mediaplex, doubleclick u.v.a. - immer wieder und phish/volksBKfraud.e in arc

21.12.2005, 14:22
...neu hier

Beiträge: 5
#1 hi ihr, meine letzte hoffnung

also...
ich habe einen neuen rechner (bei dem alten selbes) problem!

system ist windows XP, habe AntiVir Gueard und Spybot drauf
arbeite mit mozilla firefox uind thunderbird!

regelmäßig (also jeden Tag) findet spybot erneut mediaplex, doubleclick und ein paar andere...
jetzt kommt auch permanent die antivir-meldung, das Phish/VolksBKfraud.E in einem Archiv von thunderbird drin ist (oder Signaturen davon) und diese nicht gelöscht werden, da es sich um ein Archiv handelt.
Thunderbird ließ sich nicht mehr deinstallieren, da eine datei plötzlich fehlte... also habe ich es - trotz verlust vieler mails - manuell entfernt.
neu installiert -> dasselbe problem...
wie kriege ich das weg???
den ganzen Schei...???

mache grad einen kapersky eScan. läuft noch, aber der findet NE MENGE...

BITTE BITTE BITTE - was soll ich/kann ich tun. bin kein experte - im gegenteil. brauche dringend hilfe!!

danke im voraus
hendrik
Seitenanfang Seitenende
21.12.2005, 14:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 hendriks

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. Das ist bei allen Mozilla/Netscape-Varianten gleich.

dann kopiere hier das Log vom Scan (Kaspersky)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.12.2005, 14:54
...neu hier

Themenstarter

Beiträge: 5
#3 ich habe eben schonmal so enien hijack this... durchgeführt.
hier das log. vielleicht kann jemand damit schon was anfangen?

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
D:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\DOKUME~1\Vanessa\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Vanessa\LOKALE~1\Temp\kavss.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\MOZILLA\FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Vanessa\Desktop\antivirensoftware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?hl=de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/webhp?hl=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [InfoCockpit] D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DFC0CF3-A5F5-433B-A175-8C7027213580}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CDC74D-199F-4C2B-960E-64CC87440384}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



UND BITTE DARAN DENKEN - IHR ERKLÄRT DAS EINEM UNWISSENDEN!!!


ACH SO...
und danke SABINA. das mit thunderbird scheint funktioniert zu haben!!!
Dieser Beitrag wurde am 21.12.2005 um 14:58 Uhr von hendriks editiert.
Seitenanfang Seitenende
21.12.2005, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

dann kopiere hier das Log vom Scan (Kaspersky)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.12.2005, 16:03
...neu hier

Themenstarter

Beiträge: 5
#5 läuft noch. ich warte auch... :-(
läuft allerdings nicht im abgesicherten modus... schlimm?
das komplette log hier rein oder soll ich das irgendwie "filtern"?
Seitenanfang Seitenende
21.12.2005, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste das komplette log ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.12.2005, 16:21
...neu hier

Themenstarter

Beiträge: 5
#7 das ist EXTREM lang.....
ganz sicher????
verstehen wir uns richtig.. ich habe auf protokoll geklickt (log finde ich nicht)
und dieses protokoll ist RIESIG!!!

ich habe hier jetzt mal händisch die "virus protokoll information" reingeposted:

Object "searchexe Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\CoverDesigner\NeroCoverDesigner_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero BackItUp\NeroBackItUp_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero PhotoSnap\PhotoSnap-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero PhotoSnap\PhotoSnapViewer-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome_Jpn.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\NeroShowTime_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\ShowTime-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\Skins\standard.bmp". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero Recode\NeroRecode_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero Recode\Recode-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Programme\NPSWF32.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Programme\Mozilla\plugins\NPSWF32.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" verweist auf das ungültige Objekt "C:\WINDOWS\system32\cmmgr32.exe". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".msf". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rm". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt "OpenWithList". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\CHROME\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" verweist auf das ungültige Objekt "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\ftp\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\gopher\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\HTTP\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\https\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Datei C:\Dokumente und Einstellungen\Vanessa\Anwendungsdaten\Thunderbird\Profiles\hioo6y35.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.kd" Virus. Aktion vorgenommen: No Action Taken.
Dieser Beitrag wurde am 21.12.2005 um 16:27 Uhr von hendriks editiert.
Seitenanfang Seitenende
21.12.2005, 17:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 scanne mit kaspersky (online)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.12.2005, 18:02
...neu hier

Themenstarter

Beiträge: 5
#9 soooo. ich habe heut morgen den eScan durchgeführt.
erstaunlicherweise ohne funde!!!!
danach habe ich SpyBot nochmal laufen lassen:

Doubleclick
Mediaplex

wie kann das sein/kommen?
muss ich damit leben?
gruß
Dieser Beitrag wurde am 22.12.2005 um 11:07 Uhr von hendriks editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: