Frage

Edmont · 29.01.2005, 18:48

Hallo,

ich habe da eine Frage. Ich habe vorhin schon eScan benutzt und wollte die gefundenen Viren bzw. Adware Programme hier per copy und paste reinschreiben, aber das geht nicht.

Könnt ihr mir sagen, wie ihr das macht?

Ich hab da nämlich einege Adware Programme, wo ich Hilfe bräuchte.

Gruß

Edmont

fischdarm · 29.01.2005, 23:54

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

runterladen und dann den Log hier posten.

Edmont · 30.01.2005, 14:21

Hallo Fischdarm, dass ist der log

Logfile of HijackThis v1.99.0
Scan saved at 14:22:46, on 30.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\NORTON INTERNET SECURITY\ISSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

fischdarm · 30.01.2005, 14:43

In Hijackthis fixen:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Ist also net viel Mist auf deinem PC

Scann nochmal mit Spybot durch
http://www.netzwelt.de/news/66350-tu...it-spybot.html

Und Danach am besten nochmal nen Onlinescan machen (deinen scanner vorher deaktivieren)
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Danach dürfte alles wieder sauber sein

Außerdem solltest du vom IE auf Mozilla, Firefox oder Opera umsteigen.
Ist einfach sicherer...
Außerdem wird oft gesagt das Norton nicht grade das beste ist.
Wenn du bereit bist Geld auszugeben, würde ich auf Kaspersky umsteigen. Als Freeware scanner könntest du AntiVir benutzen....

Xerios · 30.01.2005, 21:06

Hi Edmont,

Neben der Profi-Anleitung von Fischdarm kann ich dir folgende Konstellation empfehlen:

- AntiVir Personal Edition -> tägliches Update; du musst allerdings bei der Konfiguration noch ein bischen arbeiten - die Standardeinstellungen sind ein bischen lau
- Eine Freeware Firewall -> ZoneAlarm, Outpost,...die üblichen Verdächtigen eben (auch ZoneAlarm hat bei mir gut funktioniert)
- Ad-Aware
- SpyBot

Damit fahre ich seit Jahren sicher - inclusive Intrusion-Scans.

Viel Erfolg beim Putzen, Xerios

fischdarm · 30.01.2005, 21:49

Bitte auf KEINEN Fall Zonealarm installieren. Das verursacht viel zu viele Fehler..

Edmont · 31.01.2005, 14:02

Hallo,

danke für eure Tips und Hilfe.

Ich habe mit Spybot gescannt und es wurden keine Spione gefunden. Aber die Prüfung mit dem Online-Scanner konnte ich nicht machen. Das Sicherheitszertifikat wurde nicht gefunden.

Dann habe ich mit Norton nochmal gescannt. Er fand folgendes:

DC178.EXE (Ezula)
DC192.EXE (Ezula)
DC248.DLL (Ncase)
DC250 (180 Search)
DD2.EXE (Gator)
DD204.EXE (Ezula)
DD206.EXE (Ezula)
Del83A2.TMP (180 Search)
Del9054.TMP ( 180 Search)
newtonet3_88.dll
saap.exe (Ncase)
saaphook.dll (Ncase)

Newdotnet darf ich nicht entfernen. die Datei ist offensichtlich mit den Browsern verknüpft, oder so. Denn als ich das mal ausprobiert hatte und dann ins Internet wollte (Netscape) wurde die Startseite nicht gefunden. Genau so war es bei IE. Erst nachdem ich die Datei wieder installiert hatte funktionierte es wieder.

180Search habe ich aus der Registry über jv16 Power Tools gelöscht und die dazugehörigen Dateien kann ich über "Suchen" finden und dann löschen, oder empfiehlt ihr mir einen anderen Weg?

Auch die Dateien zu "saap" und dotar.lgc kann ich auf diese Weise entfernen. Dotar ist im Windows/applog.

Dort sind auch noch andere Dateien von Programmen, die ich mal installiert hatte, aber wieder deinstalliert habe. Trotzdem sind dort noch Dateien zu finden. Kann ich die löschen?

EScan habe ich auch nochmal benutzt. Hier ist das, was mich dabei am meisten an den gefundenen Dingen beunruhigt:

Windows\System\SHAgentNew infected by Adware Sahat.a

Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox
infected by: Trojan.Win32.Dialer.cu

C:\Programme\Netscape\User\...\Mail\Trash
infected by: l-Worm.Sircam.c

Recycled\DD5\goin.exe
infected by: Porn-Dialer.Win32.generic

Sicherung\Programme\Netscape\Users\...\Mail\Trash
infected by: l-Worm.Sircam.c

Sicherung/Windows/System/goinuninstall.exe
infected by: Porn-Dialer.Win32.generic

eScan fand insgesamt 48 Viren (bei den meisten stand jedoch "not-a-virus" daneben) und 10 Fehler. Was heißt eigentlich Fehler?

Ihr schreibt mir, das Norton nicht der beste ist. Welcher ist denn von den im Handel erhältlichen der beste Scanner? Kaspersky wollte ich mir zur Zeit nicht kaufen, da ich gerade erst Norton gekauft habe.

Kann denn Kaspersky das gleiche wie Norton Internet Security 2005 oder das Programm, was McAfee für dieses Jahr draußen hat?

Gruß

Edmont

fischdarm · 31.01.2005, 19:51

Probier als Onlinescanner noch mal das
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Wenn das auch net geht, ignorier das fehlende Zertifikat...
Das ist sicher.

Kaspersky ist dem Norton Virenscanner auf jeden Fall überlegen.
Als Firewall ersatz könntest du [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] nehmen (Für den privaten Einsatz kostenlos).
Ist sonst noch was dabei, was du umbedingt brauchst?

Zu Newdotnet
Über System=>Software deinstallieren.

Verschieb die Schädlingsdatein erstmal in ein anderes Verzeichnis (Oder mach ein Archiv draus.) Guck dann ob alles noch ohne Probleme läuft und lösch sie dann. Aufpassen das du alles entfernst, sonst ist es nacher wieder da.

Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox
infected by: Trojan.Win32.Dialer.cu
Scheint irgendeine Email in deinem Posteingan zu sein.
Guck mal nach verdächtigen Mails durch

C:\Programme\Netscape\User\...\Mail\Trash
infected by: l-Worm.Sircam.c
Leer mal den Papierkorb in deinem Mailprogramm.

Recycled\DD5\goin.exe
infected by: Porn-Dialer.Win32.generic
Papierkorb leeren, ansonsten manuell nach der Datei suchen und löschen (vorher wieder wie oben verschieben)

Sicherung\Programme\Netscape\Users\...\Mail\Trash
infected by: l-Worm.Sircam.c
s. nr 1

Sicherung/Windows/System/goinuninstall.exe
infected by: Porn-Dialer.Win32.generic
Manuell löschen (wie vorher beschrieben)

Danach nochmal scannen und den Log hier posten.
Am besten auch nochmal mit Hijackthis scannen.

