winad client - trojaner

#1 hallo,

habe es leider zu spät gemerkt - ein blödes popup ging auf und aus versehen reingeklickt *grml*

nun habe ich im taskmanager winad und winclt gefunden, kannte ich nicht, nachgesehen - ist ein trojaner.
adaware habe ich gerade laufen lassen, zeigt die dateien komischerweise nicht an. (hat nur mcinstl.exe, mcinstl.dll und wuinst.dll angezeigt. und die sagen mir im mom noch nichts.)
die dateien des winad client befinden sich im ordner c:/Program Files/Winad Client.

ich weiß nicht warum ich überhaupt auf die idee kam, finde den gedanken eigentlich total abwegig, aber ich ging unter systm, software und sah nach, ob er dort als installiert aufgeführt ist. (welcher trojaner ist so blöd und führt sich selbst auf ?)
egal - ich wurde tatsächlich fündig. da steht ganz einfach winad client.

nun die frage :
kann ich dann auch einfach auf winad client gehen und auf install/deinstall klicken und er wird dann brav deinstalliert ?
wäre ja zu schön...
habe übrigens win98.

vielleicht weiß das jemand ?
habe auch schon gesehen, daß es hier beiträge zu dem trojaner gibt - nur bin ich nicht wild in der registry zu werkeln, wenn es evtl ganz einfach geht.
jedenfalls um jede meinung dazu dankbar bin.

viele grüße, skys


ps : es hat jetzt geklappt, daß ich im abgesicherten modus über msconfig den winad client inaktivieren konnte, so daß er beim booten nicht wieder angeht.
ka, ob das zuverlässig ist und auch weiterhin funktioniert.
klappte auch erst als ichs im abgesicherten modus machte.

#2 1.Start<Ausfuehrenmsconfig
deaktiviere HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
(Haekchen rausnehmen) iim letzten Reiter, also Systemstart.

dann neustarten

2.Gehe in die Registry
Start<Ausfuehren<regedit

und loesche jeweils auf der echten Seite der Registry:

HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Winad.exe

schliesse die Registry und starte neu.

<Start<Ausfuehren (reinkopieren)
regsvr32 /u [systemroot]\winad2.dll
regsvr32 /u c:\system32\winad2.dll

neustarten

3.Loesche:
<c:\system32\winad2.dll
<<C:\Program Files\Winad Client\Winad.exe
<C:\Program Files\Winad Client\WinClt.exe
<winad email.txt
<winad.exe
<winad-install.txt

4.LEERE folgende Ordner:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*

5.Lade Antivirus (free)
aber nur, falls du noch keinen Virenscanner hast (sonst deaktiviere ihn kurz)
http://www.free-av.de/
konfiguriere:<alle Dateien< und Heuristik.mittel

#mache einen Komplettscann.

#Deaktiviere die Wiederherstellung
_____________________________________________________

<mcinstl.exe und <mcinstl.dll< ist : "ISTbar" XXXToolbar variant"
http://www.pestpatrol.com/pestinfo/i/istbar.asp

#poste am besten das Log vom HijackThis:
http://www.hijackthis.de/index.php


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi sabina,

dank dir vielmals für die mühe !
hatte noch gar nicht mit solch einer antwort gerechnet...

wie gesagt, mich wunderte es, daß winad client bei der software aufgeführt wurde und da fragte ich mich, ob man ihn also ganz einfach dort deinstalliern könnte oder ob das eine finte ist und mehr schaden anrichtet.
(bis jetzt noch nicht gemacht habe).

falls dazu noch jemand etwas sagen könnte ?

ansonsten erstmal herzlichen dank an dich, sabina, werde es also in angriff nehmen...

viele grüße + ein schönes we, skys



EDIT :


hi sabina und die anderen,

eben deine anleitung mal näher ansehen wollte und ausführen, wenn alles paßt. dabei fiel mir folgendes auf :

