Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan-Adclicker in Windows\System32\NSV26.DLL

Trojan-Adclicker in Windows\System32\NSV26.DLL


Plagegeister aller Art und deren Bekämpfung: Trojan-Adclicker in Windows\System32\NSV26.DLL

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.09.2007, 12:44   #1
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo,
ich hoffe, ihr könnt mir weiterhelfen.
habe seit heute einen trojaner (beim ganz normalen surfen eingefangen - in google oder auf einer wörterbuch-seite). norton antivirus gibt mir ständig bescheid, wenn ich eine neue seite im internet expl. aufmache. hier der text:
objektname: C:\Windows\System32\NSV26.DLL
virenname: Trojan.Adclicker

ich hab norton laufen lassen, aber er konnte die datei weder reparieren noch löschen - stattdessen kommt immer die viruswarnung, wenn ich den IE aufmache.

könnt ihr mir bitte weiterhelfen, ich weiß nicht, was ich jetzt weiter machen soll...

vielen dank im voraus,
jvc

ps: ich hab windows xp und norton systemworks 2005, das sich regelmäßig selber updated

Alt 20.09.2007, 14:45   #2
Sunny
Administrator
> Competence Manager
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL




Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\Windows\System32\NSV26.DLL
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Gruß
Sunny
__________________

__________________
Alt 20.09.2007, 15:56   #3
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo sunny,

vielen dank für die antwort und das willkommen!!!
ich arbeite der reihe nach die punkte ab und poste jeweils die ergebnisse. hier mal das logfile:


Logfile of HijackThis v1.99.1
Scan saved at 16:48:24, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\downloads programme\Hijack\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file)
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - ?p=ZN
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
__________________
Alt 20.09.2007, 15:57   #4
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


mit virtustotal hab ich probleme, wenn ich versuche die dll-datei hochzuladen, kommt leider nur das hier:
0 bytes size received / Se ha recibido un archivo vacio

was mach ich denn falsch??

lg
jvc

Alt 20.09.2007, 16:00   #5
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo nochmal!

bezüglich MWAV (eScan) - Free Antivirus
muss ich das mit oder router machen??? ich weiß leider nicht, was ein router ist...

vielen dank!!!
lg jvc


Alt 20.09.2007, 16:09   #6
Sunny
Administrator
> Competence Manager
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


Zitat:
Zitat von jvc Beitrag anzeigen
hallo nochmal!

bezüglich MWAV (eScan) - Free Antivirus
muss ich das mit oder router machen??? ich weiß leider nicht, was ein router ist...

vielen dank!!!
lg jvc
Wer hat denn bei euch/dir zu Hause das Internet angeschlossen?
__________________
--> Trojan-Adclicker in Windows\System32\NSV26.DLL

Alt 21.09.2007, 17:37   #7
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo!
... und hier datei nr. 2:


Datei Rundll32.exe_ empfangen 2007.09.21 18:31:50 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.21 -
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.21 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5153 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.21 -
NOD32v2 2544 2007.09.21 -
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.21 -
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.21 -
TheHacker 6.2.5.064 2007.09.21 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.21 -
Webwasher-Gateway 6.0.1 2007.09.21 -


weitere Informationen
File size: 33792 bytes
MD5: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176

Alt 21.09.2007, 18:44   #8
Pelzmaus
Gesperrt
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


Hallo jvc

Zunächst mal, es ist nicht schlimm, daß Du Dich nicht so gut auskennst, dafür ist dieses Board ja da, um zu helfen, Hauptsache, Du fragst, wenn Du etwas nicht verstehst.

Zu dieser Datei:

C:\WINDOWS\system32\gzmrotate.dll

Sie wird noch nicht von allen Scannern erkannt, darum ist es wichtig, daß Du folgendes machst:

Link:

Schädlinge ausfindig machen, isolieren und identifizieren ---> Punkt 4 bitte umsetzen

Sodann die präparierte Datei an folgende Adresse schicken:

sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Das ist insofern wichtig, als es sich wohl um einen relativ unbekannten Schädling handelt und Du auf diese Art dafür sorgst, daß die anderen Virus-Labs diesen Schädling ebenfalls ihrer Signatur hinzufügen können.

