Guten Tag ,

Wie Der betreff schon erwähnt ich habe in meinen prozessoren einen " Dumprep.exe" laufen. Was ich unter Google so an Informationen gesammelt habe , verbreitet sich das "Angebliche" Virus durch MSN. Da ich ja selber MSN benutzte fürchte ich, das ich den virus auf meinem system habe.

Wenn ich Spybot durchlaufen lasse und etliche viren zu löschen , Kommt Eine Fehlermeldung , egal mit welchem programm , Ich hörte das versucht das "angebliche" Virus.

Nun Meine Frage...

Wie Lösche ich diesen Virus bzw. wie komm ich ran?

Hier mein Aktuelles HJG _ LOG:

Logfile of HijackThis v1.99.1
Scan saved at 20:27:46, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\rpcss_pl.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\r_server.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\windows\cexpt.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\SQZAE.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\about.htm
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\windows\System32\msasmsn7.dll (file missing)
O2 - BHO: (no name) - {18E789AB-C9C7-C1CA-2763-C95CD121BB5B} - (no file)
O2 - BHO: (no name) - {D9F75A71-C448-3BD9-8C94-7241EFE2EDBF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032805 serial=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [0CMAekdFp] C:\windows\cexpt.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Microsoft AntiSpyware helper - {C6870723-AF14-4E1C-8138-83992F3818C4} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C6870723-AF14-4E1C-8138-83992F3818C4} - (no file) (HKCU)
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D86F3BE8-6EA8-4AD7-B685-BCEC87B3A459}: NameServer = 192.168.0.1
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\g4jo0e13eh.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\windows\System32\rpcss_pl.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Ich danke für Eure hilfe.

Darcson ( Leo )

Hallo,

Zitat:

ich habe in meinen prozessoren einen " Dumprep.exe" laufen.

Die dumprep.exe ist ansich nicht schädlich, siehe http://www.liutilities.com/products/...brary/dumprep/, aber Namen sind nun mal Schall und Rauch.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein System ist nicht up to date! Warum eigentlich?

Zitat:

C:\WINDOWS\System32\r_server.exe

Ist von Dir so gewollt?

Arbeite diesen beiden Links durch:
http://www.lavasoftsupport.com/index...howtopic=54511
http://www.bleepingcomputer.com/foru...tx13090-0.html

Hallo Cidre ,

Ja Das mit dem " R_Server " Ist Gewollt.

Ich habe auch jetzt mal geupdatet.

PS: Cidre ,ich kann kein Englisch , Diese Links Belaufen sich alle auf "englischer "sprache.

Überprüfe zunächst folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\windows\cexpt.exe
C:\windows\System32\rpcss_pl.exe

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run)
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.



Ich mache gleich was du sagst , Guck mal ich bekomme diese meldung wenn ich HJG SCAN drücke.

Hallo ,


Bei Cexpt.exe kommt Das heraus

Auslastung: 0% 100%

Datei: cexpt.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden (0.39 Sekunden)
Avast Keine Viren gefunden (1.50 Sekunden)
AVG Antivirus Keine Viren gefunden (0.59 Sekunden)
BitDefender Keine Viren gefunden (0.54 Sekunden)
ClamAV Keine Viren gefunden (0.61 Sekunden)
Dr.Web Trojan.Isbar.214 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.10 Sekunden)
Fortinet Keine Viren gefunden (0.50 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.IstBar.ij (1.04 Sekunden)
mks_vir Trojan.Downloader.Istbar.Ij (0.26 Sekunden)
NOD32 Win32/TrojanDownloader.IstBar.gen (0.47 Sekunden)
Norman Virus Control Keine Viren gefunden (0.80 Sekunden)

-------------------------------------------------------

C:\windows\System32\rpcss_pl.exe

WEnn ich das eingebe , Kommt diese Meldung:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Zitat:

C:\windows\System32\rpcss_pl.exe
WEnn ich das eingebe , Kommt diese Meldung...

Dann beende diesen Prozess im Task Manager und überprüfe ihn erneut.

Geht nicht da steht Zugriff wurde Verweigert!

LG Leo

Liebe/r Cidre,

Wenn ich Spybot rüberlaufen lasse Findet er folgende , Viren , Trojaner Ect.:

Start.Page.IG: 7 Entries
ISearch.Tech.ISTsvc 1 Entries
ISearch.Tech.Power Scan 1 Entries
ISearch.Tech.Slotch 2 Entries
ValueClick 1 Entries
Avenue A, Inc. 1 Entries

---------------------

Wenn ich Versuche sie zu Entfernen Bekomem ich folgende Fehlermeldung , Seid neuestem:


Fehler Beim Setzten der Daten für " SpybotSND".

Cidre,

Ich Fand bei Security TAsk Manager Etwas, Sobald ich diese Datei in die Quaräntane ordner reintue , hängt mein Laptop:


RPC+Service Provider = rpcss_pl.exe und Typ ist ein programm

LG leo

OK, ist egal.

Lade restore.reg , fixrpcss.reg und DelDomains.inf .

Ebenso das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\about.htm
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\windows\System32\msasmsn7.dll (file missing)
O2 - BHO: (no name) - {18E789AB-C9C7-C1CA-2763-C95CD121BB5B} - (no file)
O2 - BHO: (no name) - {D9F75A71-C448-3BD9-8C94-7241EFE2EDBF} - (no file)
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [0CMAekdFp] C:\windows\cexpt.exe
O15 - Trusted IP range: 67.19.185.246
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\g4jo0e13eh.dll
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\windows\System32\rpcss_pl.exe

Lösche diese Dateien:
C:\WINDOWS\system32\g4jo0e13eh.dll
Ordner C:\Programme\ISTsvc
C:\windows\cexpt.exe
C:\windows\System32\rpcss_pl.ex

Anschliessend die restore.reg, fixrpcss.reg und die DelDomains.inf doppelklicken und die nachfolgende Frage mit 'Ja' bestätigen.

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Cidre,

es ist was schlimmes passiert.

Ich hab bei google mal die exe datei angegeben und fand dort ein forum dort stand wie man diese Exe datei löscht und ichhabe mir killbox.exe heruntergeladen und dann die datei angegeben und gelöscht , BAM automatischer neustart!!! danach haben sich die symbole geändert einfach alles und wenn ich musik abspielen will sagt der was von "Windows NT" kann keine musik oder so abspielen. alles hat sich geändert ich kann net mal links anklicken ec.t

HILF MIR DRINGEND bitte

bei DelDomains , ist Installation fehlgeschlagen bitte hilf mir!

Warum bist du denn nur so voreilig?!
Welche Datei hast du gelöscht und von welchen Forum hast du den Tipp?

Zitat:

Windows NT

Wie lautet die genaue Fehlermeldung?

EDIT:

Zitat:

bei DelDomains , ist Installation fehlgeschlagen bitte hilf mir!

Du sollst es ja auch noch nicht installieren, sondern nur das Zitat in den Editor übertragen und als DelDomains.inf abspeichern.

Ich habe wirklich das gefühl ein "HACKER" ist auf meinem System , kein scherz jetzt.