Edmont · 01.02.2005, 13:35

Hallo,

Ich habe nun alle Dateien, die man manuell löschen kann auf Diskette verschoben.

Bisher läuft anscheinend alles gut.

Nur Search-Assistand kann ich nicht kopieren, da der Ordner Dateien enthält, die zu groß sind für die Diskette.

Es gibt zwar unter Systemsteuerung, Software einen Punkt "My Search Bar", aber ich bin nichtr sicher, ob das der Search-Assistant ist. Dann bin ich auch nicht sicher, ob nach dem deinstallieren noch alles läuft.

Denn bei Newdotnet hatte ich das Programm über Software deinstalliert. Und danach konnte ich eben icht mehr ins Netz. also habe ich NewDotnet wieder installiert. (Das war am Wochenende)

Was mache ich denn mit den anderen Dateien. Die können über suchen nicht gefunden werden.

Was Panda betrifft: Ich hab es versucht. Über Netscape läuft das nicht und bei IE dauert es offensichtlich sehr lange bis die Komponenten geladen sind.

Hier sind nochmal die Dateien, die Norton gefunden hatte:

DC178.EXE (Ezula)
DC192.EXE (Ezula)
DC248.DLL (Ncase)
DC250 (180 Search)
DD2.EXE (Gator)
DD204.EXE (Ezula)
DD206.EXE (Ezula)
Del83A2.TMP (180 Search)
Del9054.TMP ( 180 Search)
newtonet3_88.dll
saap.exe (Ncase)
saaphook.dll (Ncase)

+

Hallo,

hier ist der aktuelle Blog von Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 13:17:41, on 01.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\NORTON INTERNET SECURITY\ISSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\NETSCAPE\NETSCAPE\NETSCP.EXE
D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
Gruß
Edmont

fischdarm · 01.02.2005, 15:08

Zu Newdotnet
Nochmal Deinstallieren und dann das hier ausprobieren
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Verschieb die Sachen die Norton gefunden hat in den Quarantäne Ordner.
Und war das ein neuer Scann?
Oder einfach nur der alte?

Dieses "My Search bar" auch deinstallieren.
Nachdem du das deinstalliert hast, nochmal folgende Einträge in hijackthis fixen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Und du musst die Dateien nicht auf Diskette verschieben,
Ein anderer Ordner reicht meistens.
Und guck mal Systemsteuerung => Software nach den Namen Suchen die Norton dir angezeigt hat und gegebenenfalls deinstallieren.
Und guck außerdem nach Namen die dir verdächtig erscheinen.
Also von denen du keine Ahnung hast was sie machen.
Dann mal den Namen hier posten...

Zu deiner PM

Zitat:

a)Was hältst du denn von McAfee?

Also gutes hört man nicht umbedingt.....

Zitat:

b) Kann Kaspersky auch gefundene Dateien, die in die Quarantäne geschickt wurde auch an ein Prüfungslabor schicken?

Ich nehme es mal stark an.
Sicher sagen kann ich es aber nicht.
Schüler => Hab kein Geld für nen Virenscanner

Edmont · 01.02.2005, 21:02

Hallo,

ich habe Search-Assistant in den Papierkorb verschoben und gelöscht. Newdotnet habe ich uninstalliert. In dem Ordner von Newdotnet war eine Funktion zum deinstallieren.

Ich habe das Programm, wo der link hin führte, auch ausgeführt.
Vielleicht hätte ich das gar nicht gebraucht. Denn auch nach der Deinstallierung hat das Netz wieder funktioniert.

MySearchbar kann ich leider nicht deinstallieren. Ich erhalte die Nachricht:
Fehler beim Laden von C:\Progra~1\MYSEARCHBAR\2.BIN\s4bar.dll
Der angegeben Pfad wurde nicht gefunden.

Dann habe ich über Regedit in der Registrierung gesucht. Leider findet der dort noch Einträge von: DD2.EXE, saap.exe, New.Net (Inhalt: Standart Wert nicht gesetzt), Search-Assistant (Verzeichnes Doc find Spec MRU), Newdotnet, DD2.EXE (Name "DD2.EXE") und leider auch von Programmen, die ich gelöscht bzw. deinstalliert hatte. Kann ich die da normal löschen?

Das hier sind die neuen Namen vom Norton Scan:

Del83A2.TMP (180 Search) in C:\Windows\Temp
Del9054.TMP ( 180 Search) in C:\Windows\Temp

aber ich finde die über die "suchen"-Funktion nicht über "Software".

Was meinst du denn mit bei Hijackthis "fixen"?

Was habe ich mit dem Programm von dem link eigentlich gemacht?

Gruß

Edmont

fischdarm · 01.02.2005, 21:37

Zitat:

Zitat von Edmont

Newdotnet habe ich uninstalliert. In dem Ordner von Newdotnet war eine Funktion zum deinstallieren.

Seltsam.
Software müsste eigentlich genau den selben uninstaller aufrufen..

Zitat:

Zitat von Edmont

MySearchbar kann ich leider nicht deinstallieren. Ich erhalte die Nachricht:
Fehler beim Laden von C:\Progra~1\MYSEARCHBAR\2.BIN\s4bar.dll
Der angegeben Pfad wurde nicht gefunden.

Das hast du wohl manuell gelöscht..
such nochmal in registry und Dateisystem nach "MYSEARCHBAR" und alles löschen was du findest (my search bar auch ausprobieren).

Zitat:

Zitat von Edmont

Dann habe ich über Regedit in der Registrierung gesucht. Leider findet der dort noch Einträge von: DD2.EXE, saap.exe, New.Net (Inhalt: Standart Wert nicht gesetzt), Search-Assistant (Verzeichnes Doc find Spec MRU), Newdotnet, DD2.EXE (Name "DD2.EXE") und leider auch von Programmen, die ich gelöscht bzw. deinstalliert hatte. Kann ich die da normal löschen?

Alles löschen

Zitat:

Zitat von Edmont

Das hier sind die neuen Namen vom Norton Scan:

Del83A2.TMP (180 Search) in C:\Windows\Temp
Del9054.TMP ( 180 Search) in C:\Windows\Temp

Auch manuell löschen

Zitat:

Zitat von Edmont

Was meinst du denn mit bei Hijackthis "fixen"?

In Hijackthis nach dem scannen ein Häckchen bei dem Eintrag machen und dann unten auf "Fix checked" klicken

Zitat:

Zitat von Edmont

Was habe ich mit dem Programm von dem link eigentlich gemacht?

Adware programme verändern hin und wieder was im winsock (Schnittstelle für Programme um ins Internet zu kommen), um sich dazwischen zu schalten...
Und wenn sie sich dann nicht sauber deinstallieren, muss man daswieder fixen

Schau noch mal in diesen Pfaden nach (da sind die Programme drinne die automatisch starten)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce

Guck nochmal nach Auffälligkeiten durch..
was du net kennst posten.

Und wenn du alles gemacht hast, nochmal norton + escanlog posten
(Damit dann sicher alles weg ist).

Edmont · 02.02.2005, 13:23

Hallo,

in der Registry finde ich für MYSEARCHBAR nur einen Ordner, der als Namen eine lange Reihe von Zahlen und Buchstaben hat.
Er beinhaltet: Standard "MySearchBarNetscapeShutdownClass" und folgende Unterordner:

InprocServer32 Standard "C:\Programme\MYSEARCH\BAR\1.BIN\S4BAR.D.."
ThreadingModel "Apartment"

ProgID Standard "MySearchToolBar.NetscapeShutdown.1"

Programmable Standard Wert nicht gesetzt

TypeLib "(014DA6C0-189F-421aa88CD-07CFE51CFF10)

VersionIndependentProgID Standard "MySearchToolBar.NetscapeShutdown"

Das Sind die Werte, die ich unter den HKeys finde, die du genannt hast:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

New.net Startup "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.D...

saap c:\programme\search-assistant\saap.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce

Standard Wert nicht gesetzt

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Standard Wert nicht gesetzt
Skype ""D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimiz...

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce

Standard Wert nicht gesetzt
ICQ Lite "D:\PROGRAMME\ICQLITE.EXE -trayboot"

Was die anderen betrifft

Ich finde im Ordner HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nversion\Explorer\Doc Find Spec folgendes

Standard wert nicht gesetzt
a ""
b "DVD"
c "DVD+trial"
d "Hijack"
e "newdotnet"
f "saap"
g "Search"
h "Del9054.TMP"
i "Del83A2.TMP"
j "cliprex"
kMRUList "hiabdjfgce

Das scheint eine Liste zu sein von allen Namen, die ich gesucht habe über "suchen". Soll ich die löschen?

Folgende Ordner habe ich gelöscht:

HKEY_CURRENT_USER\Software\New.net

Standard Wert nicht gesetzt

Unter HKEY_CLASSES_ROOT\CLSID\(Name wieder zu lang)

Odner enthält Standard "URLLink Class"

InprocServer32
Standard "C:\Programme\NewDotNet\newdotnet6_38.dll"
Threading Model "Apartment"

ProgID
Standard "Tldctl2.URLLink.1"

Programmable
Standard Wert nicht gesetzt

TypeLib "(DD521A10-1F98-11D-9676-00E018981B9E)

VersionIndependentProgID
Standart "Tldctl2.URLLink"

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectDraw\C ompatibility\DemolitionDerby2

Standard Wert nicht gesetzt
Flags 01 00 00 00
ID 44 83 88 32
Name "DD2.EXE" (nur DD2.EXE gelsöcht)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrdner\StartMenu\&Programs\ Egmont

Standard Wert nicht gesetzt
Ordner 08 00 00 00 02 00 00 00 7e 00 00 00 01 00 00 00 02 00

Dann habe ich noch Ordner unter dem selben Verzeichnis gelöscht von den Programmen DVDGenie, Cliprex, WinDVD5, WinDVD6, WinDVD Platin

Norton und eScan habe ich noch nicht gemacht.

Gruß

Edmont

+

Hallo,

wollte nur nochmal ergänzen, dass ich noch nicht die Dinge gefixt habe mit Hijack, die du mir angegeben hast. Den Norton-Scan habe ich auch noch nicht
gemacht.

Und was eScan betrifft: Meinst du damit die Anzeige des Ergebnisses oder das was er gescannt hat.
Die ergebnisanzeige kann ich nicht posten. Da habe ich beim letzten mal alles per Hand abgeschrieben.

Gruß

Edmont

fischdarm · 02.02.2005, 16:05

Kannst du vielleicht den "ändern" Button benutzen, wenn du noch etwas hinzufügen willst?
sonst wird das ganze so unübersichtlich.

Zitat:

in der Registry finde ich für MYSEARCHBAR nur einen Ordner, der als Namen eine lange Reihe von Zahlen und Buchstaben hat.
Er beinhaltet: Standard "MySearchBarNetscapeShutdownClass" und folgende Unterordner:

InprocServer32 Standard "C:\Programme\MYSEARCH\BAR\1.BIN\S4BAR.D.."
ThreadingModel "Apartment"

ProgID Standard "MySearchToolBar.NetscapeShutdown.1"

Programmable Standard Wert nicht gesetzt

TypeLib "(014DA6C0-189F-421aa88CD-07CFE51CFF10)

VersionIndependentProgID Standard "MySearchToolBar.NetscapeShutdown"

Löschen und außerdem nach dem "C:\Programme\MYSEARCH\BAR\1.BIN\S4BAR.D.." Ordner gucken und dann auch löschen.

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
New.net Startup "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.D...
saap c:\programme\search-assistant\saap.exe

Löschen...

Der rest ist nicht schlimm.
Also da lassen

Zitat:

Ich finde im Ordner HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nversion\Explorer\Doc Find Spec folgendes

Standard wert nicht gesetzt
a ""
b "DVD"
c "DVD+trial"
d "Hijack"
e "newdotnet"
f "saap"
g "Search"
h "Del9054.TMP"
i "Del83A2.TMP"
j "cliprex"
kMRUList "hiabdjfgce

Das scheint eine Liste zu sein von allen Namen, die ich gesucht habe über "suchen". Soll ich die löschen?

Also
e "newdotnet"
f "saap"
g "Search"
h "Del9054.TMP"
i "Del83A2.TMP"
Auf jeden Fall löschen. Beim Rest weiß ich nicht wirklich was das ist

Zitat:

Norton und eScan habe ich noch nicht gemacht.

Dann tu das

Zitat:

Und was eScan betrifft: Meinst du damit die Anzeige des Ergebnisses oder das was er gescannt hat.
Die ergebnisanzeige kann ich nicht posten. Da habe ich beim letzten mal alles per Hand abgeschrieben.

die Ergebnisanzeige...
Schreib einfach nur die wichtigen Sachen ab.
Ist aber wichtig um zu schauen ob denn jetzt auch alles weg ist.

Edmont · 02.02.2005, 20:14

Hallo,

also Norton hat nichts gefunden.

Aber ein Newdotnet-Ordner war noch über suche zu finden. Ich habe bereist uninstall benutzt und den Ordner in den Papierkorb geschoben. Aber ich konnte ihn von dort nicht löschen.
Der Zugriff auf newdotnet6_38 wurde verweigert. Das hat sich aber auch erledigt, nachdem ich eine von EScan gefunden Uninstalldatei benuttz habe und neugestartet habe.