Zitat

HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Winad.exe

bei dem ersten eintrag fehlt mir der ordner clsid.
bei dem zweiten eintrag fehlt mir auch wieder clsid, komme nur bis classes.
und beim dritten eintrag fehlt mir winad.exe.


allerdings habe ich dies gefunden :
HKEY_LOCAL_MACHINE\software\Winad Client\
mit 3 einträgen drin :
standard
last update
param


und dann habe ich noch in der registry nach winad.exe suchen lassen, gefunden wurde es hier :
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-\
mit dem eintrag : winad client - C:\PROGRAM FILES\WINAD CLIENT\WINAD.EXE

daß dort eine winad.exe sitzt wußte ich schon, sieht man im explorer :
c:\Program Files\Winad Client\
mit den dateien :
ClientCom.dll
Winad.exe
WinClt.exe

(winclt.exe und clientcom.dll in der registry suchen lassen, aber nix gefunden wurde)

den winad habe ich im autostart deaktiviert, (im abgesicherten modus - im normalen kam er wieder), was wohl auch geklappt hat.


da dies : HKEY_LOCAL_MACHINE\software\Winad Client\
so normal und anständig eingetragen aussieht, auch nochmal meine eingangsfrage :
riskiere ich etwas zu verschlimmern oder kann ich es mal 'ganz normal' versuchen, indem ich über systemsteuerung/software gehe und dort den witzigerweise aufgeführten winad client versuche per buttonklick zu deinstallieren ?

wenn zu dem allem nochmal jemand etwas dazu sagen könnte ?


danke + viele grüße, skys

#4 Versuche es zu deinstallieren, loesche alle Eintraege in der Registry, die du findest, entlade die dll, neustarten und dann alles loeschen, was du findest.

Dann berichte (und poste das Log vom HijackThis,)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 danke sabina :))

*peinlich* aber : du sagtest, 'die dll entladen'.
wie "entlädt" man eine dll ? oder was meintest du ?


den hijack-log gerade schon durchwühle + paar antworten suche...
winad client noch nicht bearbeitet habe, trotzdem den log schon erstellt und mal mittels http://www.hijackthis.de/index.php# auswerten ließ.
dabei waren diese nicht einwandfrei :

hinweis auf veralteten ie

C:\WIN98\98SAFEREMOVE.EXE
Unbekannt
Laufender Prozess. (98SAFEREMOVE.EXE)
Dies ist ein unbekannter Prozess.

D:\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
Unbekannt
Laufender Prozess. (CSINSM32.EXE)
Dies ist ein unbekannter Prozess.
(cleansweep ein teilprog von norton ist, evtl nur noch nicht bekannt ?)

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
Unbekannt
Einige Programme sind hier schlecht. Das eingegebene Programm ([CD4C3CF0-4B15-11D1-ABED-709549C10000] - Treffer: ) wurde überprüft.
Trefferquote: 0,00 %
Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

O4 - HKLM\..\Run: [98SafeRemove] C:\WIN98\98SafeRemove.exe
Unbekannt
Zum eingegebenen Programm 98SafeRemove haben wir folgendes Programm gefunden: Kein.
Trefferquote: 6,25 %
(Resultate)
Nicht bekanntes Programm.

O4 - HKLM\..\RunServices: [ccPxySvc] D:\NORTONPE\CCPXYSVC.EXE
Unbekannt
Zum eingegebenen Programm ccPxySvc haben wir folgendes Programm gefunden: Kein.
Trefferquote: 0,00 %
(Resultate)
Nicht bekanntes Programm.

O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
Böse
Zum eingegebenen Programm PowerProf haben wir folgendes Programm gefunden: LoadPowerProfile.
Trefferquote: 56,51 %
(Resultate) = *
Unbedingt fixen!

* : Details

-- Resultate auf den Namen: "PowerProf" --

Name Datei Status
LoadPowerProfile ASDAPI.EXE Böse
LoadPowerProfile Rundll32.exe powrprof.dll Gut
LoadPowerProfile Rundll.exe powerprof.dll Böse
LoadPowerProfile rundl.exe Böse
LoadPowerProfile Rundll32.exe Böse

-- Resultate auf die Datei: "PowerProf.exe" --


O16 - DPF: Win32 Classes - file://C:\WIN98\Java\classes\win32ie4.cab
Eventuell Böse
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden.
Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - https://extranet1.lotus.com/q
Eventuell Böse
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden.
Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {2D360201-FFF5-11D1-8D03-00A0C959BC0A} (DHTML Edit Control Safe for Scripting for IE5) -
Eventuell Böse
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden.
Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab
Böse
Dieser Eintrag ist vermutlich Böse.
Sollte gefixt werden!


mistelig - 2 (die roten) also unbedingt fixen muß...
die indigofarbenen vermutlich fixen, ka
die 3 blauen einträge oben sind vermutlich ok - wobei ich bei der 98SAFEREMOVE.EXE auch schon gesucht hatte was es ist, hängt wohl mir gerätetreibern zusammen.
war skeptisch, weil es auch plötzlich mal da war und nicht wußte woher.

wie ich fixen muß, weiß ich allerdings noch nicht...
mir mal noch näher ansehen muß, sind ja einige dateien betroffen
(zb viele rundll-dateien)
powerprof 2x im autostart über msconfig mal häkchen raus genommen habe.
mal sehen, obs klappt.
(98saferemove steht 2x im autostart, ein häkchen dort schon vor längerem rausnahm)

und nun mal meine 4eckige augen ausruhen ;)

vielen dank auf jeden fall ! + viele grüße, skys

#6 Hallo @skys

Es waere wirklich nett, wenn du mir mal dein Log vom HijackThis posten wuerdest.
Eigentlich haette ich dich gleich drum bitten muessen, denn normalerweise gebe ich keine Reinigungstipps ohne das Log.

#Poste alles , wie es ist , auch mit der sehr "BOESEN"
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
..........................................................................
#das ist in Ordnung:
Process File: ccpxysvc or ccpxysvc.exe
Process Name: Symantec Common Client Proxy Service

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi sabina,

winad client gelöscht :)
("dll entladen" einfach mit löschen mal interpretiert habe)
nach dem deinstall ging eine seite auf mit dem angebot dreier software : http://www.windupdates.com/remove.php?soft=Winad+Client


log hatte ich noch nicht gepostet, weil einfach vorsichtig bin : erst nachlesen wollte, ob da irgendetwas vertrauliches drin ist, was ich erst löschen/abändern muß. verschlüsselte paßwörter (die langen zeichenfolgen) oder so. da es nicht weiß, dort in den zeichenketten eine zahl verändert habe, statt der ip am ende "IP" hinschrieb und proxyname geändert habe (alles grüne) - nehme an ist der proxy vom provider ?
jo, vermutlich 'zu' vorsichtig bin *seufz* - nicht böse sein, geht auch nicht gegen dich, ist einfach die unsicherheit des nichtwissens.
wenn die richtigen zahlen in den langen {zeichenketten} brauchst, sagen.

überlegte zb auch, was die abkürzungen bedeuten, was R und O heißt, BHO und DPF, etc :
R0 und R1
O2 und andere zahlen in zb :
O2 - BHO:
O9 - Extra button:
O9 - Extra 'Tools' menuitem:
O16 - DPF: ...................................... PF = program files ?
oder was passiert, wenn man auf die links mit .cab am ende klickt...


