ich habe ein problem und leider so ziemlich gar keine ahnung. habe gerade ad-aware auf meinem pc durchlaufen lassen, da das ding immer langsamer wurde und ständig abgestürzt ist. nun konnte da eine menge müll entfernt werden, aber eine datei (?) kann ich nicht entfernen, auch nicht durch antivir. das teil nennt sich: wsem302.dll. was kann ich tun? kann mir jemand helfen? bitte möglichst einfach, da wie gesagt keine ahnung... danke

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This



Gruß Gigamail

ok und danke, ich versuche da mal..kann aber wohl etwas dauern..aufgrund von unwissenheit

lass Dir zeit hier ist rund um die uhr offen



Gruß Gigamail

so, ich hoffe mal, dass ich das einigermaßen richtig gemacht habe und das zu einer Antwort reicht


Logfile of HijackThis v1.99.0
Scan saved at 14:51:46, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Ikgylj\Fqvq.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Mandy Fink\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ndfk.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ndfk.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [MBGroup] C:\BSA\VPMSRun\dll.32\MBGroup.exe C:\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini C:\BSA\VPMSRun\dll.32\mb.log
O4 - HKLM\..\Run: [PLCb] C:\WINDOWS\nqviywqv.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [Stzpcnss] C:\Program Files\Ikgylj\Fqvq.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASG-Agent] C:\ASG-AG~1\ASGAGENT.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: OUTBACK Plus Check.lnk = C:\Programme\OutBackPlus\OutBackPlusCheck.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\bin\W3DBSMGR.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsi...eUploader3.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SuperProServer - Unknown - C:\Programme\SentinelSuperProServer\spnsrvnt.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Zitat:

Zitat von Gigamail

lass Dir zeit hier ist rund um die uhr offen



Gruß Gigamail

aber anscheinend nicht immer gut besetzt, oder?

@lea
diese dateien bei http://virusscan.jotti.org/de
C:\WINDOWS\nqviywqv.exe
C:\Program Files\Ikgylj\Fqvq.exe
überprüfen lassen
bei ebay scheiden sich die geister, es ist ein toolbar der ab und zu zuhause" anruft". viele user wollen den trotzdem im system behalten.

wechsle in den abgesicherten modus und fixe mit HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ndfk.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ndfk.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [Stzpcnss] C:\Program Files\Ikgylj\Fqvq.exe
danach diese dateien manuell löschen
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Ikgylj\Fqvq.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
c:\temp\salm.exe
C:\WINDOWS\nqviywqv.exe
neu booten, neues HJT logfile hier posten, und die ergebnisse von jotti.org posten
chaosman

@ chaosman

danke..klingt erstmal sicher vielversprechend...vorausgesetzt, ich bekomme das je in meinem leben hin...wie gesagt, bin völlig ahnungslos :-/
und bisher sagt mir das auch alles noch nicht viel :-/

@lea
auf diese seite gehen http://virusscan.jotti.org/de
dann auf durchsuchen gehen, die datei markieren, dann auf submit klicken. das ergebnis posten, wenn jotti was findet, danach der nächste datei üsw.
ich weis nicht was der scan bei jotti bringt.
abgesicherten modus, kuckst du hier
http://www.trojaner-board.de/63335-w...s-starten.html

fixen mit HJT= erst HJT scannen lassen, dann die häkchen setzen an die positionen die ich dir gepostet habe, dann fix checked klicken,
dann die angegebene dateien von hand löschen, danach neu booten,
neuer scan HJT hier posten
du schaffst das schon

chaosman

danke, werd mich bemühen

so, teil eins sollte geschafft sein. dies ist das ergebnis:

Service load: 0% 100%

File: Fqvq.exe
Status: INFECTED/MALWARE
Packers detected: PETITE

AntiVir TR/DelProx.A (0.26 seconds taken)
Avast No viruses found (3.09 seconds taken)
BitDefender Trojan.Small.CY (0.35 seconds taken)
ClamAV No viruses found (0.38 seconds taken)
Dr.Web Trojan.DownLoader.1389 (0.54 seconds taken)
F-Prot Antivirus W32/Downloader.AAW (0.07 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Small.cy (0.66 seconds taken)
mks_vir Trojan.Small.Cy.A (0.20 seconds taken)
NOD32 No viruses found (0.45 seconds taken)
Norman Virus Control No viruses found (0.82 seconds taken)

ich mache inzwischen mal weiter...

und das hab ich auch noch gefunden :-/
Service load: 0% 100%

File: grusskarten.ag-gag-10032.exe
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir DIAL/Generic dialer (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.66 seconds taken)
ClamAV Dialer.Stardialer.37 (0.41 seconds taken)
Dr.Web No viruses found (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.74 seconds taken)
Kaspersky Anti-Virus not-a-virus:Porn-Dialer.Win32.Star (0.69 seconds taken)
mks_vir Dialer.Generic.3 (0.62 seconds taken)
NOD32 No viruses found (0.54 seconds taken)
Norman Virus Control No viruses found (1.56 seconds taken)

Statistics

Zitat:

@chaosman danach diese dateien manuell löschen C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Ikgylj\Fqvq.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
c:\temp\salm.exe
C:\WINDOWS\nqviywqv.exe

die eine datei müsstest Du ja dann schon gelöscht haben, was sagt die Auswertung der zweiten?


Gruß Gigamail

die finde ich leider nicht :-/ und vor allem, wo lösche ich die???

die sollte eigentlich nach Deinem Logfile im Ordner Windows stehen