Trojaner-Board - TR/Drop.Small.Ju.2

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Drop.Small.Ju.2 (https://www.trojaner-board.de/7727-tr-drop-small-ju-2-a.html)

TR/Drop.Small.Ju.2

Hallo
habe seit Sonntag das Pferdle:TR/Drop.Small.Ju.2[/B]Habe schon alles versucht:Antiviren Programm, Trojaner,Shredder, Hijack, aber nichts geht, vor allem geht bald gar nichts mehr, vor allem kann ich den Computer nicht mehr runterfahren.Ist auch als Datei nicht zu finden.
Wer kann mir helfen?
Danke und Grüssle
Patty

Hallo,

um dir helfen zu können, bräuchte man mehr Informationen bzw. Einblick von deinem System.
Poste deshalb ein aktuelles HJT Log-File.

Hi Cidre,
leider weis ich nicht wie ich dir Hijak posten kann, bin eigentlich sowiso nicht so sehr erfahren.
Habe Windows 98, kann den TRojaner nicht finden, Windows, AV Guard, gibt mir alle paar Minuten an, das ich auf WINDOWS/SYSTEM/3MEOVNPNXR1.DLL, TR/Drop.Small.Ju 2 habe und was geschehen soll. Wenn ich lösche nützt es nichts, mein ANTIVir Programm ist gut und neu, findet es nicht. Die DAteien sind auch nicht unter Suchen zu finden.
Gestern habe ich über Windows-System-circa 200 infizierete Dateien gefunden, die ich dann einzeln gelöst habe. Das Vierenprogramm kann sie nur erkennen, wenn ich einzeln drauf gehe, hat aber nichts genützt.
Was also soll ich tun??
Liebe Grüssli
PATTY

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Danach öffnest du das Log-File, Strg+A (markieren), Strg+C (kopieren) und danach in den Thread posten mit Strg+V (einfügen).

Logfile of HijackThis v1.98.0

Scan saved at 11:17:55, on 23.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\ENJBU1HPD3UI.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\POWERARCHIVER\POWERARC.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\8Z47BL~1.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [aconti] C:\PROGRAMME\WEBSX\INT125054.EXE -auto
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\ENJBU1HPD3UI.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/suninfoconnect-lo.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

Hat ein bischen gedauert!

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\8Z47BL~1.DLL (file missing)
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\ENJBU1HPD3UI.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/suninfoconnect-lo.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v45/yacscom.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information des eScan.

Hi Cidre,
habe zur Zeit Ruhe, ich glaube mein Virus ist weg!?!
Mal sehen Danke dir sehr.
Schönes Wochenende!

Du hast jetzt nur die Symptome bekämpft, du solltest darum auch noch die Ursache beseitigen:
- dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE auf min. 6 SP1 udaten, danach sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Ebenso ein schönes Wochenende.

Hallo erstmal

<<ich *Frau und null Kenntnisse* habe mir das selbe eingefangen wie Patty
*seufz* genau die gleichen symtome :mad:

habe auch win 98 und auch AntiVir und a2 scanner durchlaufen lassen..beide erkennen ihn und ich kann ihn löschen aber keine 2 min sendet mir AntiVir den nächsten Fund.
Nun bin ich Euer Forum durchgegangen und sehe das der *Cidre* voll den Plan hat :huepp: und Patty gut helfen konnte.Das Problem ist aber: ich versteh nix von dem was du,Cidre, den Patty da alles sagst was er machen soll!
Das mit dem HIJackthis hab ich auch schon versucht.Nur jedesmal wenn ich es aufrufe sagt der gute mir das die DLL-DateiMSVBVM60.DLL nicht vorhanden ist.Also suche ich sie im Netz...finde sie sogar,aber trotzdem zeigt er mir das selbe an.Und mit dem, was du dem Patty beschrieben hast,

ich zitiere :*Danach öffnest du das Log-File, Strg+A (markieren), Strg+C (kopieren) und danach in den Thread posten mit Strg+V (einfügen).

das ist komplett unverständlich 4 me!

sowas muss man mir schritt für schritt erklären...sorry :heilig: Und *schäm*

bin ich jetzt ein hoffnungsloser fall und muss die FP löschen(was mir alle schon geraten haben,und ich sogar schonmal gemacht habe) oder kann mir noch geholfen werden?

ich bitte euch mir zu helfen.hab nen menge sachen auf den rechner und zur zeit keinen brenner! :headbang: also wäre ich sozusagen aufgeschmissen!

könnt mir auch ne mail schreiben nrathome123@aol.com

ich dank mal im vorraus und liebe grüsse MUSIC

Hallo Schnecki,

besorge dir zunächst hier:

http://download.microsoft.com/downlo...VBRun60sp5.exe

die VisualBasic-Runtime, die die MSVBVM60.DLL enthält und auf deinem Rechner installiert, also die obige Datei herunterladen und installieren. Danach kannst du dann Hijackthis ausführen und die Logdatei erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Wenn du diese Logdatei dann als Textdatei hast (nachdem du auf SaveLogfile geklickt hast) gehst du dort einfach oben auf "Bearbeiten", da steht alles, was Cidre beschrieben hat, auch noch mal. Zunächst "alles markieren" dann "kopieren", dann gehst du hier ins Forum, erstellst einen neuen Beitrag, klickst dort mit der rechten Maustaste hinein und wählst einfügen und dann müsste der Text wie bei patty dastehen.
Wenn es sich nur um dasselbe wie bei patty handelt, können wir das Formatieren der Pestplatte erstmal noch umgehen. Also keine Angst. :)

Ok,erstmal vielen dank..des ging ja fix....

also ich versuchs und geb mein bestes. many thanx!