Zu Deinen anderen Fragen:

Bzgl. Java, das solltest Du nicht hochladen, ich markierte es Dir nur, um aufzuzeigen, daß es sich um eine veraltete Version handelt. Da Java ebenfalls Verbindung mit dem Internet aufnehmen kann, und durch nicht aktuelle Programmversionen Schädlinge ebenfalls Dein System infizieren können, brachte ich es als Beispiel, wie wichtig das *Aktuell-Halten* dieses Programmes ist, sowie Deines Betriebssystems, auch der Browser gehört dazu.

Ein Image ist ein Backup Deiner Systempartition, also des Teils Deiner Festplatte, wo Dein Betriebssystem installiert ist. Hierfür benötigst Du ein Programm, namens AcronisTrueImage, sowie eine separate Festplatte, die Du per USB-Anschluß an Deinen Rechner anschließen kannst. Mittels Acronis erstellst Du von einem garantiert sauberen System (also nicht Deinem jetzigen ) eine 1:1 Kopie, und speicherst dies auf der separaten Festplatte. Wenn dann sowas passiert wie jetzt, kannst Du ganz einfach die Festplatte wieder anschließen, und das vorher gespeicherte Image auf Deinen Rechner zurückschreiben. Das dauert max. 10-15 Minuten, und alles ist wieder so, wie es vorher war.

Wichtig ist bei dieser Vorgehensweise, daß auch das Image 1 Mal im Monat aktualisiert werden sollte, denn es stellt ja einen früheren Status Quo wieder her. Alles, was Du danach gemacht oder verändert hast, mußt Du dann manuell nachholen, aber das ist weit weniger Arbeit, als format : C.

Bzgl. Deines Rechners warte bitte noch, bis sich mmk hierzu äußert, aber ich denke mal, daß er dieselbe Empfehlung gibt wie ich, es sei denn, es handelt sich wirklich um einen Fehlalarm, was ich aber nicht glaube.

Glauben ist aber nicht wissen, von daher, bitte noch etwas Geduld.

BTW, weißt Du, wie man formatiert, nur mal so nachgefragt?

Grüße

Alt 22.09.2007, 14:18   #9
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo pelzmaus,

dankeschön!! ok, dann warte ich noch auf mmk (unbekannterweise) und hoffe, dass es vielleicht doch noch eine andere möglichkeit gibt, als zu formatieren, ich hab da so viele daten drauf, die ich gar nicht sichern kann, zb kontakte bei skype und msn, animoticons, emails und ganz viele programme, die sich im laufe der zeit angesammelt haben (klingt jetzt viell. nicht sooo wichtig für euch, ist es aber...)...

vielen dank auf jeden fall für's weiterhelfen und die erklärungen...

@ formatieren: ja, wie man das macht weiß ich, format c...

ah, BTW: kann mir jemand erklären, was für ein trojaner das eigentl. genau ist (ich hab schon gegoogelt - ich mein in meinem speziellen fall, in bezug auf die datei, wo das ding dranhängt und was der so genau anstellen kann... denn im moment läuft der pc ja, als ob nichts wäre...

danke!
lg
jvc

Alt 23.09.2007, 19:03   #10
BataAlexander
> MalwareDB
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file)
O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Programme\Macrogaming (Ordner)
C:\WINDOWS\system32\nsv26.dll

Dann starte den Rechner im normalen Modus neu und poste ein neues HJT Logfile.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 23.09.2007, 19:26   #11
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo,

ich hab von deiner liste folgende dateien nicht:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll

O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"


soll ich jetzt einfach die dateien auswählen, die vorhanden sind und so verfahren, wie du geschrieben hast??

Alt 23.09.2007, 19:27   #12
BataAlexander
> MalwareDB
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


Du meinst die Einträe im HJT Log?
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 23.09.2007, 18:38   #13
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


hallo,

hab das so gemacht, wie du angegeben hast.

der neue scan von spybot hat keine spione gefunden.

hab gzmrotate gelöscht - nach dem neustart im normalen modus kam folgende meldung:

RUNDLL
Fehler beim Laden von C:\Windows\system32\gzmrotate.dll
Das angegebene Modul wurde nicht gefunden


was mach ich jetzt???
danke!!