Logfile of HijackThis v1.98.2
Scan saved at 10:28:06, on 19.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
D:\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\WIN98\EXPLORER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
D:\NORTON PERSONAL FIREWALL\NISUM.EXE
D:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\LOGITECH\MAUS\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WIN98\SYSTEM\STIMON.EXE
C:\PROGRAMME\SMSC\SETICON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WIN98\98SAFEREMOVE.EXE
C:\WIN98\RunDLL.exe
D:\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
D:\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\WIN98\SYSTEM\DDHELP.EXE
H:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.etc.de:80
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-1709549C10000} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC16B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C19082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-17859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATI Scheduler] C:\ATI\ATIDESK\ATISched.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MAUS\MOUSEWAR\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WIN98\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [SetIcon] C:\Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NPROTECT] D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [98SafeRemove] C:\WIN98\98SafeRemove.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] D:\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [Nisum] D:\Norton Personal Firewall\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] D:\NORTONPE\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [NPROTECT] D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = D:\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-00150045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-00150045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa1003c157a} - C:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa1003c157a} - C:\WIN98\web\related.htm
O12 - Plugin for .mov: D:\NETSCAPE 478\PROGRAM\PLUGINS\Npqtw32.dll
O16 - DPF: Win32 Classes - file://C:\WIN98\Java\classes\win32ie4.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-001902742D6E0} (QuickPlace Class) - https://extranet1.lotus.com/qp2.cab
O16 - DPF: {2D360201-FFF5-11D1-8D03-001A0C959BC0A} (DHTML Edit Control Safe for Scripting for IE5) - http://gzhd-iseries.dyndns.org/DHTMLED.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct0_x.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E1099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = IP

wundere mich daß der yahoo messenger aufgelistet ist - hat nur ein verknüpfungsicon auf dem desktop, mehr nicht.

hattest recht, powerprof gehört zu norton :)
hatte es wieder angehakt und an einem fehler gemerkt, daß es paßt :
trotz ständiger virenupdates zeigte es virendefinitionen vom 18.8.04 an - etwas arg alt. nachdem ich powerprof wieder angehakt hatte, lief das update und hat nun aktuellen stand.


viele grüße, skys

#8 Hallo @skys

Fixe mit dem HijackThis, dann neustarten:

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-1709549C10000} - (no file)
O4 - HKLM\..\Run: [98SafeRemove] C:\WIN98\98SafeRemove.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O16 - DPF: Win32 Classes - file://C:\WIN98\Java\classes\win32ie4.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab

neustarten

1.Kennst du dieses Programm ???Woher hast du das ?
C:\WIN98\98SAFEREMOVE.EXE

2.Entladen winad2.dll \ClientCom.dll:
........................................................
Start<Ausfuehren< reinkopieren:
regsvr32 /u %systemroot%\apppatch\winad2.dll
regsvr32 /u %systemroot%\apppatch\ClientCom.dll

<Enter< und PC neustarten.

nach dem Neustart kann man die C:\WIN98\SYSTEM\winad2.dll und die C:\WIN98\SYSTEM\ClientCom.dll loeschen.

3.Loesche in der Registry folgenden Eintrag:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-\
mit dem eintrag : winad client - C:\PROGRAM FILES\WINAD CLIENT\WINAD.EXE

4.Neustarten und
Loeschen:
<://c:\x.cab (gepackte Datei) ...loeschen (!)
<PowerProf.exe
<winad2.dll
<ClientCom.dll
<C:\PROGRAM FILES\WINAD CLIENT\WINAD.EXE
<C:\PROGRAM FILES\WINAD CLIENT\WinClt.exe

4.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hi sabina + alle anderen,

erstmal vielen dank für deine mühe !

trotzdem noch fragen habe, gerne wissen möchte was/warum ich tue g
einiges hast du im vorigen post evtl auch überlesen.

Zitat

Entladen winad2.dll \ClientCom.dll

du hast mir noch nicht verraten was du mit "entladen" meinst.
löschen ? entpacken ? - ka.

Zitat

Kennst du dieses Programm ???Woher hast du das ?
C:\WIN98\98SAFEREMOVE.EXE

kenne es nicht, vermute nur, daß es evtl mit der installation einer digicam zu tun hat. und dann die entfernung evtl nicht so geschickt wäre. habe auch diesen link dazu gefunden :
http://www.winfuture-forum.de/index.php?act=ST&f=1&t=11404

Zitat

regsvr32 /u %systemroot%\apppatch\winad2.dll

was besagt der befehl ?
den winad client hatte ich das letzte mal schon deinstalliert und in der registry dann einträge gelöscht. bekam eine webseite angezeigt ( http://www.windupdates.com/remove.php?soft=Winad+Client ), aber schien soweit alles ok zu sein (s. letztes posting)

Zitat

<://c:\x.cab (gepackte Datei) ...loeschen (!)

fehlt da etwas vor dem doppelpunkt ?
was für eine datei ist es bzw wofür oder was stellt sie an ?

Zitat

O16 - DPF: Win32 Classes - file://C:\WIN98\Java\classes\win32ie4.cab

ist das ein relikt des alten ie 4.0 ?
was heißt DPF ?

Zitat

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-1709549C10000} - (no file)

was heißt denn BHO ?
und was ist das für ein prozess bzw wozu gehört es oder was stellt es an ?

Zitat

PowerProf.exe löschen

wieso ? offensichtlich von norton doch gebraucht wird (s. letztes posting)

Zitat

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen

auf c nichts mehr installiere, habe dort ein ziemliches platzproblem - wenn, dann nur, wenn sich escan auch woanders wohlfühlen würde und nicht noch etwas auf c setzt. *mal ansehen*
update über dos machen ? hm, wüßte ich im mom gar nicht wie.

erst mal soweit, damit es übersichtlich bleibt g

danke dir + viele grüße, skys

#10 Hallo @skys

Erst einmal ist dein PC voellig verseucht.
Also:

Frage 1:
Manche dll kann man nicht direkt loeschen, man muss sie vorher mit einem bestimmten Kommando entladen.
Start<Ausfuehren< reinkopieren:
regsvr32 /u %systemroot%\apppatch\winad2.dll
regsvr32 /u %systemroot%\apppatch\ClientCom.dll

dann neustarten. Nun kann man die dll loeschen.

Frage 2:
C:\WIN98\98SAFEREMOVE.EXE
http://www.winfuture-forum.de/index.php?act=ST&f=1&t=11404
Frage 3:
regsvr32 /u %systemroot%\apppatch\winad2.dll...siehe Frage 1)
Frage 4:
/c:\x.cab ist ein Trojaner \Dialer und muss UNBEDINGT geleoscht werden !!!!
Frage 5:
016: DPF
O16 = ActiveX-Objekte (auch bekannt als Downloaded Program Files), Beispiel Macromedia Shockwave und Flash, ActiveX Control, Office Update Engine
Du solltest Java-Sun laden (ist sicherer)
ist nicht <bad<
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q183/4/11.ASP&NoWebContent=1
Frage 6:
O2 = BHO-Programmerweiterungen (Browser Helper Objects)
Er gehoert wahrscheinlich zu dem Spybot-Programm, dass du neu laden sollst.
Frage 7:
Reboot and delete:
C:\WINDOWS\System32\PowerProf.exe zusammen mit "mpr16.dll" loeschen.
Ist ein Trojaner (!)

Start<Ausfuehren< reinkopieren:
regsvr32 /u %systemroot%\apppatch\mpr16.dll
neustarten und "mpr16.dll" loeschen

Frage 8:
Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base"ODER EINE ANDERE entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten

Ohne den Virenscanner bekommst du deinen PC nicht sauber.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hi sabina,

vielen dank für deine infos ! nun ist auch einiges klarer.
etwas probleme hatte, daher auch länger dauerte für antwort.

winad hatte ich gelöscht, anscheinend erfolgreich *hoff*
denn ich finde zzt über dateisuche keine winad2.dll, ClientCom.dll im explorer.
oder soll ich dann trotzdem eingeben was du sagtest ?

Zitat

/c:\x.cab ist ein Trojaner \Dialer und muss UNBEDINGT geleoscht werden !!!!

habe die gepackte datei gelöscht. da sie noch gepackt war, nehme ich an, war der trojaner noch nicht aktiv (?)