Das erste mal seit 3 Tagen ne gute Nachricht!

sorry bins schon wieder!

also ich habe jetzt endlich den Hijack ausführen können(1.Fortschritt) *smile*
er öffnet sich und nun sind da mehrere Button aber keines wo draufsteht

SafeLogFile..sondern nur scan(geh mal davon aus den meinst du) und Info und Config.
Wie gesagt hab null Plan. Hast du vielleicht Icq oder Aim?
Dann könntest du mir eventuell jeder meiner dummen Fragen beantworten,denn ich bin sicher des war ned die letzte! :crazy:

Music

Ok Sorry habs geschafft..also hier ist es....Logfile of HijackThis v1.98.0
Scan saved at 13:11:53, on 08.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\LOAD.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\SHRO3WNJ1VB.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\OREC.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TRKMBX9J4DTS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\AIM95\AIM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_s.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL (file missing)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\4NLN51~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [wccapp] c:\windows\desktop\winlqt.exe
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\SHRO3WNJ1VB.EXE
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKCU\..\Run: [Aerm] C:\WINDOWS\Anwendungsdaten\orec.exe
O4 - Startup: PalNetaware.lnk = C:\WINDOWS\FONTVIEW.EXE
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.greg-search.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/144e1fb5...dxIE601_de.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/win.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://69.31.85.151/G7/chm9.chm::/file1.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {02610506-892D-2975-5969-7AA75EE4FFA3} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {5B077822-266E-2ED1-47F2-1F200EA574C7} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {6142E801-6044-1CB8-2601-61E437510FF0} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {5C8F4ACB-89EF-05AC-8CA7-7C821DED4920} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {4808D666-EDB9-5E02-6095-4C530978F5CC} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {24220D43-836A-397D-22B3-393D7D33E7FA} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {03FF65F2-9D2F-7A65-971B-35B1563FC6A3} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {0D426BE1-4DBF-5AF6-6299-2FD170C0D64D} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\SYSTEM\Eiamcogq.dll (file missing)

Ähm sorry...was ist denn jetzt? Ich dachte da kommt noch was? Bin ich doch ein hoffnungsloser Fall?

Du hast viel zu viel Malware auf deinen System (auch illegale Dialer, die du evtl. als Beweis sichern solltest.

Um dein System wieder richtig sauber zu kriegen, befolge dies soweit möglich:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Wir sind ja hier auch nicht ständig präsent. :)

Leider muss ich meine obige Aussage revidieren, da du wirklich sehr viel mehr Schädlinge auf dem Rechner hast als zuerst befürchtet und ich Christian da zustimme.

Hast du denn eventuell eine zweite festplatte oder bekommst demnächst wieder einen Brenner?

Hallo Ihr fleißigen Helfer....

Na ,dann möcht ich mich erstmal bedanken,auch wenn´s keine guten Nachrichten sind. :o !
Aber was solls.Ich glaub wenn ich die Kiste platt mache,das geht schneller,als das, was ihr sonst mit mir vorgehabt hättet :crazy: !

Um deine Frage zu beantworten @ King...ja habe ne zweite FP ,nur bin ich immer zu faul gewesen meine ganze Mukke mal aufzuräumen und sie auf die xtra FP zu schmeisen :heulen:

Ich werd mich dann jetzt mal dran machen und Christians Anweisungen befolgen,was solls.Tut mir leid das ich so ungeduldig war (liegt in meiner Natur).
Eine Frage noch.Du hast unten geschrieben,das ich nen Outlookex. benutze,und das hat auch der Rechner angezeigt,als ich den AntiVir durchlaufen lassen hab,das da so eine Bazille drin steckt-nur kann ich das nicht verstehen.Ich habe noch nie mit Outlook gearbeitet und ihn gleich vom Rechner geschmissen.Wie kann das also dann sein?? Und AntiVir hab ich schon immer und xtra noch a2!Keine Angst,ich schütz mich nicht nur beim Sex :pfui: :pfui: ...smile!

Wenn ich wieder online bin,werd ich mich sicher sofort melden und Euch mal zu nem Bier einladen,falls ihr nicht so weit weg wohnt :party: !

Dann drückt mir mal die Daumen.Bis denne und nochmals many thx

Music!

Hallo Schnecki,

also ich wüsste jetzt nicht, wo ich was von Outlook geschrieben hätte? In der Liste steht als prinzipielle Empfehlung, Outlook nicht als mailclient zu nehmen, meintest du das? Womit rufst du deine mails denn ab?
Prinzipiell ist es bei Outlook und vor allem dem IE so, dass man sie am besten in Ruhe lässt, also keine Deinstallationen versuchen, aber sie halt einfach nicht verwenden.
Wenns nur mp3s sind, die du zu sichern hast, ist es ja nicht soooo aufwendig. :)

Angesichts deiner schönen Sammlung an Schädlingen hoffe ich allerdings, dass du dich beim Sex etwas besser schützt. :) Es sind nämlich gar nicht in erster Linie solche Sicherheitsprogramme, die dafür zuständig sind, vielmehr gibt es einige wichtige Grundregeln zu beachten, danach sind sie nur noch als zusätzliche Tools interessant. Ich empfehle dir mal als weiterführende und auch für Einsteiger gut lesbare Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

Die Einladung nehme ich natürlich gerne an, hoffe aber, es ist ok, wenn ich lieber Wein trinke. :)

High!

Ich bin wieder hier! Ging ja schneller als gedacht. Hoffe mein Rechner ist jetzt wieder kerngesund. Aber bisher schauts gut aus.Habe keine Meldungen mehr bekommen.

Wein trink ich auch lieber...trocken und rot!
Also dann....auf bald!