Trojan.BHO.WebPrefix.A

0815Twain · 29.03.2006, 19:56

hallo,

ich bin ja nun schon öfter übers forum gestolpert, hab auch viel für mich draus gezogen .... aber nun steh ich trotzdem vor einem prob, bei dem ich nicht weiterkomme.
vielleicht kann mir ja jemand nen heissen tipp geben .. oder mir einfach sagen, dass ich es vergessen kann.

da mir bei einer 2ten überprüfung das antivir leider schon einige "eier" liegengelassen hat, die a-squared dann prompt gefunden hat, habe ich schon so meine zweifel an einzelnen antiviren programmen.

"madam vorsicht" hat nun zur prüfung beider programme den bitdefender noch drüber laufen lassen. der wurde auch prompt fündig.
soweit alles klar, zumal ich fast alles löschen lassen konnte.

aber eben nur FAST alles.
bitdefender meldet mir:
<td width="57%">
C:\WINDOWS\SYSTEM\NETOS32.DLL
</td>
<td width="43%" align="left">
Infiziert: Trojan.BHO.WebPrefix.A
</td>
</tr><tr>
<td width="57%">
C:\WINDOWS\SYSTEM\NETOS32.DLL
</td>
<td width="43%" align="left">
Desinfektion fehlgeschlagen
</td>
</tr><tr>
<td width="57%">
C:\WINDOWS\SYSTEM\NETOS32.DLL
</td>
<td width="43%" align="left">
Löschung fehlgeschlagen
</td>
</tr>

und nun steh ich da mit meinem talent ... weiß nicht weiter, da ich auch nichts genaues finden kann.

wie heißt es in dem schönen alten song doch:
*HELP* ...... *I NEED HELP*

kann sich einer meiner erbarmen und mir mit vorsichtigen worten versuchen zu erklären, woran es liegt / hängt ???

demjenigen, der sich erbarmt bin ich zutiefst verbunden:

ein laie, wie viele auf dieser welt

gruß eure claudia

irrlicht · 29.03.2006, 22:02

Hallo 0815Twain,
vorsichtig möchte ich mal anfragen ,ob der Bitdefender eine Freeversion ist ?
Vorsichtig möchte ich dann anmerken,das das ein eventueller Fehlalarm sein könnte,der den User vorsichtig in die Richtung "Kauf mich" schieben soll.
"Font face arial" ist meines Wissens eine Darstellung von Buchstaben.
Vorsichtig möchte ich anraten einen EScan zu machen.Der ist hier auf der Startseite unter "Anleitungen,FAQ,Links" zu finden.
Aber Vorsicht ! Halte dich an die Anleitung und führe das so aus wie beschrieben.Unter den farbig markierten Textstellen finden sich Links zu Sachen die du brauchen wirst.
Poste hier dann vorsichtig das Ergebniss.
Irrlicht

0815Twain · 30.03.2006, 10:08

*lauthalslach*

liebes irrlicht, ich danke für die großzügige vorsicht mit der du mich bedacht hast !!

( hoffe kann es zu gegebener zeit und gegebener stelle mal wieder gut machen )

und:
ja, du liegst vollkommen richtig in der vermutung, dass es sich um die freeware handelt *rotwerdundgesteh*

und das es ein "kauf mich" sein könnte habe ich mit aller vorsicht mal zu hoffen gewagt

werde mich aber trotzdem mal an deinen weisen rat halten und den escan machten ..... wiederum ganz um- und vorsichtig genau nach anleitung.

und ehrensache:
ergebnis werde ich posten !!! ( auf die gefahr hin mich als unterster laie damit endgültig geoutet zu haben

)

danke bisher erst einmal ......

claudia

Wildone · 30.03.2006, 10:27

Hallo,
und vorsichtig möchte ich anmerken das Escan mit den selben "Kaufmich" Methoden arbeitet, sogar noch ausgeprägter als Bitdefender, also bei dem Ergebnis nicht erschrecken.

Grüße Wildone

0815Twain · 30.03.2006, 11:05

oh wehhhhhhhhhh ....... ihr baut mich jetzt ja langsam richtig auf !!!

aber der "zwischenwurf" war gerade gut, denn ich stand schon gerade schon am rand eines kollapses .... der escan läuft gerade ... und

, die liste wächst und wächst und wächst .......

@ wildone - kommt der nick von "wild-one" oder von "wil(l)-done" ;-)

Wildone · 30.03.2006, 11:14

Hallo,

Zitat:

wildone - kommt der nick von "wild-one" oder von "wil(l)-done" ;-)

Ersteres. wenn zweiteres dann eher von "well done". Und die italienische(auf don bezogen) Version kommt von "wild don", also pass auf sonst pass ich dir Betonschuhe an.