Zitat

O16 = ActiveX-Objekte (auch bekannt als ), Beispiel Macromedia Shockwave und Flash, ActiveX Control, Office Update Engine
Du solltest Java-Sun laden (ist sicherer)
ist nicht <bad<

java-sun hatte ich schon einige male wegen etwas installiert, veränderte aber ie-verhalten, daher wieder deinstallt habe.
daß ich ie auch abschaffen müßte, ist mir klar, früher ns nutzte, dann moz, der aber leider pc von einer sec zur nächsten aufhing. habe nun andere moz-version und firebird, aber optimal ist es auch nicht - nutze firebird und ns nur selten. favs sind eben jetzt alle hier.
wäre das richtig zu sagen :
daß java-sun die anderen (ActiveX-Objekte, Macromedia Shockwave und Flash, ActiveX Control, Office Update Engine) ersetzen kann ?
wäre mir neu.

Zitat

Frage 7:
Reboot and delete:
C:\WINDOWS\System32\PowerProf.exe zusammen mit "mpr16.dll" loeschen.
Ist ein Trojaner (!)

kann beides per dateisuche nicht finden

Zitat

Start<Ausfuehren< reinkopieren:
regsvr32 /u %systemroot%\apppatch\mpr16.dll
neustarten und "mpr16.dll" loeschen

mpr16.dll per dateisuche gar nicht finde – kann/soll ich es trotzdem machen ?

Zitat

Frage 8:
Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base"ODER EINE ANDERE entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten

escan habe ich installiert. ärgerlich : es setzt sich doch auf c.
beim download bekomme ich die datei mwav.exe.
die muß ich anklicken um den scanner zu starten, gleichzeitig ist es aber eine selbstentpackende datei und wirft mir alle dateien auf c in einen ordner, wo noch andere liegen.
entpacke ich sie mit winzip in ein anderes verzeichnis, geht das zwar, aber ich kann den scan ja nicht starten ohne auf mwav.exe zu klicken.

escan lief und pc wurde immer langsamer.
am ende hätte ich zwar das log gehabt, aber pc hing sich beim minimieren des scanners ganz auf...

kann mich erinnern, daß er alle trojaner/viren, die schon in quarantäne waren löschte. dazu fand er noch 1,2 die er entfernte.
überrascht war ich auch, daß eine ganz normale windows media player .exe datei mit einem trojaner infiziert war. wurde wohl entfernt, weiß ich aber nicht mehr - wäre aber sonst im nächsten escan nochmal aufgetaucht, denke ich.
und dann fand er noch etwas wie st-sool... im temp/ie content/unterordner, woran er aber nichts änderte – die unterordner auch alle mal gelöscht habe.
hätte es mir aufschreiben sollen, hatte nicht mit einem aufhängen gerechnet.
ließ escan nochmals laufen und den log schließe ich gleich an.

habe allerdings ein problem :
die tastatur geht irgendwann nicht mehr, wenn escan läuft. nur noch maus und kopieren, aber enter und schreiben geht nicht mehr.
um den log zu retten hatte ich ihn im editor abgespeichert.
beim dateinamen eingeben ging die tastatur – aber nur so, daß sie jeden buchstaben 2x eingab, nicht einzeln (also immer einen löschen mußte).

auch nach dem booten das problem mit der tastatur noch hatte, im moment geht sie (wieder gebootet), aber gestern wars essig.

hier nur mal der log von escan :

1) File C:\WIN98\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
2) File E:\EigeneDateien\HM\Divers\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
3) File E:\EigeneDateien\HM\I-Net\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
4) File E:\EigeneDateien\MM\mWord\mPc\startdiskPCr\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
5) File E:\EigeneDateien\MM\mWord\mPc\Fdiskette\rmpc\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
6) File E:\EigeneDateien\MM\mMix\gemixtDats\vonA\Ser*hier nicht!*\s2k.hacking.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

der 2. + 3. eintrag gehört wohl zum yahoo-messenger.
den 6. eintrag kenne ich – der stammt witzigerweise von einem in meinen augen unseriösen pc-fachhändler.

was bedeutet "tagged as not-a-virus:Tool" ?

der neue hijackthis-log :