In der Registry waren aber noch Einträge unter "MYSEARCH" zufinden. Zum Beispiel uach unter Netscape\Automation Shutdown und Netscape\Automation StartUp, MySearchAssistant BHO, MySearchBaruickView. Insgesamt habe ich jetzt 20 Registry-sicherungsdateien.

eScan fand folgendes:

C:\Windows\Command\EBD\EBD.CAB tagged as not-a-virus: Tool.DOS.Restart No Action Taken
C:\Windows\Anwendungsdaten\Mozilla\Profiles\defaul t\y5dw2dek.slt\Mail\pop3.web-4.de\Inbox infected by "Trojan.Win32.Dialer.cu" Action Taken: No Action Taken
C:\Recycled\DC27\newdotnet6_38.dll "not-a-virus Adware.NewDotNet" Action Taken: No Action Taken wieso dass denn? Der Papierkorb ist von mir vorher geleert worden.
C:\Eigene Dateien\installierung\plugin_nwc2browser175b.exe "not-a-virus: Tool.Win32.Reboot"
C:\Norton Internet Security\Norton AntiVirus\Quarantine\291D00EC......nach fund gelöscht
D:\Win98\Win98\EBD.CAB Tool.DOS.Restart
D:\Win98\Win98\OLS\AOL\AOL40DE.EXE Tool.Win.32.Reboot
D:\Programme\Netscape\Users\edmont\Mail\Trash infected by "l-Woem.Sircam.c"Virus
D:\Sicherung\Programme\YDKJ\Uninst.exe Tool.Win.32.Reboot
D:\Sicherung\Programme\Netscape\Users\edmont\Mail\ Trash "l-woem.Sircam.c"
D:\Sicherung\Programme\Bezerk\JackNetshow\Jackunin stall.exe Tool.Win32.Reboot
D:\Sicherung\Eigne Dateien\napv2bl.exe Tool.win32.Reboot
D:\Sicherung\Eigene Dateien\Bildschirmschoner\wildsw.exe AdWare.SaveNow.k
D:\Sicherung\QTWTMP.TMP\JACKinstall.exe Tool.Win32.Reboot (vor dem Q fehlt eine geschl. Linie)
D:\Sicherung\QTWTMP.TMP\NetSonic.exe Tool.Win32.Reboot ( " )
D:\Sicherung\Windows\Temporary Internet Files\Content.IE5\2HGVA7UH\comet(1).cab AdWare.Comet.d
D:\Sicherung\Windows\Temporary Internet Files\Content.ID5\4HI3GLQJ\freedownload(1).cab Porn-Dialer.Win32.Generic
D:\Sicherung\Windows\Command\EBD\EBD.CAB Tool.DOS.Restart
D:\Sicherung\Windows\System\WEbOut.exe Tool.Win32.Reboot
D:\Sicherung\Windows\System\msjpcsv.exe AdWare.Aureate
D:\Sicherung\Windows\System\ipcclient.dll AdWare.Aureate
D:\Sicherung\Windows\System\htmdeng.exe AdWare.Aureate
D:\Sicherung\Windows\System\Kuss.scr GreetingCard.PySoft
D:\Sicherung\winter\uninstal.exe Tool.Win32.Reboot
D:\Sicherung\falling_leaves_eu.exe AdWare.SaveNow.q
D:\wintersw.exe AdWare.SaveNow.e
D:\winter.exe Tool.Win32.Reboot
D:\winter\uninstal.exe Tool.win32.Reboot
D:\noteworthy\nwpsetup.exe Tool.Win32.Reboot

Einige AdWares sind hiervon Bildschirmschonern, die ich mir von Bildschirmschoner.de heruntergeladen habe (Bildschirmschoner\wildsw.exe , winter\uninstal.exe, falling_leaves_eu.exe, wintersw.exe, winter\uninstal.exe).

Aber wie in dem Ordner pop3.web-4.de\Inbox ein Virus sein kann verstehe ich nicht. Welche kann denn da gemeint sein? Da ist nur eine mit einer von meinem Vater geschriebener Worddatei drin. Und eine von einer Bekannten, bei der eine Grafik mit dabei ist.

Und das mit dem Netscape\Users\edmont\Mail\Trash verstehe ich auch nicht. Der Ordner ist nämlich leer. Den habe vorher geleert.

napv2bl.exe ist die Installationsdatei von Napster. Napster habe ich sowieso nicht mehr auf dem PC. Dann kann ich das quasi löschen. Muss ich da in der Registry gucken?

Ich habe auch die Dinge, wo du mir sagtest ich solle die über Hijackthis fixen noch nicht gefixt.

Gruß

Edmont

+

äh, ich habd a noch 2 fragen.

Gerade, als ich eine Seite im Netz geladen hatte kam von norton die übliche Anfrage, ob man den Internetzugriff von ActiveX zulassen soll. aber anstatt auf "zulasssen zu klicken habe ich unten in der Leiste das Fenster geschlossen.

Kannst du mir sagen, wie oder wo ich das einstellen kann, dass er diese Seite wieder abfragt?

Dann habe ich noch eine Frage. Ich hatte mit letzten den kostenlosen DVD Player von Cliprex runtergeladen. Ich braucht den, für die DVDs von Gamestar.
IM Luaf der Korrekturen der unerwümschten Dateien habe ich den vorsichtshalber gelöscht. Ich möchte mir gerne wieder einen solchen kostenlosen Player runterladen, aber ich fürchte, dass ich damit wieder eine dieser unangenehmen Adwares runterlade.

Kennst du vielleicht nocvh andere DVD Player?

12:39 Uhr 03.02.05

Ich hab gerade nochmal Search & Destroy scannen lassen,. Das Programm findet:

n-Case: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\saap

--- Spybot - Search && Destroy version: 1.3 ---
2004-11-29 Includes\Cookies.sbi
2005-01-27 Includes\Dialer.sbi
2005-01-27 Includes\Hijackers.sbi
2005-01-11 Includes\Keyloggers.sbi
2005-01-27 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2005-01-27 Includes\Spybots.sbi
2005-01-27 Includes\Trojans.sbi
2004-05-12 Includes\LSP.sbi
2004-11-29 Includes\Tracks.uti
2004-08-11 Includes\plugin-ignore.ini

Soll ich das über dasselbe Programmlöschen? Oder empfiehlst du was anderes?

Edmont

fischdarm · 04.02.2005, 13:15

Zitat:

Zitat von Edmont

also Norton hat nichts gefunden.