Mit meinem Nachnamen hat es auch noch etwas zu tun, aber auf Grund der von mir geschätzten Annonymität soll das unerwähnt bleiben.

Poste dann einfach die Ergebnisse von Escan wir sagen dir dann schon was wichtig ist und was nur eine Marketingmaßnahme.

Grüße Wildone

0815Twain · 30.03.2006, 17:57

SO !!!
ich habe mich also jetzt durch ein "paar" dinge gewühlt - und schön auf meine füße dabei geachtet, denn betonschuhe brauch ich nicht

.

an erster stelle mal einen "gestreuten" dank an all die, die in anderen threads erwähnt haben, dass ein sich "mittendrin" verabschiedener pc ohne weiteres seine begründung in einem verdreckten lüfter haben kann.
*hutziehundmichartigverbeug*
( pfui, endweder ich bin ein schweinchen, oder ich darf hoffen, dass all die anderen lüfter nicht besser aussehen als meiner [ ausgesehen hat !! ] )

@ irrlicht: natürlich hat er die verabschiedung prompt in der installation des escan gemacht ... und weib hat den überblick verloren .... ( LOGO !! ) und natürlich einiges falsch gemacht.

aber ihr habt alle so geduldig ( ich mag "vorsichtig" jetzt kaum noch schreiben ) alles mögliche an ähnlichen probs in die richtige spur gebracht, so dass ich mir dann noch irgendwie zu "helfen" wusste.

also hier erst einmal der log von hijackthis:
L
ogfile of HijackThis v1.99.1
Scan saved at 17:55:19, on 30.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\T-DSL BUSINESS\BOLOG.EXE
C:\PROGRAMME\TELEDAT\TELWEB32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\WINDOWS\TEMP\MEXE.COM
C:\WINDOWS\TEMP\KAVSS.EXE
C:\PROGRAMME\T-DSL BUSINESS\BODIALER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\DESKTOP\P R O G R A M M E\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {6149170F-0873-4360-9B5D-084079DED76B} - C:\WINDOWS\SYSTEM\NETOS32.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\PROGRAMME\T-DSL BUSINESS\BOLOG.EXE"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

habe den log auch gleich auswerten lassen ( dank auch irgendeiner bemerkung in einer der 1.000 threads, die ich überflogen habe )
....
C:\WINDOWS\SYSTEM\LEXBCES.EXE
-> Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess
nomalerweise in c:\windows\system32\!
habe virencheck gemacht:
F-Prot Antivirus: Keinen Virus gefunden.
Clam AV: Keinen Virus gefunden.
VirusBlokAda: Keinen Virus gefunden.

C:\WINDOWS\SYSTEM\LEXPPS.EXE
-> Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess
nomalerweise in c:\windows\system32\!
habe virencheck gemacht:
F-Prot Antivirus: Keinen Virus gefunden.
Clam AV: Keinen Virus gefunden.
VirusBlokAda: Keinen Virus gefunden.

C:\PROGRAMME\TELEDAT\TELWEB32.EXE
-> Dies ist ein unbekannter Prozess.
habe virencheck gemacht:
F-Prot Antivirus: Keinen Virus gefunden.
Clam AV: Keinen Virus gefunden.

C:\WINDOWS\TEMP\KAVSS.EXE
-> Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess
nomalerweise in c:\bases_x\!
@ Irrlicht: *rotwerdundmichschäm

F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
-> Nicht gefährlich aber unnötig.

O2 - BHO: (no name) - {6149170F-0873-4360-9B5D-084079DED76B} - C:\WINDOWS\SYSTEM\NETOS32.DLL
-> Nicht bekanntes Programm.

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
-> Nicht bekanntes Programm. = Gehört zu sun java 1.5 update 6

O4 - Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
-> Nicht bekanntes Programm.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
-> Fixen, wenn nicht bewusst herbeigeführt! sagt mir nix

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
-> Wenn der Eintrag 'ICQ ' nicht mehr benötigt wird, sollte er
trotzdem gefixt werden. geht nicht ;-)

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
-> Wenn der Eintrag 'MESSENGER ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden. geht nicht ;-)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
-> Wenn der Eintrag '' nicht mehr benötigt wird, sollte er trotzdem
gefixt werden.

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
-> Wenn der Eintrag '' nicht mehr benötigt wird, sollte er trotzdem
gefixt werden.

09 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
-> BitDefender Scan Online

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
-> BitDefender Scan Online

016 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
-> BitDefender Scan Online

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253
-> Die Eingegebene IP oder Domäne '192.......253' wurde als gut
identifiziert.