Logfile of HijackThis v1.98.2
Scan saved at 06:07:55, on 23.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\MSTASK.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
D:\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
D:\NORTON PERSONAL FIREWALL\NISUM.EXE
D:\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE
D:\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\LOGITECH\MAUS\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WIN98\SYSTEM\STIMON.EXE
C:\PROGRAMME\SMSC\SETICON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WIN98\98SAFEREMOVE.EXE
C:\WIN98\RunDLL.exe
D:\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
D:\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\WIN98\SYSTEM\SPOOL32.EXE
H:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-etc.de:80
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-7091549C10000} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B0814872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C90182467} - C:\WIN98\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-78591DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATI Scheduler] C:\ATI\ATIDESK\ATISched.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MAUS\MOUSEWAR\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WIN98\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [SetIcon] C:\Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NPROTECT] D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [98SafeRemove] C:\WIN98\98SafeRemove.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] D:\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [Nisum] D:\Norton Personal Firewall\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] D:\NORTONPE\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [NPROTECT] D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = D:\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-00500145C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-00500451C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: Related - {c95fe0810-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa0031c157a} - C:\WIN98\web\related.htm
O12 - Plugin for .mov: D:\NETSCAPE 478\PROGRAM\PLUGINS\Npqtw32.dll
O16 - DPF: Win32 Classes - file://C:\WIN98\Java\classes\win32ie4.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-009027142D6E0} (QuickPlace Class) - https://extranet1.lotus.com/qp2.cab
O16 - DPF: {2D360201-FFF5-11D1-8D03-00A0C9159BC0A} (DHTML Edit Control Safe for Scripting for IE5) - http://gzhd-iseries.dyndns.org/DHTMLED.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct0_x.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = IP

hm, x.cab hatte ich im explorer gelöscht
per dateisuche finde ich die datei nicht *grummel*
den log habe ich eben vor 5 minuten gemacht...

was für ein proxy-server ist das eigentlich, der ziemlich oben angegeben wird (blau, "etc" ist von mir) - vom provider ? ich nutze keinen.


hier bin ich noch nicht weiter :

Zitat

Frage 2:
C:\WIN98\98SAFEREMOVE.EXE
http://www.winfuture-forum.de/index.php?act=ST&f=1&t=11404

den link hatte ich dir geschrieben, weil dort etwas steht, wonach 98saferemove.exe in ordnung wäre.
weiß im mom nun nicht... was hältst du von dem link ?

Zitat

O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q183/4/11.ASP&NoWebContent=1

daß mein ie fehlerhaft ist habe ich schon gemerkt, bisher aber auch nicht wußte wie ändern, außer den neuen zu laden (worauf ich nicht so wild bin).
habe mir deinen link schon angesehen - brauche dazu aber mal mehr zeit + ruhe, wenn ich das alles machen will. könnte evtl schwierig sein für mich, da nicht so fit bin.

und bzgl powerprof.exe hatte ich 2 einträge im msconfig-autostart, die ich dir abschreiben wollte - nun ist nur noch einer da :
LoadPowerProfile ...... Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
bei dem anderen eintrag stand nur : PowerProf.exe dahinter

noch einige inaktivierte dinge dort stehen habe, die ich später mal abschreibe, könnten sicher auch einige raus.

so - jetzt mal sehen, ob die tastatur weiterhin noch spinnt...


vielen dank schon mal für deine zeit + viele grüße, skys

#12 Hallo

Fixe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-etc.de:80
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-7091549C10000} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab

neustarten

Deinstalliere den Symantec..ist wahrscheinlich zerstoert...deshalb die Performance-Probleme..... (Viren koennen sowas bewirken) Spaeter installierst du ihn natuerlich wieder.