Alt 23.09.2007, 18:44   #14
BataAlexander
> MalwareDB
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 23.09.2007, 18:51   #15
jvc
 
Trojan-Adclicker in Windows\System32\NSV26.DLL - Standard

Trojan-Adclicker in Windows\System32\NSV26.DLL


"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Norton SystemWorks" = ""C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz" ["Symantec Corporation"]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"CloneCDElbyCDFL" = ""C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"hid_start" = "C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\(Default) = "SWEETIE"
-> {HKLM...CLSID} = "SWEETIE Class"
\InProcServer32\(Default) = "C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll" ["Macrogaming"]
{36A91CEC-6C71-4758-B492-397BFC8E96A2}\(Default) = (no title provided)
-> {HKLM...CLSID} = "rightonadz.biz browser optimizer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\gzmrotate.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00
{Disable Active Desktop}

"NoSaveSettings" = (REG_DWORD) hex:0x00000000
{Don't save settings at exit}

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Antwort

Themen zu Trojan-Adclicker in Windows\System32\NSV26.DLL
.dll, antivirus, c:\windows, datei, eingefangen, gen, google, heute, interne, internet, laufen, löschen, neue, neue seite, norton, reparieren, surfen, system, system32, systemworks, trojaner, update, updated, viruswarnung, windows, windows xp


« Hilfe TR/Dldr.Swizzor.DV und andere Viren | Probleme mit IE und Firefox! Und noch mehr... »


Ähnliche Themen: Trojan-Adclicker in Windows\System32\NSV26.DLL


  1. Trojan.Patched.Sirefef.B in C:\Windows\System32\services.exe
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (3)
  2. 'TR/Spy.53472.2' [trojan] in C:\WINDOWS\system32\wuauclt.exe
    Log-Analyse und Auswertung - 09.07.2011 (14)
  3. Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe
    Log-Analyse und Auswertung - 06.05.2011 (8)
  4. trojan.agent windows\system32\opmnmm.dll
    Plagegeister aller Art und deren Bekämpfung - 03.04.2010 (3)
  5. C:\WINDOWS\system32\kbdqpuyw.dll (Trojan.Agent)
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (20)
  6. TR/Agent.ruo' [trojan] in C:\Windows\System32\sysacfo.dll
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (19)
  7. C:\WINDOWS\system32\ntnwd.dll' ... 'TR/Agent.ruo' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (1)
  8. TR/Agent.ruo [trojan] -> C:\WINDOWS\system32\d3dsiaey.dll
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (6)
  9. TR/Agent.ruo' [trojan] in C:\WINDOWS\system32\sysayg.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (32)
  10. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) + trojan.bho
    Log-Analyse und Auswertung - 03.12.2009 (10)
  11. Trojan.Adclicker & Igfxtray.exe - Wie entfernen?
    Log-Analyse und Auswertung - 21.09.2007 (13)
  12. Trojan.Vundo C:\WINDOWS\system32\vtstq.dll
    Log-Analyse und Auswertung - 05.02.2006 (7)
  13. Trojan.Adclicker und andere Viren
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (7)
  14. trojan.adclicker
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (1)
  15. Download.Trojan in C:\WINDOWS\system32\o
    Plagegeister aller Art und deren Bekämpfung - 20.02.2005 (6)
  16. Trojan Adclicker!! hilfe
    Plagegeister aller Art und deren Bekämpfung - 20.03.2004 (0)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan-Adclicker in Windows\System32\NSV26.DLL - hallo, ich hoffe, ihr könnt mir weiterhelfen. habe seit heute einen trojaner (beim ganz normalen surfen eingefangen - in google oder auf einer wörterbuch-seite). norton antivirus gibt mir ständig bescheid, - Trojan-Adclicker in Windows\System32\NSV26.DLL...
Archiv
Du betrachtest: Trojan-Adclicker in Windows\System32\NSV26.DLL auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131