Startseite ändert selber

lubin · 16.06.2004, 17:13

meine Startseite ändert immer auf folgende Seite
res://vckbj.dll/index.html#96676

ich habe hier die Hijack Liste reinkopiert, kann mir jemand helfen welche ich löschen darf oder muss

die mit der Endung 96676 habe ich gelöscht hat aber nicht geholfen, waren beim nächsten Start wieder da

Besten Dank

C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINDOWS\system32\crtb.exe
C:\OfficeScan NT\ofcdog.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ipoz.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\WINDOWS\System32\ctfmon.exe
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = ftp://cww.delaval.com/projects/Aladin/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: http://cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: http://cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: http://cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint51.setu.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://*.setuagrint32
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...685.4241319444
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

neptune · 16.06.2004, 19:34

hallo.. wie bitte kommt man zu einem solchen hijackthislog? ist dir der name delaval, der öfter darin vorkommt, bekannt? wenn nicht, ist ungefähr alles verseucht..
erstmal alle r0 und r1 einträge fixen.. dann bescheid geben ob dieses delaval bekannt bzw. gewollt ist..

neptune

lubin · 17.06.2004, 06:49

Hallo Besten Dank für die Antwort

die r1 ro habe ich schon mermals gelöscht hat nicht geholfen, bei einem Neustart habe ich das selbe übel
alles mit delaval ist mir bekannt das schliesse ich aus

Gurss

Olo · 17.06.2004, 07:11

#96676
einfach forum danach durchsuchen hatten wir bisher schon einige male

Lutz · 17.06.2004, 07:26

Hallo lubin,

beende bitte im Taskmanager die folgenden Prozesse:

<blockquote>Zitat:<hr />C:\WINDOWS\system32\ipoz.exe
C:\WINDOWS\system32\crtb.exe [/QUOTE]und fixe dann die folgenden Einträge mit HijackThis:
<blockquote>Zitat:<hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll
O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe
[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien:
<blockquote>Zitat:<hr />C:\WINDOWS\system32\d3zo32.dll
C:\WINDOWS\system32\ipoz.exe [/QUOTE]und überprüfe diese Datei C:\WINDOWS\system32\crtb.exe online bei Kaspersky.
Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach crtb.old.

Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es...

Nachtrag:
Eine englischsprachige Referenz findest du in diesem Forum.

design-willy · 17.06.2004, 08:38

Ich habe fast die halbe Nacht damit verbracht diesen Wurm oder Hijacker zu eleminieren - leider ohne Erfolg. Abgesicherter Modus oder nach Anleitung Symnatec für den win32 wurm (NAV findet das Ding gar nicht) cw zeigt mir keinen Befall an und
Hurra er ist auch schon wach und wieder da.
Hat schon jemand einen Lösungsweg?
Ich glaube er hat ja jetzt einen Namen #96676
Das scheint auch so ziemlich das Einzige zu sein was sich nicht ändert!

Aktueller log file

Logfile of HijackThis v1.97.7
Scan saved at 09:31:08, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\syswb32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addmq32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe
O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe
O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe
O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316

Olo · 17.06.2004, 09:35

jetzt fängst du auch shcon damit an bitte leute lasst eure logs in euren threads pro thread nur einer der logs postet

design-willy · 17.06.2004, 10:06

Sorry, ich habe versehentlich an der falschen Stelle auf antworten gedrückt

P.S. Konnte bisher keine Software Trojan cleaner finden?

Nangie · 17.06.2004, 10:26

Hallo and Welcome on Board

Schau mal bitte hier :
HijackThis Anleitung

Browser Hijacking Entfernung

Online Scan

Cleaner Tools gegen versch. Würmer

Security Check

Lutz · 17.06.2004, 10:31

@willy

beende bitte im Taskmanager die folgenden Prozesse:

<blockquote>Zitat:<hr />C:\WINDOWS\system32\syswb32.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\WINDOWS\addmq32.exe
C:\WINDOWS\System32\wuauclt.exe
[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis:
<blockquote>Zitat:<hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll

O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe
O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe
O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe
O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe
O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien:
<blockquote>Zitat:<hr />C:\WINDOWS\zgxpq.dll
C:\WINDOWS\system32\winet.dll
C:\WINDOWS\system32\syswb32.exe
C:\WINDOWS\addmq32.exe
[/QUOTE]und überprüfe diese Datei C:\WINDOWS\System32\hpoipm07.exe online bei Kaspersky.
Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach hpoipm07.old.

Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es...

Nachtrag:
Eine englischsprachige Referenz findest du in diesem Forum.

design-willy · 17.06.2004, 11:32

Hallo Lutz,

erstmal vielen Dank für deine Hilfe. Ich habe leider bevor Dein Tipp kam mit einem neuen Entfernungsversuch begonnen.
Ich habe die selben Einträge die Du aufgeführt hast mit Hijack gefixt. Bin z.Z. mit dem "infizierten Rechner" im abgesichertem Modus und lasse eScan nochmal laufen (braucht fast eine Stunde). Hat auch schon 2 Files gefunden. Wenn er fertig ist werde ich die von dir aufgeführten dateien löschen und hier nochmal einen log file posten.
Vorerst Danke

Lutz · 17.06.2004, 11:49

<blockquote>Zitat:<hr />und lasse eScan nochmal laufen...
[/QUOTE]Ein Komplett-Scan mit eScan ist nicht gerade besonders schnell, aber dafür imho gründlich.
Es wäre gut -auch in Hinsicht auf andere User mit dem gleichen Problem-, wenn Du anschließend auch posten würdest, was (Datei und Fundstelle) eScan gefunden hat.

design-willy · 17.06.2004, 12:06

@Hallo Lutz
der e-scan hat folgendes gefunden:

File C:\\WINDOWS\system32\dimoi.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted.

File C:\\WINDOWS\zgxpq.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted

File C:\Programme\iPAQ Download\CompaqDownloads\Jamdat Mobile Kasparov Chessmate\KasparovChess_PPC_EN_HEX_1.0.9.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Die ... system32\dimoi.dll soll ich die auch löschen?

Gruss Willy

Lutz · 17.06.2004, 12:12

<blockquote>Zitat:<hr />Die ... system32\dimoi.dll soll ich die auch löschen?[/QUOTE]Definitiv JA! Bzw. eigentlich sollte eScan das schon getan haben.

Falls Du diese Datei meinst:
KasparovChess_PPC_EN_HEX_1.0.9.exe
Die erscheint mir harmlos

design-willy · 17.06.2004, 13:08

@ Hallo Lutz,

im Windows\system32 ordner kann ich die syswb32 finden eine winet.dll exestiert nicht (oder nicht mehr) es gibt eine wininet.dll

im windows ordner gibt es unzählige viele kleine Programme alle mit 5 oder 6 zufälligen Buchstabenkombinationen (erstellungsdatum mai bzw. Juni 2004) von ca. 9 bis 90 kB Grösse.
z.B. bxhyl, cqgqzz usw. oder n_akgxfu, n_vvotun usw. bei google bekomme ich auf die keine Suchergebnisse??
Was mache ich mit denen? Da scheint doch ein Zufallsgenerator ständig neue Anwendungen zu ertellen?

Willy

Startseite ändert selber

Plagegeister aller Art und deren Bekämpfung: Startseite ändert selber