Na bitte.
Das erste Problem ist gelöst

Zitat:

Zitat von Edmont

C:\Windows\Command\EBD\EBD.CAB tagged as not-a-virus: Tool.DOS.Restart No Action Taken
C:\Windows\Anwendungsdaten\Mozilla\Profiles\defaul t\y5dw2dek.slt\Mail\pop3.web-4.de\Inbox infected by "Trojan.Win32.Dialer.cu" Action Taken: No Action Taken
C:\Recycled\DC27\newdotnet6_38.dll "not-a-virus Adware.NewDotNet" Action Taken: No Action Taken wieso dass denn? Der Papierkorb ist von mir vorher geleert worden.
C:\Eigene Dateien\installierung\plugin_nwc2browser175b.exe "not-a-virus: Tool.Win32.Reboot"
C:\Norton Internet Security\Norton AntiVirus\Quarantine\291D00EC......nach fund gelöscht
D:\Win98\Win98\EBD.CAB Tool.DOS.Restart
D:\Win98\Win98\OLS\AOL\AOL40DE.EXE Tool.Win.32.Reboot
D:\Programme\Netscape\Users\edmont\Mail\Trash infected by "l-Woem.Sircam.c"Virus
D:\Sicherung\Programme\YDKJ\Uninst.exe Tool.Win.32.Reboot
D:\Sicherung\Programme\Netscape\Users\edmont\Mail\ Trash "l-woem.Sircam.c"
D:\Sicherung\Programme\Bezerk\JackNetshow\Jackunin stall.exe Tool.Win32.Reboot
D:\Sicherung\Eigne Dateien\napv2bl.exe Tool.win32.Reboot
D:\Sicherung\Eigene Dateien\Bildschirmschoner\wildsw.exe AdWare.SaveNow.k
D:\Sicherung\QTWTMP.TMP\JACKinstall.exe Tool.Win32.Reboot (vor dem Q fehlt eine geschl. Linie)
D:\Sicherung\QTWTMP.TMP\NetSonic.exe Tool.Win32.Reboot ( " )
D:\Sicherung\Windows\Temporary Internet Files\Content.IE5\2HGVA7UH\comet(1).cab AdWare.Comet.d
D:\Sicherung\Windows\Temporary Internet Files\Content.ID5\4HI3GLQJ\freedownload(1).cab Porn-Dialer.Win32.Generic
D:\Sicherung\Windows\Command\EBD\EBD.CAB Tool.DOS.Restart
D:\Sicherung\Windows\System\WEbOut.exe Tool.Win32.Reboot
D:\Sicherung\Windows\System\msjpcsv.exe AdWare.Aureate
D:\Sicherung\Windows\System\ipcclient.dll AdWare.Aureate
D:\Sicherung\Windows\System\htmdeng.exe AdWare.Aureate
D:\Sicherung\Windows\System\Kuss.scr GreetingCard.PySoft
D:\Sicherung\winter\uninstal.exe Tool.Win32.Reboot
D:\Sicherung\falling_leaves_eu.exe AdWare.SaveNow.q
D:\wintersw.exe AdWare.SaveNow.e
D:\winter.exe Tool.Win32.Reboot
D:\winter\uninstal.exe Tool.win32.Reboot
D:\noteworthy\nwpsetup.exe Tool.Win32.Reboot

Alle Dateien an die du so rankommst verschieben und dann eventuell später löschen.
Außerdem solltest du die im IE die "temporary internet files" löschen.

Wegen den leeren Ordnern.
Stell in den Ordneroptionen ein, das versteckte Dateien angezeigt werden sollen und schau nochmal nach...

Zitat:

Zitat von Edmont

napv2bl.exe ist die Installationsdatei von Napster. Napster habe ich sowieso nicht mehr auf dem PC. Dann kann ich das quasi löschen. Muss ich da in der Registry gucken?

Nein
nur die Datei löschen

Zitat:

Zitat von Edmont

Gerade, als ich eine Seite im Netz geladen hatte kam von norton die übliche Anfrage, ob man den Internetzugriff von ActiveX zulassen soll. aber anstatt auf "zulasssen zu klicken habe ich unten in der Leiste das Fenster geschlossen.

Kannst du mir sagen, wie oder wo ich das einstellen kann, dass er diese Seite wieder abfragt?

Ich denke Internetoptions=>Security=>Trusted/untrusted Sites

Bin mir aber nicht sicher.
Hab den IE nie wirklich benutzt.

Würde dir auch raten auf Mozilla/Firefox oder Opera umzusteigen...
Ist einach sicherer.
Und wenn du das nicht willst, ActivX zumindest zu deaktivieren.

Zitat:

Zitat von Edmont

Dann habe ich noch eine Frage. Ich hatte mit letzten den kostenlosen DVD Player von Cliprex runtergeladen. Ich braucht den, für die DVDs von Gamestar.
IM Luaf der Korrekturen der unerwümschten Dateien habe ich den vorsichtshalber gelöscht. Ich möchte mir gerne wieder einen solchen kostenlosen Player runterladen, aber ich fürchte, dass ich damit wieder eine dieser unangenehmen Adwares runterlade.

Kennst du vielleicht nocvh andere DVD Player?

Der Mplayer kann DVDs abspielen.
Leider ohne Menü etc.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

Der VLC müsste auch DVDs abspielen
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
ob Menüs etc unterstützt werden, weiß ich nicht.

Zitat:

Zitat von Edmont

Ich hab gerade nochmal Search & Destroy scannen lassen,. Das Programm findet:
n-Case: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\saap

--- Spybot - Search && Destroy version: 1.3 ---
2004-11-29 Includes\Cookies.sbi
2005-01-27 Includes\Dialer.sbi
2005-01-27 Includes\Hijackers.sbi
2005-01-11 Includes\Keyloggers.sbi
2005-01-27 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2005-01-27 Includes\Spybots.sbi
2005-01-27 Includes\Trojans.sbi
2004-05-12 Includes\LSP.sbi
2004-11-29 Includes\Tracks.uti
2004-08-11 Includes\plugin-ignore.ini
Soll ich das über dasselbe Programmlöschen? Oder empfiehlst du was anderes?

jup
alles in Spybot löschen

Sry das die antwort so lange gebraucht hat.
Hatte gestern keine Zeit für nen langen Beitrag

dervirus · 04.02.2005, 13:33

29.01.2005, 18:48	#1 (permalink)
Edmont wohnt im Forum Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Frage Hallo, ich habe da eine Frage. Ich habe vorhin schon eScan benutzt und wollte die gefundenen Viren bzw. Adware Programme hier per copy und paste reinschreiben, aber das geht nicht. Könnt ihr mir sagen, wie ihr das macht? Ich hab da nämlich einege Adware Programme, wo ich Hilfe bräuchte. Gruß Edmont

30.01.2005, 14:21	#3 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Das ist der log Hallo Fischdarm, dass ist der log Logfile of HijackThis v1.99.0 Scan saved at 14:22:46, on 30.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\NORTON INTERNET SECURITY\ISSVC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

30.01.2005, 21:06	#5 (permalink)
Xerios einmal ist keinmal Registriert seit: 30.01.2005 Beiträge: 6 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	Die Zigarette danach - aehh Schutzlösung danach - kostenlos Hi Edmont, Neben der Profi-Anleitung von Fischdarm kann ich dir folgende Konstellation empfehlen: - AntiVir Personal Edition -> tägliches Update; du musst allerdings bei der Konfiguration noch ein bischen arbeiten - die Standardeinstellungen sind ein bischen lau - Eine Freeware Firewall -> ZoneAlarm, Outpost,...die üblichen Verdächtigen eben (auch ZoneAlarm hat bei mir gut funktioniert) - Ad-Aware - SpyBot Damit fahre ich seit Jahren sicher - inclusive Intrusion-Scans. Viel Erfolg beim Putzen, Xerios

31.01.2005, 14:02	#7 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Danke Hallo, danke für eure Tips und Hilfe. Ich habe mit Spybot gescannt und es wurden keine Spione gefunden. Aber die Prüfung mit dem Online-Scanner konnte ich nicht machen. Das Sicherheitszertifikat wurde nicht gefunden. Dann habe ich mit Norton nochmal gescannt. Er fand folgendes: DC178.EXE (Ezula) DC192.EXE (Ezula) DC248.DLL (Ncase) DC250 (180 Search) DD2.EXE (Gator) DD204.EXE (Ezula) DD206.EXE (Ezula) Del83A2.TMP (180 Search) Del9054.TMP ( 180 Search) newtonet3_88.dll saap.exe (Ncase) saaphook.dll (Ncase) Newdotnet darf ich nicht entfernen. die Datei ist offensichtlich mit den Browsern verknüpft, oder so. Denn als ich das mal ausprobiert hatte und dann ins Internet wollte (Netscape) wurde die Startseite nicht gefunden. Genau so war es bei IE. Erst nachdem ich die Datei wieder installiert hatte funktionierte es wieder. 180Search habe ich aus der Registry über jv16 Power Tools gelöscht und die dazugehörigen Dateien kann ich über "Suchen" finden und dann löschen, oder empfiehlt ihr mir einen anderen Weg? Auch die Dateien zu "saap" und dotar.lgc kann ich auf diese Weise entfernen. Dotar ist im Windows/applog. Dort sind auch noch andere Dateien von Programmen, die ich mal installiert hatte, aber wieder deinstalliert habe. Trotzdem sind dort noch Dateien zu finden. Kann ich die löschen? EScan habe ich auch nochmal benutzt. Hier ist das, was mich dabei am meisten an den gefundenen Dingen beunruhigt: Windows\System\SHAgentNew infected by Adware Sahat.a Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox infected by: Trojan.Win32.Dialer.cu C:\Programme\Netscape\User\...\Mail\Trash infected by: l-Worm.Sircam.c Recycled\DD5\goin.exe infected by: Porn-Dialer.Win32.generic Sicherung\Programme\Netscape\Users\...\Mail\Trash infected by: l-Worm.Sircam.c Sicherung/Windows/System/goinuninstall.exe infected by: Porn-Dialer.Win32.generic eScan fand insgesamt 48 Viren (bei den meisten stand jedoch "not-a-virus" daneben) und 10 Fehler. Was heißt eigentlich Fehler? Ihr schreibt mir, das Norton nicht der beste ist. Welcher ist denn von den im Handel erhältlichen der beste Scanner? Kaspersky wollte ich mir zur Zeit nicht kaufen, da ich gerade erst Norton gekauft habe. Kann denn Kaspersky das gleiche wie Norton Internet Security 2005 oder das Programm, was McAfee für dieses Jahr draußen hat? Gruß Edmont Geändert von Edmont (31.01.2005 um 14:18 Uhr)

01.02.2005, 13:35	#9 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Folgendes habe ich bisher gemacht Hallo, Ich habe nun alle Dateien, die man manuell löschen kann auf Diskette verschoben. Bisher läuft anscheinend alles gut. Nur Search-Assistand kann ich nicht kopieren, da der Ordner Dateien enthält, die zu groß sind für die Diskette. Es gibt zwar unter Systemsteuerung, Software einen Punkt "My Search Bar", aber ich bin nichtr sicher, ob das der Search-Assistant ist. Dann bin ich auch nicht sicher, ob nach dem deinstallieren noch alles läuft. Denn bei Newdotnet hatte ich das Programm über Software deinstalliert. Und danach konnte ich eben icht mehr ins Netz. also habe ich NewDotnet wieder installiert. (Das war am Wochenende) Was mache ich denn mit den anderen Dateien. Die können über suchen nicht gefunden werden. Was Panda betrifft: Ich hab es versucht. Über Netscape läuft das nicht und bei IE dauert es offensichtlich sehr lange bis die Komponenten geladen sind. Hier sind nochmal die Dateien, die Norton gefunden hatte: DC178.EXE (Ezula) DC192.EXE (Ezula) DC248.DLL (Ncase) DC250 (180 Search) DD2.EXE (Gator) DD204.EXE (Ezula) DD206.EXE (Ezula) Del83A2.TMP (180 Search) Del9054.TMP ( 180 Search) newtonet3_88.dll saap.exe (Ncase) saaphook.dll (Ncase) + Hallo, hier ist der aktuelle Blog von Hijack: Logfile of HijackThis v1.99.0 Scan saved at 13:17:41, on 01.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\NORTON INTERNET SECURITY\ISSVC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\NETSCAPE\NETSCAPE\NETSCP.EXE D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page= R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Gruß Edmont Geändert von fischdarm (01.02.2005 um 14:52 Uhr)

29.01.2005, 23:54	#2 (permalink)
fischdarm Dauerposter Registriert seit: 02.10.2003 Beiträge: 1.882 Abgegebene Danke: 0 Erhielt 10 Danke für 8 Beiträge	[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] runterladen und dann den Log hier posten.

30.01.2005, 14:43	#4 (permalink)
fischdarm Dauerposter Registriert seit: 02.10.2003 Beiträge: 1.882 Abgegebene Danke: 0 Erhielt 10 Danke für 8 Beiträge	In Hijackthis fixen: R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Ist also net viel Mist auf deinem PC Scann nochmal mit Spybot durch http://www.netzwelt.de/news/66350-tu...it-spybot.html Und Danach am besten nochmal nen Onlinescan machen (deinen scanner vorher deaktivieren) [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Danach dürfte alles wieder sauber sein Außerdem solltest du vom IE auf Mozilla, Firefox oder Opera umsteigen. Ist einfach sicherer... Außerdem wird oft gesagt das Norton nicht grade das beste ist. Wenn du bereit bist Geld auszugeben, würde ich auf Kaspersky umsteigen. Als Freeware scanner könntest du AntiVir benutzen....

30.01.2005, 21:49	#6 (permalink)
fischdarm Dauerposter Registriert seit: 02.10.2003 Beiträge: 1.882 Abgegebene Danke: 0 Erhielt 10 Danke für 8 Beiträge	Bitte auf KEINEN Fall Zonealarm installieren. Das verursacht viel zu viele Fehler..

