoft.de

beide programme updaten und scannen lassen

chaosman

Hey...

nur was ich nicht check das E-scan viel mehr sachen findet wie Hijack

Zitat:

Zitat von chaosman

die beiden programm hatte ich bereits auf dem rechner. finden nicht besonders viel. habe das jetzt gemacht wie du das gesagt hast mit dem fixen aber der fehler kommt trotzdem noch am anfang..liegt immer noch an der datei dpkmaint.dll..kann sie immernoch nicht löschen..schick noch mal die logfile...

Logfile of HijackThis v1.98.2
Scan saved at 22:21:48, on 08.11.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\STARTER.EXE
F:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\WINDOWS\TEMP\RAR$EX00.776\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm

C:\WINDOWS\RUNDLL32.EXE

Also das auf jeden fall fixen.
es gibt nämlich keine datei rundll32.exe in c:\Windows die müßte in C:\Windows\System 32 sein
du mußt in den abgesicherten modus gehen und die datei manuell löschen

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm

und den überprüfen wenn du die datei kennst ok wenn nicht fixen

ganz wichtig die systemwiderherstellung deaktiviren
MFG Zero

Alsooo...
habe das jetzt alles so gemacht aber einige *.dll dateien bsp. die dpkmaint.dll die den fehler am anfang verursacht kann ich nicht löschen..auch nicht im abgesicherten modus.

Versuch es mal im dos modus

Beim starten F8 drücken und dann Nur eingabeauforderung auswählen!

Dann in das verzeichnis gehen wo die datei liegt und folgendes eingeben

del. name der datei enter

Wenn das nicht hilft dan gibt es nur noch Format c:

Falls du Probleme mit dem löschen von Dateien hast: versuch mal folgendes:
In Hjt->Config->Misc Tools-> Delete a file on reboot->Datei auswählen

Habe es jetzt auch mit Hijack versucht die Datei zu löschen aber geht nicht. es kommt ich habe keine Berechtigung die Datei zu löschen.
Wo bekomm ich denn ne Vollversion von E-Scan her? oder von Bitdefender?

Versuche die Datei im abg. Modus zu löschen.