Hallo,

habe heute folgende Adware entdeckt, auf dem PC lief der Virenscanner auch nicht und das system stürtzte bei Start von eTrust-Ativirus immer ab:

hier die Daten von den Sachen:

C:\WINNT\24106.exe Dailer.Generic
C:\WINNT\mmwork.exe Adware.Medload
C:\WINNT\Downloaded Program Files\YSBactivex.dll Adware.Istbar
C:\WINNT\Downloaded Program Files\CONFLICT.5\HDPlugin1101.dll Adware.GAIN
C:\WINNT\Downloaded Program Files\CONFLICT.4\HDPlugin1101.dll Adware.GAIN
C:\WINNT\Downloaded Program Files\CONFLICT.3\HDPlugin1101.dll Adware.GAIN
C:\WINNT\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll Adware.GAIN
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll Adware.GAIN

wie bekomme ich die Sachen am besten runter?

Meint ihr ich komme um das Neuinstallieren von Windows rum? Denn es ist ein Hotline Rechner .. und das wäre fatal, wenn der ausfallen müsste

Grüße Christopher

Servus, PeterPanAK47!

Post uns mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
Mal sehen ob die Adware Dein einziges Problem ist!
Btw:Hast Du es schon mit Spybot S&D http://www.safer-networking.org/ oder Adaware http://www.lavasoft.de/ probiert?
bis dann, stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 11:43:56, on 11.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\KEN!\kentbcli.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
R:\KHK\CLBS\32\EXE\CL.exe
Q:\prog\ktelnet\dat.89\kstart32.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.0.0.14:3128;http=10.0.0.14:3128;https=10.0.0.14:3128;socks=10.0.0.14:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D7334F5-CF58-4F22-8502-6CC0ACB2FEFF} (Main Class) - http://www.dialer-shop.com/protected/code/axrbpt.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1123652398968
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123652386328
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD143AD-1C7E-4A82-AE30-96993D63A643}: NameServer = 10.0.0.14
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

hier ist der Hijack file .. hoffe, ich hab das richtig gemacht

Zitat:

...Denn es ist ein Hotline Rechner...

Das les´ ich jetzt erst- heißt das, dass der PC ein Firmen/Dienst-PC ist? Wenn ja, da her mit Deinem SysAdmin oder EDV Bauftragten oder wie der/die bei Euch heißt und selber Finger weg!
Du hast Einträge in Deinem Log welche zumindest auf einen dialer hinweisen!

Zitat:

O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB

Lass´ mal (wenn es Dir möglich ist) escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus laufen (halte Dich dabei genau an die einzelnen Punkte dieser Anleitung sonst ist die Auswertung für die Fische) und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist ebenfalls beschrieben)
bis dann, stupormundi

bin ja der EDV beauftragte .. aber adaware und spybot haben nix genützt ..

bei meinem ersten Post steht auch, dass ein dailer dabei ist ..

wie bekomme ich denn nun die sachen weg?

Servus wieder, PeterPanAK47!

Zitat:

bin ja der EDV beauftragte

dann ist es ja gut!

Zitat:

bei meinem ersten Post steht auch, dass ein dailer dabei ist ..

sry, hab´ich drübergelesen!
Mach mal einen Scan mit escan wie vorgeschlagen!
bis dann, stupormundi

soo hab in der Mittagspause einiges geschafft:

sind nur noch 2 da:

c:\WINNT\24106.exe -> Dailer.Generic
c:\WINNT\mmwork.exe -> Adware.Medload



jemand ne Idee ?

Zum löschen der Dateien nimm die killbox http://www.bleepingcomputer.com/files/killbox.php im abgesicherten Modus mit der Option "delete on reboot"
Was ist mit escan?
stupormundi

Super .. :aplaus: :aplaus:

hat wunderbar geklappt .. die Kiste rennt wieder

ich dank dir 1000fach!

TOP!