1.Loesche die <c:\x.cab< (auch) in WinRar, denn dort muesste sie auch sein (gepackt)

2.Loesche manuell:
E:\EigeneDateien\MM\mMix\gemixtDats\vonA\Ser*hier nicht!*\s2k.hacking.exe

3.AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

4.Search&Destroy
http://www.safer-networking.org/de/download/index.html

5.Loesche alle Eintrage in Windows und in der Registry mit owerProf.exe (aber nur die)

6.Der Rat mit Java-Sun war nur ein Tipp. hatte nichts mit den anderen 016-Eintraegen zu tun.

7.Lasse es , ich kann nicht mit Sicherheit sagen, ob es gut oder bad ist.
C:\WIN98\98SAFEREMOVE.EXE

8.tagged as not-a-virus:Tool ...ist kein Virus, also kann alte Software-Rest sein oder ein Dialer oder Spyware.

9.Scanne mit ANTS 2.1
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

Fuehre alles durch und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo sabina,

zzt nicht recht voran komme. daher nur zwischenstand + 3 fragen :

Zitat

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-7091549C10000} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab

sind gefixt

Zitat

Fixe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80

bin mir nicht sicher, aber ist wohl der proxy vom provider.
hm, ka, was es für auswirkungen hätte, ihn dann zu löschen... ?

Zitat

Loesche die <c:\x.cab< (auch) in WinRar, denn dort muesste sie auch sein (gepackt)

in winrar war keine zu finden (mit dateisuche auch nicht)

Zitat

Loesche manuell:
E:\EigeneDateien\MM\mMix\gemixtDats\vonA\Ser*hier nicht!*\s2k.hacking.exe

jöp

Zitat

AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

hatte nix gefunden

Zitat

Loesche alle Eintrage in Windows und in der Registry mit owerProf.exe (aber nur die)

habe in registry mal nach powerprof.exe gesucht - wurde anscheinend nichts gefunden
komisch, da es im msconfig-autostart ja noch einen eintrag gibt :
LoadPowerProfile ...... Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Zitat

tagged as not-a-virus:Tool ...ist kein Virus, also kann alte Software-Rest sein oder ein Dialer oder Spyware.

sollte man es trotzdem entfernen oder zur sicherheit nicht ?

noch machen muß, aber mehr zeit + ruhe dafür brauche :

Zitat

Deinstalliere den Symantec..ist wahrscheinlich zerstoert...deshalb die Performance-Probleme..... (Viren koennen sowas bewirken) Spaeter installierst du ihn natuerlich wieder.
Search&Destroy
http://www.safer-networking.org/de/download/index.html
Scanne mit ANTS 2.1
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

können sich die antiviren/trojaner- programme gegenseitig nicht beißen ?
von av-progs hatte ich das früher öfter mal gehört.
und das wären jetzt ja schon ca 4,5 suchprogramme gleichzeitig.

sry, daß es bei mir im mom so schleppend geht, dir noch nicht mehr schreiben kann. melde mich aber auf jeden fall in einigen tagen.
(bißchen hoffe, daß ich es dieses we hinbekomme)

viele grüße + ein schönes we, skys

#14 Hallo @skys

1.Dieser Eintrag wurde als Gut identifiziert!
01 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.etc.de

2. Fixe mit dem HijackThis, dann neustarten:
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-1709549C10000} - (no file)
O4 - HKLM\..\Run: [98SafeRemove] C:\WIN98\98SafeRemove.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-9912EE8E6BAD6} - file://c:\x.cab

3.Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*

4. Deinstalliere den Symantec (wie schon erklaert)
Lade Antivirus [/color]...akzeptiere, dass das Tool auch nach Dialern sucht (es wird angefragt)
http://www.free-av.de/
Nach dem Installscann konfiguriere: <Alle Dateien< und <Heuristik: mittel<
Dann mache einen Komplettscann, poste das Log vom Antivirus , deinstalliere das Tool wieder, lade wieder den Symantec, scanne mit ihm auch noch mal und poste das neue Log.

5.Zu deiner Frage:
Was sich nicht vertraegt sind mehrere Antivirentools im Autostart (escan ausgeschlossen), aber die SpywareTools kann man in beliebiger Anzahl laden, ohn dass man Probleme bekommt.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit