wie bekomme ich enhanced medialoads weg...

#31 Hallo,
Bei Start/Suchen/Dateien/Ordner/Name C\Windows\Recycled\DC1\cl\datin.exe findet er nichts.
Bei Start/Suchen/Dateien/Ordner/Enthaltener Text C\Windows\Recycled\DC1\cl\datin.exe findet er ebenfalls nichts.

Aber Bei Start/Suchen/Dateien/Ordner/Enthaltener Text dc1 bringt er mir so scheint es die mir die gesammten Computerdateien.


Logfile of HijackThis v1.97.7
Scan saved at 22:17:41, on 28.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS2\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\WEBROOT\WASHER\WWDISP.EXE
C:\PROGRAMME\MRU-BLASTER\SCHEDULER.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\BRETTSPIELWELT\BRETTSPIELWELT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\EIGENE DATEIEN\22.05.04\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS2\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Programme\MRU-Blaster\scheduler.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Programme\MRU-Blaster\mrublaster.exe
O12 - Plugin for .pl: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003050501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37881.505775463
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-9600-000000000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

MfG tulpe25

#32 Also noch einmal von vorn das Spielchen:

scann den HijackThis, hake an , was ich poste und dann<fix<

O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx

neustarten

#dann suchst du diese Temp.C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx loescht sie
#dann gehst du in die Registry suchst und loescht:
{3B02AAA2-327C-40ED-A849-4BE819AE5385}
#suche in der Registry auch imgSizer und loesche

Dann poste das Log noch einmal.
Schnief.....

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo,
den Eintrag in Hijack This habe ich gefixt
in C:\WINDOWS\TEMP findet er aber nicht ~DlfnTmp0\imgSizer.ocx

Aber in C:\WINDOWS\TEMP habe ich versucht alle Dateien zu löschen welches er auch bei fast allen macht aber bei ~Df14c3.tmp sagt er diese Datei könne nicht gelöscht werden und weiter unten bei einer anderen Datei, welche weiß ich nicht erzeut er einfach wieder Kopien von allen Dateien die ich bis dahin aus dem Temp Ordner gelöscht habe.

und in der Registry wüsste ich nicht wo ich {3B02AAA2-327C-40ED-A849-4BE819AE5385} und imgSizer suchen soll, im Regcleaner findet er nichts dergleichen.



Logfile of HijackThis v1.97.7
Scan saved at 10:24:16, on 29.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS2\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\WEBROOT\WASHER\WWDISP.EXE
C:\PROGRAMME\MRU-BLASTER\SCHEDULER.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\EIGENE DATEIEN\22.05.04\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS2\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Programme\MRU-Blaster\scheduler.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Programme\MRU-Blaster\mrublaster.exe
O12 - Plugin for .pl: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003050501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37881.505775463
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-9600-000000000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

sorry , bin selbst schon am verzweifeln.

MfG tulpe25

#34 Schliesse den IE und loesche mal bitte unter InternetOptionen alle TemporaryInternetFiles , sowie Cookies .

Sieh mal ob du das findestin der Registry)...loeschen !

HKEY_CLASSES_ROOT\CLSID\{3B02AAA2-327C-40ED-A849-4BE819AE5385}

-----------------------------------------------------------------------
Clear Prog 1.4.1 Beta 7 Win9x/NT/2000/Me/XP 188KB
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera. Löscht auf Wunsch Cookies, den Verlaufsordner, temporäre Internet-Dateien sowie den Papierkorb, den Temp-Ordner von Windows und die Einträge der Autovervollständigen-Funktion. PlugIn-Funktion zum selbständigen Einfügen von Löschvorgängen.

