| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: webrebates in SoftwareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.11.2004, 23:09
| #1 |
| |  webrebates in Software Hallo Leute! Hab ein Problem.In meiner Software befindet sich ein Programm Namens "WebRebates". Wenn ich diese löschen will kommt die Meldung "Main konnte nicht ausgefürt werden. Das System kann die angegebene Datei nicht finden. Bin nicht gerade ein Meister am PC! Wie kann ich dieses Programm löschen??? Danke!! Logfile of HijackThis v1.98.2 Scan saved at 23:21:36, on 02.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Mixer.exe C:\Programme\Scanner_Tools\opware32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Roman\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: BRedObj Class - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Omnipage] C:\Programme\Scanner_Tools\opware32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/co...rolLite_EN.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098014561171 O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.powerurl.de/StarInstall.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3946EDD3-7103-4216-B6AE-3B370B7F2414}: NameServer = 195.3.96.67 195.3.96.68 Geändert von bautsch (02.11.2004 um 23:26 Uhr) |
|
02.11.2004, 23:18
| #2 |
| Gast | webrebates in Software Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/
__________________ |
|
02.11.2004, 23:28
| #3 | |
| | webrebates in SoftwareZitat:
ist das ok so? |
|
02.11.2004, 23:32
| #4 |
| Gast | webrebates in Software Lösche diese Dateien im abg. Modus: c:\Program Files\Reg2\Reg2.dll c:\Program Files\Xmod\xm320.dll Fixe dies: O2 - BHO: BRedObj Class - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/c...trolLite_EN.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1098014561171 O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.powerurl.de/StarInstall.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab Von Webrebates seh ich aber nix mehr. Benutze mal Ad-aware www.lavasoft.de Spybot www.safer-networking.de Beide Programme sind kostenlos und deutschsprachig. Update die Programme vor einem Scan. |
|
02.11.2004, 23:33
| #5 |
| | webrebates in Software mach ich. Danke!! |
|
02.11.2004, 23:45
| #6 |
| | webrebates in Software datein hab ich gelöscht. Adware away v2.2.5, avast antivirus und adaware 6.0 haben nichts gefunde. lässt sich aus software nicht löschen!!!!??? Geändert von bautsch (02.11.2004 um 23:57 Uhr) |
|
03.11.2004, 07:26
| #7 |
  | webrebates in Software Hallo bautsch, erstelle bitte ein neues Hijack This Logfile und poste es. Dann können wir daraus erkennen, ob noch etwas zu löschen ist. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
|
03.11.2004, 18:44
| #8 |
| | webrebates in Software Jetzt kenn ich mich noch weniger aus?? Hat da was mit meinem Problem zu tun?? [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:54:046 :ModuleName = C:\Dokumente und Einstellungen\Roman\Eigene Dateien\neu\mwavscan.com [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:54:046 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:55:203 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:55:203 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:55:203 :TimeOut : ffffffff [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:55:203 :Priority : NORMAL [msvLclnt.dll] [0x00000dd8] 03/11/2004 17:39:55:796 :VirusCount = 108135 Latest Date = 2004/11/03 [msvLclnt.dll] [0x000005f0] 03/11/2004 17:40:50:281 :[00000001] File C:\WINDOWS\e-divx.exe.exe infected by not-a-virus:PornWare.Dialer.Intexdial [msvLclnt.dll] [0x000005f0] 03/11/2004 17:50:00:062 :[00000001] File C:\Program Files\Bcpc\bcpc.exe infected by not-a-virus:AdWare.Broadcap.a [msvLclnt.dll] [0x000005f0] 03/11/2004 17:50:00:218 :[00000001] File C:\Program Files\Bcpc\bcre_inst.exe infected by not-a-virus:AdWare.Broadcap.a [msvLclnt.dll] [0x000005f0] 03/11/2004 18:01:58:375 :[00000001] File C:\RECYCLER\S-1-5-21-1390067357-1960408961-725345543-1003\Dc103.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000005f0] 03/11/2004 18:07:02:109 :[00000001] File C:\WINDOWS\e-divx.exe.exe infected by not-a-virus:PornWare.Dialer.Intexdial [msvLclnt.dll] [0x000005f0] 03/11/2004 18:23:47:656 :[00000001] File C:\WINDOWS\Temp\bpc_inst.exe infected by not-a-virus:AdWare.Broadcap.a [msvLclnt.dll] [0x000005f0] 03/11/2004 18:24:54:500 :[00000001] File E:\Alte Platte\Daten_CD\MusicVideo_Player\DIVXplayer\DIVX501BUNDLE.EXE infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000005f0] 03/11/2004 18:28:47:156 :[00000001] File E:\Alte Platte\horst\HOME\DIVXplayer\DIVX501BUNDLE.EXE infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000005f0] 03/11/2004 18:32:22:421 :[00000001] File F:\Sierra\Counter-Strike\hltv.exe infected by not-a-virus:RiskWare.Proxy.Hltv [msvLclnt.dll] [0x000005f0] 03/11/2004 18:33:00:125 :[00000001] File C:\WINDOWS\e-divx.exe.exe infected by not-a-virus:PornWare.Dialer.Intexdial [msvLclnt.dll] [0x000005f0] 03/11/2004 18:33:06:953 :VirusCount = 108135 Latest Date = 2004/11/03 [msvLclnt.dll] [0x00000dd8] 03/11/2004 18:35:42:906 :VirusCount = 108135 Latest Date = 2004/11/03 Danke für deine Hilfe!! |
|
03.11.2004, 23:26
| #9 |
| | webrebates in Software Hab die angegebenen Datein gelöscht. Mein Grundproblem konnte ich aber immer noch nicht lösen. Beim Versuch das Programm in der Systemsteuerung zu löschen kommt immer noch die Meldung:: Main konnte nicht ausgefürt werden. Das System kann die angegebene Datei nicht finden.  was ist da los?? |
|
04.11.2004, 08:48
| #10 |
| | webrebates in Software Hallo Bautsch, in Deinem eScan Logfile waren einige Dialer, die je nach der Verbindung mit der Du ins Netz gehst, auf Diskette hätten gespeichert werden sollen (Dialer-Hinweis). Hier ein bißchen Information zu "webrebates": www.liutilities.com Mach bitte folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. Suche nun bitte 'webrebates' oder 'webrebates.exe'. Wenn Du 'WebRebates' noch auf dem System haben solltest, dann unter einem dieser beiden Prozess Files. Wenn die angegebene Datei nicht gefunden werden kann, deutet es darauf hin, dass der Prozess selbst nicht mehr vorhanden ist. Dann hast Du möglicherweise nur noch den Namen dieser Spyware im System. SD |
|
04.11.2004, 22:19
| #11 |
| |  webrebates in Software hallo Shadowdance Danke für die hilfreichen Infos. Werde deine Rat befolgen. |
|
| Themen zu webrebates in Software |
| avast, avast!, bho, cyberlink, dateien, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, löschen?, messenger, microsoft, msn, msn messenger, programm, programme, rundll, rundll32.exe, software, solution, system, system32, tcpip, toolbars, update, userinit, windows, windows messenger, windows xp |
Linear-Darstellung