SO, und nun bin ich gespannt, was hierzu kommt, denn den titel des thread find ich hier jetzt nicht mehr

aber bei escan hab ich ihn - nun halt eben das kind mit nem anderen namen:

Thu Mar 30 11:43:49 2006 => **********************************************************
Thu Mar 30 11:43:49 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Thu Mar 30 11:43:49 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Thu Mar 30 11:43:49 2006 => **********************************************************
Thu Mar 30 11:43:49 2006 => Source: C:\WINDOWS\DESKTOP\PROGRA~1\MWAVVI~1\MWAV.EXE
Thu Mar 30 11:43:49 2006 => Version 8.2.1 (C:\WINDOWS\TEMP\MEXE.COM)
Thu Mar 30 11:43:49 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG
Thu Mar 30 11:43:49 2006 => MWAV Registered: FALSE.
Thu Mar 30 11:43:49 2006 => OS Type: Windows Workstation
Thu Mar 30 11:43:49 2006 => Local Fixed Drives: c:\,d:\,e:\,f:\
Thu Mar 30 11:43:49 2006 => MWAV Mode: Only Scan files.
Thu Mar 30 11:43:50 2006 => Latest Date of files inside MWAV: 28 Mar 2006 09:17:09.
Thu Mar 30 11:44:01 2006 => AV Library Loaded...
Thu Mar 30 11:44:01 2006 => MWAV doing self scanning...
Thu Mar 30 11:44:01 2006 => Scanning File C:\WINDOWS\TEMP\kavss.exe
Thu Mar 30 11:44:01 2006 => Scanning File C:\WINDOWS\TEMP\Getvlist.exe
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\kavss.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\kavssdi.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\kavssi.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\kavvlg.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\msvlclnt.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\ipc.dll
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\main.avi
Thu Mar 30 11:44:02 2006 => Scanning File C:\WINDOWS\TEMP\virus.avi
Thu Mar 30 11:44:02 2006 => MWAV files are clean.
Thu Mar 30 11:44:09 2006 => Virus Database Date: 3/28/06
Thu Mar 30 11:44:09 2006 => Virus Database Count: 184466

Thu Mar 30 11:45:05 2006 => **********************************************************
Thu Mar 30 11:45:05 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Thu Mar 30 11:45:05 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Thu Mar 30 11:45:05 2006 =>
Thu Mar 30 11:45:05 2006 => Support: support@mwti.net
Thu Mar 30 11:45:05 2006 => Web: http://www.mwti.net
Thu Mar 30 11:45:05 2006 => **********************************************************
Thu Mar 30 11:45:05 2006 => Version 8.2.1 (C:\WINDOWS\TEMP\MEXE.COM)
Thu Mar 30 11:45:05 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG
Thu Mar 30 11:45:05 2006 => Windows Root Folder: C:\WINDOWS
Thu Mar 30 11:45:05 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM
Thu Mar 30 11:45:05 2006 => OS: Windows 98
Thu Mar 30 11:45:06 2006 => Latest Date of files inside MWAV: 28 Mar 2006 09:17:09.

Thu Mar 30 11:45:06 2006 => Options Selected by User:
Thu Mar 30 11:45:06 2006 => Memory Check: Enabled
Thu Mar 30 11:45:06 2006 => Registry Check: Enabled
Thu Mar 30 11:45:06 2006 => StartUp Folder Check: Enabled
Thu Mar 30 11:45:06 2006 => System Folder Check: Disabled
Thu Mar 30 11:45:06 2006 => System Area Check: Disabled
Thu Mar 30 11:45:06 2006 => Services Check: Enabled
Thu Mar 30 11:45:06 2006 => Drive Check: Disabled
Thu Mar 30 11:45:06 2006 => All Drive Check :Enabled
Thu Mar 30 11:45:06 2006 => Folder Check: Disabled

Thu Mar 30 11:45:06 2006 => ***** Scanning Memory Files *****
Thu Mar 30 11:45:06 2006 => Scanning File C:\WINDOWS\SYSTEM\KERNEL32.DLL
Thu Mar 30 11:45:06 2006 => Scanning File C:\WINDOWS\SYSTEM\USER32.DLL
Thu Mar 30 11:45:06 2006 => Scanning File C:\WINDOWS\SYSTEM\GDI32.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\ADVAPI32.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\KERNEL32.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\MSGSRV32.EXE
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\CFGMGR32.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\NTDLL.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\MPR.DLL
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\MPREXE.EXE
Thu Mar 30 11:45:07 2006 => Scanning File C:\WINDOWS\SYSTEM\RNANP.DLL
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\MSNP32.DLL
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\MSNET32.DLL
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\MPREXE.EXE
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\MPRSERV.DLL
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\MSPWL32.DLL
Thu Mar 30 11:45:08 2006 => Scanning File C:\PROGRA~1\T-DSLB~1\BOLOG.EXE
Thu Mar 30 11:45:08 2006 => Scanning File C:\WINDOWS\SYSTEM\RASAPI32.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\SECUR32.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\MSVCRT20.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\SVRAPI.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\NETAPI32.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\NETBIOS.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\WSOCK32.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\MSWSOCK.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\WS2_32.DLL
Thu Mar 30 11:45:09 2006 => Scanning File C:\WINDOWS\SYSTEM\WININET.DLL
Thu Mar 30 11:45:11 2006 => Scanning File C:\WINDOWS\SYSTEM\OLEAUT32.DLL
Thu Mar 30 11:45:11 2006 => Scanning File C:\WINDOWS\SYSTEM\OLE32.DLL
Thu Mar 30 11:45:11 2006 => Scanning File C:\WINDOWS\SYSTEM\CRYPT32.DLL
Thu Mar 30 11:45:11 2006 => Scanning File C:\WINDOWS\SYSTEM\MSOSS.DLL
Thu Mar 30 11:45:11 2006 => Scanning File C:\WINDOWS\SYSTEM\WS2HELP.DLL
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\WINSPOOL.DRV
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\COMDLG32.DLL
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\SHELL32.DLL
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\COMCTL32.DLL
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\SHLWAPI.DLL
Thu Mar 30 11:45:12 2006 => Scanning File C:\WINDOWS\SYSTEM\WINMM.DLL
Thu Mar 30 11:45:13 2006 => Scanning File C:\WINDOWS\SYSTEM\TAPI32.DLL
Thu Mar 30 11:45:13 2006 => Scanning File C:\WINDOWS\SYSTEM\RPCRT4.DLL
Thu Mar 30 11:45:13 2006 => Scanning File C:\WINDOWS\SYSTEM\MSVCRT.DLL
Thu Mar 30 11:45:13 2006 => Scanning File C:\PROGRAMME\TELEDAT\TELWEB32.EXE
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\I2ERRDEU.DLL
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\SHFOLDER.DLL
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\MFC42.DLL
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\MFC42LOC.DLL
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\RNAAPP.EXE
Thu Mar 30 11:45:14 2006 => Scanning File C:\WINDOWS\SYSTEM\RNAUI.DLL
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\RNAAPP.EXE
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\TAPISRV.EXE
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\ISDNUI.DLL
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\NDSWAN32.DLL
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\TSP3216L.TSP
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\WOW32.DLL
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\DIGEST.DLL
Thu Mar 30 11:45:15 2006 => Scanning File C:\WINDOWS\SYSTEM\MSNSSPC.DLL
Thu Mar 30 11:45:16 2006 => Scanning File C:\WINDOWS\SYSTEM\MSAPSSPC.DLL
Thu Mar 30 11:45:16 2006 => Scanning File C:\WINDOWS\SYSTEM\MSVCRT40.DLL
Thu Mar 30 11:45:16 2006 => Scanning File C:\WINDOWS\SYSTEM\MSVCIRT.DLL
Thu Mar 30 11:45:16 2006 => Scanning File C:\WINDOWS\SYSTEM\TAPISRV.EXE
Thu Mar 30 11:45:16 2006 => Scanning File C:\PROGRA~1\T-DSLB~1\BODIALER.EXE
Thu Mar 30 11:45:17 2006 => Scanning File C:\WINDOWS\SYSTEM\MSI.DLL
Thu Mar 30 11:45:17 2006 => Scanning File C:\WINDOWS\SYSTEM\ACTIVESKIN.OCX
Thu Mar 30 11:45:18 2006 => Scanning File C:\WINDOWS\SYSTEM\OLEPRO32.DLL
Thu Mar 30 11:45:18 2006 => Scanning File C:\WINDOWS\SYSTEM\OLEDLG.DLL
Thu Mar 30 11:45:18 2006 => Scanning File C:\PROGRAMME\OPERA\OPERA.EXE
Thu Mar 30 11:45:18 2006 => Scanning File C:\WINDOWS\SYSTEM\MYDOCS.DLL
Thu Mar 30 11:45:18 2006 => Scanning File C:\WINDOWS\SYSTEM\SHD401LC.DLL
Thu Mar 30 11:45:18 2006 => Scanning File C:\WINDOWS\SYSTEM\SHDOCVW.DLL
Thu Mar 30 11:45:19 2006 => Scanning File C:\WINDOWS\SYSTEM\MSSHRUI.DLL
Thu Mar 30 11:45:19 2006 => Scanning File C:\WINDOWS\SYSTEM\RICHED20.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\D3DIM700.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\RSABASE.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\WINTRUST.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\DDRAW.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\AVICAP32.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\MSVFW32.DLL
Thu Mar 30 11:45:20 2006 => Scanning File C:\WINDOWS\SYSTEM\DCIMAN32.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\MLANG.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\MSAFD.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\RNR20.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\USP10.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\MSIMG32.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\IMM32.DLL
Thu Mar 30 11:45:21 2006 => Scanning File C:\WINDOWS\SYSTEM\VERSION.DLL
Thu Mar 30 11:45:22 2006 => Scanning File C:\PROGRA~1\ANTIVI~1\AVGCTRL.EXE
Thu Mar 30 11:45:22 2006 => Scanning File C:\WINDOWS\SYSTEM\LZ32.DLL
Thu Mar 30 11:45:22 2006 => Scanning File C:\PROGRA~1\ANTIVI~1\SCHEDM.EXE
Thu Mar 30 11:45:22 2006 => Scanning File C:\WINDOWS\SYSTEM\DDHELP.EXE
Thu Mar 30 11:45:23 2006 => Scanning File C:\WINDOWS\SYSTEM\ELSAVTAX.DLL
Thu Mar 30 11:45:23 2006 => Scanning File C:\WINDOWS\SYSTEM\ELSAVTAA.DLL
Thu Mar 30 11:45:23 2006 => Scanning File C:\WINDOWS\SYSTEM\DDHELP.EXE
Thu Mar 30 11:45:24 2006 => Scanning File C:\WINDOWS\SYSTEM\MDM.EXE
Thu Mar 30 11:45:24 2006 => Scanning File C:\WINDOWS\SYSTEM\MSDBG.DLL
Thu Mar 30 11:45:24 2006 => Scanning File C:\WINDOWS\SYSTEM\MSDBGDE.DLL
Thu Mar 30 11:45:24 2006 => Scanning File C:\WINDOWS\SYSTEM\MDM.EXE
Thu Mar 30 11:45:24 2006 => Scanning File C:\PROGRAMME\WINRAR\WINRAR.EXE
Thu Mar 30 11:45:25 2006 => Scanning File C:\WINDOWS\SYSTEM\RICHED32.DLL
Thu Mar 30 11:45:25 2006 => Scanning File C:\WINDOWS\EXPLORER.EXE
Thu Mar 30 11:45:25 2006 => Scanning File C:\WINDOWS\SYSTEM\ES.DLL
Thu Mar 30 11:45:25 2006 => Scanning File C:\WINDOWS\SYSTEM\SENS.DLL
Thu Mar 30 11:45:25 2006 => Scanning File C:\WINDOWS\SYSTEM\NETOS32.DLL
Thu Mar 30 11:45:39 2006 => File C:\WINDOWS\SYSTEM\NETOS32.DLL tagged as "not-a-virus:AdWare.Win32.BHO.aa". Action Taken: No Action Taken.

Thu Mar 30 11:45:50 2006 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Thu Mar 30 11:45:50 2006 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
Thu Mar 30 11:45:50 2006 => Scanning File C:\PROGRA~1\ADOBE\ACROBA~1.0\READER\ACTIVEX\ACROIE~1.OCX
Thu Mar 30 11:45:50 2006 => {53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
Thu Mar 30 11:45:50 2006 => Scanning File C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
Thu Mar 30 11:45:50 2006 => {6149170F-0873-4360-9B5D-084079DED76B} = C:\WINDOWS\SYSTEM\NETOS32.DLL
Thu Mar 30 11:45:50 2006 => Scanning File C:\WINDOWS\SYSTEM\NETOS32.DLL
Thu Mar 30 11:45:50 2006 => File C:\WINDOWS\SYSTEM\NETOS32.DLL tagged as "not-a-virus:AdWare.Win32.BHO.aa". Action Taken: No Action Taken.

allen, die bis jetzt die geduld mit mir hatten möchte ich danken und bin gespannt was jetzt noch kommt .......

eines noch:
ich weiß zum "fixen" muss ich irgendwie in den abgesicherten modus - irgendeiner hatte auch mal toll beschrieben, wie das geht ..... nur wo war das noch ??? ( könntet ihr mir, wenn genau da mein nächster schritt liegen sollte, weiterhelfen ??? )

danke !!!

claudia

Trojan.BHO.WebPrefix.A

Plagegeister aller Art und deren Bekämpfung: Trojan.BHO.WebPrefix.A