31.01.2005, 19:51	#8 (permalink)
fischdarm Dauerposter Registriert seit: 02.10.2003 Beiträge: 1.882 Abgegebene Danke: 0 Erhielt 10 Danke für 8 Beiträge	Probier als Onlinescanner noch mal das [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Wenn das auch net geht, ignorier das fehlende Zertifikat... Das ist sicher. Kaspersky ist dem Norton Virenscanner auf jeden Fall überlegen. Als Firewall ersatz könntest du [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] nehmen (Für den privaten Einsatz kostenlos). Ist sonst noch was dabei, was du umbedingt brauchst? Zu Newdotnet Über System=>Software deinstallieren. Verschieb die Schädlingsdatein erstmal in ein anderes Verzeichnis (Oder mach ein Archiv draus.) Guck dann ob alles noch ohne Probleme läuft und lösch sie dann. Aufpassen das du alles entfernst, sonst ist es nacher wieder da. Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox infected by: Trojan.Win32.Dialer.cu Scheint irgendeine Email in deinem Posteingan zu sein. Guck mal nach verdächtigen Mails durch C:\Programme\Netscape\User\...\Mail\Trash infected by: l-Worm.Sircam.c Leer mal den Papierkorb in deinem Mailprogramm. Recycled\DD5\goin.exe infected by: Porn-Dialer.Win32.generic Papierkorb leeren, ansonsten manuell nach der Datei suchen und löschen (vorher wieder wie oben verschieben) Sicherung\Programme\Netscape\Users\...\Mail\Trash infected by: l-Worm.Sircam.c s. nr 1 Sicherung/Windows/System/goinuninstall.exe infected by: Porn-Dialer.Win32.generic Manuell löschen (wie vorher beschrieben) Danach nochmal scannen und den Log hier posten. Am besten auch nochmal mit Hijackthis scannen.

01.02.2005, 21:02	#11 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Antwort Hallo, ich habe Search-Assistant in den Papierkorb verschoben und gelöscht. Newdotnet habe ich uninstalliert. In dem Ordner von Newdotnet war eine Funktion zum deinstallieren. Ich habe das Programm, wo der link hin führte, auch ausgeführt. Vielleicht hätte ich das gar nicht gebraucht. Denn auch nach der Deinstallierung hat das Netz wieder funktioniert. MySearchbar kann ich leider nicht deinstallieren. Ich erhalte die Nachricht: Fehler beim Laden von C:\Progra~1\MYSEARCHBAR\2.BIN\s4bar.dll Der angegeben Pfad wurde nicht gefunden. Dann habe ich über Regedit in der Registrierung gesucht. Leider findet der dort noch Einträge von: DD2.EXE, saap.exe, New.Net (Inhalt: Standart Wert nicht gesetzt), Search-Assistant (Verzeichnes Doc find Spec MRU), Newdotnet, DD2.EXE (Name "DD2.EXE") und leider auch von Programmen, die ich gelöscht bzw. deinstalliert hatte. Kann ich die da normal löschen? Das hier sind die neuen Namen vom Norton Scan: Del83A2.TMP (180 Search) in C:\Windows\Temp Del9054.TMP ( 180 Search) in C:\Windows\Temp aber ich finde die über die "suchen"-Funktion nicht über "Software". Was meinst du denn mit bei Hijackthis "fixen"? Was habe ich mit dem Programm von dem link eigentlich gemacht? Gruß Edmont

02.02.2005, 13:23	#13 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Hallo, in der Registry finde ich für MYSEARCHBAR nur einen Ordner, der als Namen eine lange Reihe von Zahlen und Buchstaben hat. Er beinhaltet: Standard "MySearchBarNetscapeShutdownClass" und folgende Unterordner: InprocServer32 Standard "C:\Programme\MYSEARCH\BAR\1.BIN\S4BAR.D.." ThreadingModel "Apartment" ProgID Standard "MySearchToolBar.NetscapeShutdown.1" Programmable Standard Wert nicht gesetzt TypeLib "(014DA6C0-189F-421aa88CD-07CFE51CFF10) VersionIndependentProgID Standard "MySearchToolBar.NetscapeShutdown" Das Sind die Werte, die ich unter den HKeys finde, die du genannt hast: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run New.net Startup "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.D... saap c:\programme\search-assistant\saap.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce Standard Wert nicht gesetzt HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run Standard Wert nicht gesetzt Skype ""D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimiz... HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce Standard Wert nicht gesetzt ICQ Lite "D:\PROGRAMME\ICQLITE.EXE -trayboot" Was die anderen betrifft Ich finde im Ordner HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nversion\Explorer\Doc Find Spec folgendes Standard wert nicht gesetzt a "" b "DVD" c "DVD+trial" d "Hijack" e "newdotnet" f "saap" g "Search" h "Del9054.TMP" i "Del83A2.TMP" j "cliprex" kMRUList "hiabdjfgce Das scheint eine Liste zu sein von allen Namen, die ich gesucht habe über "suchen". Soll ich die löschen? Folgende Ordner habe ich gelöscht: HKEY_CURRENT_USER\Software\New.net Standard Wert nicht gesetzt Unter HKEY_CLASSES_ROOT\CLSID\(Name wieder zu lang) Odner enthält Standard "URLLink Class" InprocServer32 Standard "C:\Programme\NewDotNet\newdotnet6_38.dll" Threading Model "Apartment" ProgID Standard "Tldctl2.URLLink.1" Programmable Standard Wert nicht gesetzt TypeLib "(DD521A10-1F98-11D-9676-00E018981B9E) VersionIndependentProgID Standart "Tldctl2.URLLink" HKEY_LOCAL_MACHINE\Software\Microsoft\DirectDraw\C ompatibility\DemolitionDerby2 Standard Wert nicht gesetzt Flags 01 00 00 00 ID 44 83 88 32 Name "DD2.EXE" (nur DD2.EXE gelsöcht) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrdner\StartMenu\&Programs\ Egmont Standard Wert nicht gesetzt Ordner 08 00 00 00 02 00 00 00 7e 00 00 00 01 00 00 00 02 00 Dann habe ich noch Ordner unter dem selben Verzeichnis gelöscht von den Programmen DVDGenie, Cliprex, WinDVD5, WinDVD6, WinDVD Platin Norton und eScan habe ich noch nicht gemacht. Gruß Edmont + Hallo, wollte nur nochmal ergänzen, dass ich noch nicht die Dinge gefixt habe mit Hijack, die du mir angegeben hast. Den Norton-Scan habe ich auch noch nicht gemacht. Und was eScan betrifft: Meinst du damit die Anzeige des Ergebnisses oder das was er gescannt hat. Die ergebnisanzeige kann ich nicht posten. Da habe ich beim letzten mal alles per Hand abgeschrieben. Gruß Edmont Geändert von fischdarm (02.02.2005 um 15:50 Uhr)

