Hallo,

bin echt begeistert von dem Board, auch wenn man beim Durchstöbern der Foren hier teilweise echt Bammel bekommt so als Normaluser...

Habe ein kleines Problem, evtl kann mir jemand einen Tip geben? Antivir hat in der Datei "OOEEEBLLDGR.DLL" den Virus "ADSPY/BAR.LOOP" ausgemacht. Habe die Datei bei Virustotal gescannt (Treffer):

AntiVir 6.34.1.37 06.08.2006 ADSPY/Bar.Loop
DrWeb 4.33 06.08.2006 Adware.SearchAid
Ikarus 0.2.65.0 06.07.2006 AdWare.Lop.U
Kaspersky 4.0.2.24 06.08.2006 not-a-virus:AdWare.Win32.Lop.u
McAfee 4779 06.07.2006 potentially unwanted program Free-Scratch-Cards
Norman 5.90.21 06.08.2006 Swizzor.IC
TheHacker 5.9.8.156 06.08.2006 Aplicacion/Mp3Search
VBA32 3.11.0 06.08.2006 AdWare.Lop.u

Wie werde ich das Ding nun los? Muss ich das überhaupt (wg. Kaspersky)?


Es gibt auch einen HijackThis log, vielleicht hilft der weiter? Wäre echt nett, wenn sich das mal jemand ansehen könnte... Bin ich ansonsten sauber?

Logfile of HijackThis v1.99.1
Scan saved at 10:07:44, on 13.06.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\KYOCERA\FS-720 UTILITIES\KMGLNC.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ULTIMATEZIP\UZIP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von surfEU
O2 - BHO: wgatvbeqvgmpguygtmil - {ddeff720-6798-11d7-a109-70c350c10000} - C:\WINDOWS\ANWENDUNGSDATEN\OOEEEBLLDGR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: yoprhbkfwie - {ddeff721-6798-11d7-a109-70c350c10000} - C:\WINDOWS\ANWENDUNGSDATEN\OOEEEBLLDGR.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ISDNStatus] C:\Programme\ISDN_UTL\isdnsta.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Launcher] C:\Program Files\Kyocera\FS-720 Utilities\KMGLNC.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O12 - Plugin for .pif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Danke für eure Mühe,
Al.

Hallo Call me Al,

scanne auch noch folgende Datei bei Virustotal und teile das Ergebnis mit:

C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE

dartus

Hallo dartus,

beide Dateien ohne Ergebnis gescannt.

CallMeAl

habe OOEEEBLLDGR.DLL im abgesicherten Modus gelöscht (habs noch auf disk). hijackthis sagt mir nun, dass diese Datei fehlt (die beiden Einträge O2 und O3 sind genauso wie in dem geposteten Log, nur dass jetzt in Klammern dahinter steht, dass die Datei fehlt). Hat das was zu bedeuten? Verschwinden diese beiden Einträge irgendwann von selbst, oder muss ich da noch was machen?

Kurze Info wäre nett, kenn mich mit HJT nicht so aus.

Gruß, Al.

Kann mir nicht einer nen kleinen tip geben, ob noch was zu tun ist bzw. wie ich das rausfinden kann?

Hallo Al (<- hoffe das geht klar )

Dein Problem ist wahrscheinlich nicht koplett gelöscht.

Ich würde es mal mit AdAware probieren das sollte eigentlich funzen.

Gruß Undoreal

@Darthshoot und +Flori+,

nett, sehr nett!

dartus

@ darthshoot:
Ich verstehe deine Anweisungen leider nicht, würde das Problem aber lieber im Forum beheben.

@ dartus:
was den ADSPY angeht: wenn du meinst, dass es sinn macht, kann ich die datei auch wieder in das Verzeichnis kopieren (von disk) und es dann mit Antivir programm entfernen... einfach löschen ging jedenfalls nicht, weil es dann hieß, die datei werde "von windows benutzt".

Was mache ich denn mit den anderen Störenfrieden, die Adaware gefunden hat?
Data miner: klingt für mich nach "entfernen" mit adaware.
Malware: reicht entfernen?
Vulnerability: selbe Frage, reicht einfaches entfernen mit adaware aus?

Gebe zu, ich habe zu lange ohne Sicherung gesurft. Aber ab heute wird immer brav geupdatet und auch sonst mehr auf sicherheit geachtet - versprochen! Dafür bietet das TB ja auch sehr viele nützliche Hinweise, ich arbeite mich da so allmählich durch.

Danke schonmal, Gruß, Al

Du darfst Maleware nicht löschen! Du musst es reparieren! Sonst ist dein Windows noch nachher futsch

Normaleweise werden ja ganz normale Programme infiziert, die der Windows braucht um zu funktionieren, und wenn du jetzt die einfach löscht...Ich glaube du weißt schon worauf ich hinaus will, oder?

Also Amok DelayDel ist DAS Tool zum entfernen hartneckiger Software. (Insbesondere .dll's.) Also du installierst Amok DelayDel und dann hast du einen Papierkorb, der etwas anders aussieht, als der original Windows-Papierkorb und auch anders heißt. Da ziehst du einfach manuell mit der Hand die Dateien rein, die du weghaben willst und startest neu. Dann sind sie futsch.

Wenn es noch mehr Probleme gibt mit den Dateien, dann schreibste einfach hier hin und ich erkläre dir dann weitere Schritte.

Ansonsten kannst du der Datei sämtliche Rechte entziehen. Du machst eine .bat datei (.txt und nennst sie in .bat um) und schreibst folgenden Inhalt rein:

cacls DATEIDIEZUSPERRENIST /D %USERNAME%

Genau so! Bloß DATEIDIEZUSPERRENIST halt den Namen von deiner Datei.
Dadurch wird der Datei alle Rechte entzogen. Du kannst sie nun weder löschen, noch kann sie irgendwie gestartet oder benutzt werden. Und genau das ist ja der vorteil. Sie ist nun ungebrauchbar.

An sonsten könntest du sie in Quarantäne packen.

Hallo,

bin etwas verwirrt. Habe noch immer die ca. 15 von Adaware gefundenen Progs auf dem Rechner und würde die gerne loswerden.. :-) Kann ich die nun mit Adaware eliminieren, oder nicht? Die Bezeichnungen, die Adaware gibt, klingen zwar eindeutig, aber auf der HP fehlt eine Datenbank o.Ä., in der man sich die gefundenen Dinge nochmal ausführlich ansehen kann. Ist Adaware denn da zuverlässig? aoder erkennt es evtl normale Dateien als Schädlinge?

Was ist mit dem ursprünglichen Problem (oooeeelll etc.)?

Danke, Al