Hilfe Antivir hat mir x-Warnungen und Viren gemeldet

hahnhuhn · 15.01.2005, 16:33

Hai Leute,

ich brauche dringend Hilfe!

Antivir hat mir 136 Warunungen und insgesamt 28 Viren gemeldet.
Habe mit Antivir alles gelöscht. Weiß aber nicht, wie ich an die Archive,
die angeblich befallen sind kommen kann.

Befürchte noch größere Aktivitäten erledigen zu müssen, damit mein PC wieder einigermaßen in der Spur fährt.

Ich habe schon viel von dem Hijack-Teil gelesen, kann mir jemand sagen, wo ich das laden kann und was ich damit tun kann - muß - soll?

Ich danke euch schon jetzt.

hahnhuhn

Haui45 · 15.01.2005, 16:36

Wo wurde was gefunden?
Poste ein HijackThis Logfile:
Download
kurze Beschreibung
ausführliche Beschreibung

cacatoa · 15.01.2005, 16:36

Hi, lade Dir hier HIJackThis runter und gehe nach der Anleitung vor. Poste das Logfile hier rein (einfach kopieren/einfügen).
cacatoa.
P.S. wo hat Antivir was gefunden?

cacatoa · 15.01.2005, 16:37

@ haui
warst um Sekunden schneller...

hahnhuhn · 15.01.2005, 16:50

Da bin ich wieder,
also hab Mr. Hijack gefunden und hier anbei das Log:

Logfile of HijackThis v1.99.0
Scan saved at 16:47:02, on 15.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\COMUNDODIALER.EXE
C:\PROGRAMME\INTERNET EXPLORER\NEU\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\EIGENE DATEIEN\PC_PROBLEME\HIJACK_THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM300.DLL (file missing)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [Registering itss.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

p.s. - großen Respekt allen denjenigen, die damit was anfangen können.

Grüße - hahnhuhn

cacatoa · 15.01.2005, 16:55

Bevor wir uns an die Arbeit machen, lasse bitte die folgenden Dateien bei Jotti online scannen und kopiere das 10-zeilige Ergenis hier rein:
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\WINDOWS\COMUNDODIALER.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE (Ist das Dein HP-Drucker?)
C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll

Bis dann
cacatoa

hahnhuhn · 15.01.2005, 17:12

Hai, cacatoa,

also Jotti hat nix gemeldet.
Ich habe alle Dateien einzeln eingetragen. Bei jeder Datei war der Status o.k.
Der Comundodialer, damit gehe ich ins Netz und der HPZxx - könnte der Drucker sein ist ein HP.
Die Regsvr32 habe ich auch gescannt - war o.k. die Parameter dahinter verstehe ich nicht so ganz. (kann ich die beim Scannen mit eintragen?)

Gruß hahnhuhn

cacatoa · 15.01.2005, 17:15

Hast du bei Jotti auf "Durchsuchen" geclickt, und dann, wenn die Datei gefunden ist, auf submit, oder hast du einfach den Dateinamen eingegeben? Wenn ja, dann nochmal mit durchsuchen von Jotti machen. Ich glaube nicht, daß alle DAteien sauber sind. Wenn doch, dann ist ja gut.
cacatoa

hahnhuhn · 15.01.2005, 17:18

Hallöle,

ich bin auf Durchsuchen gegangen und habe dann auf submit geklickt.
-> ansonsten bringst das ja nicht unten im Status wurde dann auch
immer die jeweilige Datei angzeigt.
-> alles bené?

hahnhuhn

hahnhuhn · 15.01.2005, 17:30

...
bin gleich wieder an -board-

ach, was mir auch noch auffällt, das der PC elend langsam ist
... auch mit einer ISDN-Verbindung verhält er sich wie mit einem 56k Modem.

Gruß hahnhuhn

cacatoa · 15.01.2005, 17:30

Gut, dann fangen wir jetzt an:
Im abgesicherten Modus mit HJT folgendes fixen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM300.DLL (file missing)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

Dann die folgenden Dateien manuell löschen:
C:\WINDOWS\WSEM300.DLL
C:\WINDOWS\NEM220.DLL

Zum Schluß neu booten und neues Logfile posten.
cacatoa

hahnhuhn · 15.01.2005, 17:53

Hey,

also habe im abgesicherten Modus die mitgeteilten Einträge angehakt und gefixt.
Die Dateien wsem300.dll und auch nem220.dll habe ich nicht mehr gefunden (auch nicht in den versteckten Dateien)! - macht das was?

Danach System neu gebootet und jetzt kommt der neue Log-Eintrag:

Logfile of HijackThis v1.99.0
Scan saved at 17:44:57, on 15.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\EIGENE DATEIEN\PC_PROBLEME\HIJACK_THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F1 - win.ini: run=hpfsched
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll

... by the way - wie kann ich gemeldete infizierte Archive-Dateien löschen und warum bekomme ich immer noch die lycos-Startseite, wenn ich ins Internet gehe, obwohl ich google eingetragen habe

... ist da immer noch was faul???

DAnke - hahnhuhn

cacatoa · 15.01.2005, 18:09

Hi, die beiden sind weg.
Das bitte noch im abgesicherten Modus mit HJT fixen: (Ist unnötig und kann spyware enthalten):
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Dann die Datei:
C:\WINDOWS\web\related.htm
manuell löschen.
Ansonsten ist das Log sauber

cacatoa

cacatoa · 15.01.2005, 18:11

Ich nochmal:
Den Quarantäne-Ordner von Antivir leeren.
Hier gibt´s das aktuelle deutsche Handbuch von Antivir.
cacatoa

hahnhuhn · 15.01.2005, 20:02

Hai,

DAnke, DAnke - für die Hilfe.

nettes Wochenende und bis dann - hahnhuhn

Hilfe Antivir hat mir x-Warnungen und Viren gemeldet

Plagegeister aller Art und deren Bekämpfung: Hilfe Antivir hat mir x-Warnungen und Viren gemeldet