02.02.2005, 20:14	#15 (permalink)
Edmont wohnt im Forum Threadersteller Registriert seit: 29.01.2005 Beiträge: 128 Abgegebene Danke: 2 Erhielt 0 Danke für 0 Beiträge	Letzter Stand der dinge Hallo, also Norton hat nichts gefunden. Aber ein Newdotnet-Ordner war noch über suche zu finden. Ich habe bereist uninstall benutzt und den Ordner in den Papierkorb geschoben. Aber ich konnte ihn von dort nicht löschen. Der Zugriff auf newdotnet6_38 wurde verweigert. Das hat sich aber auch erledigt, nachdem ich eine von EScan gefunden Uninstalldatei benuttz habe und neugestartet habe. In der Registry waren aber noch Einträge unter "MYSEARCH" zufinden. Zum Beispiel uach unter Netscape\Automation Shutdown und Netscape\Automation StartUp, MySearchAssistant BHO, MySearchBaruickView. Insgesamt habe ich jetzt 20 Registry-sicherungsdateien. eScan fand folgendes: C:\Windows\Command\EBD\EBD.CAB tagged as not-a-virus: Tool.DOS.Restart No Action Taken C:\Windows\Anwendungsdaten\Mozilla\Profiles\defaul t\y5dw2dek.slt\Mail\pop3.web-4.de\Inbox infected by "Trojan.Win32.Dialer.cu" Action Taken: No Action Taken C:\Recycled\DC27\newdotnet6_38.dll "not-a-virus Adware.NewDotNet" Action Taken: No Action Taken wieso dass denn? Der Papierkorb ist von mir vorher geleert worden. C:\Eigene Dateien\installierung\plugin_nwc2browser175b.exe "not-a-virus: Tool.Win32.Reboot" C:\Norton Internet Security\Norton AntiVirus\Quarantine\291D00EC......nach fund gelöscht D:\Win98\Win98\EBD.CAB Tool.DOS.Restart D:\Win98\Win98\OLS\AOL\AOL40DE.EXE Tool.Win.32.Reboot D:\Programme\Netscape\Users\edmont\Mail\Trash infected by "l-Woem.Sircam.c"Virus D:\Sicherung\Programme\YDKJ\Uninst.exe Tool.Win.32.Reboot D:\Sicherung\Programme\Netscape\Users\edmont\Mail\ Trash "l-woem.Sircam.c" D:\Sicherung\Programme\Bezerk\JackNetshow\Jackunin stall.exe Tool.Win32.Reboot D:\Sicherung\Eigne Dateien\napv2bl.exe Tool.win32.Reboot D:\Sicherung\Eigene Dateien\Bildschirmschoner\wildsw.exe AdWare.SaveNow.k D:\Sicherung\QTWTMP.TMP\JACKinstall.exe Tool.Win32.Reboot (vor dem Q fehlt eine geschl. Linie) D:\Sicherung\QTWTMP.TMP\NetSonic.exe Tool.Win32.Reboot ( " ) D:\Sicherung\Windows\Temporary Internet Files\Content.IE5\2HGVA7UH\comet(1).cab AdWare.Comet.d D:\Sicherung\Windows\Temporary Internet Files\Content.ID5\4HI3GLQJ\freedownload(1).cab Porn-Dialer.Win32.Generic D:\Sicherung\Windows\Command\EBD\EBD.CAB Tool.DOS.Restart D:\Sicherung\Windows\System\WEbOut.exe Tool.Win32.Reboot D:\Sicherung\Windows\System\msjpcsv.exe AdWare.Aureate D:\Sicherung\Windows\System\ipcclient.dll AdWare.Aureate D:\Sicherung\Windows\System\htmdeng.exe AdWare.Aureate D:\Sicherung\Windows\System\Kuss.scr GreetingCard.PySoft D:\Sicherung\winter\uninstal.exe Tool.Win32.Reboot D:\Sicherung\falling_leaves_eu.exe AdWare.SaveNow.q D:\wintersw.exe AdWare.SaveNow.e D:\winter.exe Tool.Win32.Reboot D:\winter\uninstal.exe Tool.win32.Reboot D:\noteworthy\nwpsetup.exe Tool.Win32.Reboot Einige AdWares sind hiervon Bildschirmschonern, die ich mir von Bildschirmschoner.de heruntergeladen habe (Bildschirmschoner\wildsw.exe , winter\uninstal.exe, falling_leaves_eu.exe, wintersw.exe, winter\uninstal.exe). Aber wie in dem Ordner pop3.web-4.de\Inbox ein Virus sein kann verstehe ich nicht. Welche kann denn da gemeint sein? Da ist nur eine mit einer von meinem Vater geschriebener Worddatei drin. Und eine von einer Bekannten, bei der eine Grafik mit dabei ist. Und das mit dem Netscape\Users\edmont\Mail\Trash verstehe ich auch nicht. Der Ordner ist nämlich leer. Den habe vorher geleert. napv2bl.exe ist die Installationsdatei von Napster. Napster habe ich sowieso nicht mehr auf dem PC. Dann kann ich das quasi löschen. Muss ich da in der Registry gucken? Ich habe auch die Dinge, wo du mir sagtest ich solle die über Hijackthis fixen noch nicht gefixt. Gruß Edmont + äh, ich habd a noch 2 fragen. Gerade, als ich eine Seite im Netz geladen hatte kam von norton die übliche Anfrage, ob man den Internetzugriff von ActiveX zulassen soll. aber anstatt auf "zulasssen zu klicken habe ich unten in der Leiste das Fenster geschlossen. Kannst du mir sagen, wie oder wo ich das einstellen kann, dass er diese Seite wieder abfragt? Dann habe ich noch eine Frage. Ich hatte mit letzten den kostenlosen DVD Player von Cliprex runtergeladen. Ich braucht den, für die DVDs von Gamestar. IM Luaf der Korrekturen der unerwümschten Dateien habe ich den vorsichtshalber gelöscht. Ich möchte mir gerne wieder einen solchen kostenlosen Player runterladen, aber ich fürchte, dass ich damit wieder eine dieser unangenehmen Adwares runterlade. Kennst du vielleicht nocvh andere DVD Player? 12:39 Uhr 03.02.05 Ich hab gerade nochmal Search & Destroy scannen lassen,. Das Programm findet: n-Case: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\saap --- Spybot - Search && Destroy version: 1.3 --- 2004-11-29 Includes\Cookies.sbi 2005-01-27 Includes\Dialer.sbi 2005-01-27 Includes\Hijackers.sbi 2005-01-11 Includes\Keyloggers.sbi 2005-01-27 Includes\Malware.sbi 2004-11-29 Includes\Revision.sbi 2004-11-29 Includes\Security.sbi 2005-01-27 Includes\Spybots.sbi 2005-01-27 Includes\Trojans.sbi 2004-05-12 Includes\LSP.sbi 2004-11-29 Includes\Tracks.uti 2004-08-11 Includes\plugin-ignore.ini Soll ich das über dasselbe Programmlöschen? Oder empfiehlst du was anderes? Edmont Geändert von Edmont (03.02.2005 um 12:40 Uhr) Grund: 2 Zusatzfragen

04.02.2005, 13:33	#17 (permalink)
dervirus Spambot #DerEwigLetzte Registriert seit: 20.05.2003 Beiträge: 4.898 Abgegebene Danke: 0 Erhielt 5 Danke für 5 Beiträge