Lade bitte dieses Tool und reinige noch einmal den IE
http://www.clearprog.de/

Lade den http://www.javacoolsoftware.com/spywareblaster.html

Das Log ist jetzt eigentlich sauber.
Scanne noch einmal mit allen Tools, die ich dir im Laufe der "Jahre" so gepostet habe und schreibe, was noch so angezeigt wird.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Hallo,
alles wie beschrieben getan im abgesicherten Modus.
Bazooka findet noch MS Media Player Guid.
Antivir gibt 2 Warnungen aus aber keine Vieren und unerlaubten Programme.
Der Ordner C:\WINDOWS\TEMP ist fast leer bis auf ~df22c3.tmp, ZLT03eab.TMP und ~df3dcf.tmp, bekomme ich nicht raus.
Genau wie bei der Systemsteuerung/Software Delfin Media Viewer kommt beim deinstallieren die Meldung "The fooowing file does not exist or not a valid uninstallation log file C\Progr.1\Defin\Promul\Uninstal.Log", bekomme ich einfach da nicht raus.

MfG tulpe25

#36 Probiere folgendes: Navigiere mit Windows Explorer in das Verzeichnis

C:\Dokumente und Einstellungen\BENUTZERNAME\
Lokale Einstellungen\

und kopiere den Ordner "Temporary Internet Files" aufs Desktop.

Wenn du hier die Kopie des TIF-Ordners durchsuchst, offenbaren sich die besagten Unterverzeichnisse und die Datei index.dat. Diese Kopie der index.dat kannst mit einem Editor öffnen, um die Inhalte und somit den Browser-Verlauf zu betrachten. (was steht da drin ?)
--------------------------------------------------------------------------
http://lavasoft.element5.com/german/support/download/
http://beam.to/spybotsd

Spybot (Search&Destroy und AdAware (free)...updaten vor dem Scannen ...sollen die MediaLoads beseitigen.
Hast du schon damit gescannt?)

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hallo,
Spybot und AdAware schon gescannt, welche Media Loads meinst du?
C:\Dokumente und Einstellungen\BENUTZERNAME\
Lokale Einstellungen\ finde ich unter Windows Explorer nicht, sondern nur,
C:\WINDOWS\Temporary Internet Files welcher jetzt leer ist, da ich ihn unter Internetoptionen gerade gesäubert habe.

MfG tulpe25

#38 Uff, soll das heissen, dass jetzt alles sauber ist ??????????????''
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#39 ... nein immer noch so wie vorher beschrieben.
Ich bin wohl ein schwerer Fall? schmunzel
MfG tulpe25

#40 Uff

Findest du diese Sachen ?
%ProgramFiles%\Delfin and %ProgramFiles%\Common Files\DPI.
pgstub.exe" = "<path to program>"
promulgate" = "<path to program>"
http://sarc.com/avcenter/venc/data/adware.delfin.html

Wenn ja, loesche sie bitte

Lade dieses Tool und bete....
http://www.securemost.com/articles/trou_3_remove_medialoads.htm
http://www.securemost.com/antisp/spywareadwareremover.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Hallo,
Findest du diese Sachen ?
%ProgramFiles%\Delfin and %ProgramFiles%\Common Files\DPI.
pgstub.exe" = "<path to program>"
promulgate" = "<path to program>
finde ich nicht bei mir, ist wohl sauber?

http://sarc.com/avcenter/venc/data/adware.delfin.html
was soll ich damit machen, hatten wir doch schon, die Registry Einträge finde ich nicht bei mir.

Lade dieses Tool und bete....
http://www.securemost.com/articles/trou_3_remove_medialoads.htm
http://www.securemost.com/antisp/spywareadwareremover.htm
Welches Tool, dieses: SpyWare and AdWare Remover ($29.00)?

MfG tulpe25

#42 Liebe Liebe @Tulpe25.
Ich gebe es auf.
Vielleicht weiss jemand anderes noch einen Loesung.

Lade noch dieses Tool (kostenlos...), klicke alles an und vielleicht findest du etwas von der Spyware, was du loeschen kannst.
http://www.diamondcs.com.au/index.php?page=apm
Ansonsten loesche immer die TemporaryInternetFiles (kann man im InernetOptionen \Extras einstellen.

Uff

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit