Opera 02 Mail - Probleme mit Viren

#0
23.06.2004, 15:09
Member

Beiträge: 13
#1 Hallo, ich habe ein problem mit dem O2 Mail von Opera.
Ich bekomme ab und zu eMail Viren zugeschickt.

Re: Your details...

oder so in die Topics...

wenn ich diese eMail anklicke, dann kackt mein halbes System ab :/
~

AntiVir findet einen Vorus und poppt dieses "Löschen, Überschrieben, in Quarant. Verz. packen" Fenster auf.

Aber von da an geht NIX mehr. Opera lässt sich nicht mehr beenden, im Antivir Fenster taucht kein Inhalt auf.

Wo dran kann das liegen?
Öffnet Opera alles was es bekommt?? Wie kann ich da was machen?
Seitenanfang Seitenende
23.06.2004, 16:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2004, 14:46
Member

Themenstarter

Beiträge: 13
#3 Logfile of HijackThis v1.97.7
Scan saved at 14:46:11, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\SECRETMAKER\secretmaker.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\Felix\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - Startup: Secretmaker.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37571.5320023148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

~~~~

Ist da was böses drin?
Seitenanfang Seitenende
24.06.2004, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 fixe mit dem HijackThis

O2 - BHO: (no name) - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing)


neustarten

Lade die mwav.exe ...30 Tage free, scanne \alle Dateien\ und poste, ob was gefunden wurde.
http://www.mwti.net/antivirus/free_utilities.asp

Lade alle Tools von dieser Site
http://www.rokop-security.de/main/article.php?sid=703



MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.06.2004 um 15:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.06.2004, 10:57
Member

Themenstarter

Beiträge: 13
#5 OK Sabrina: Hier das Scanlog:

~~
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\WINDOWS\system32\ssms.exe infected by "Backdoor.Rbot.l" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Jumper (1).zip\Jumper!\jumper v1.1.exe tagged as not-a-virus:NetTool.Scanner.Tifter. No Action Taken.
File C:\Download\Anwendungen\Divx 5.02 pro.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0076413.EXE.VIR infected by "Backdoor.Rirc.b" Virus. Action Taken: File Renamed.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\MP3 to WAV Decoder\SaveInstWm.exe tagged as not-a-virus:AdvWare.SaveNow.e. No Action Taken.
File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\WAV to MP3 Encoder\SaveInstWm.exe tagged as not-a-virus:AdvWare.SaveNow.e. No Action Taken.
File C:\System Volume Information\_restore{111E4322-0C11-4502-BE8C-DF57292910F0}\RP715\A0089786.exe infected by "Backdoor.Rbot.l" Virus. Action Taken: File Renamed.
~~

Ich habe erstmal alles so gelassen und noch nix gelöscht.
~

Zu den Tools die ich installieren sollte: Die habe ich bis auf AdAware alle schon drauf. AdAware pack ichz jetzt mal drauf. Verträgt sich das mit AntiVir?

Oder sollte ich AntiVir wegwerfen und nur noch AdAware nutzen?
Seitenanfang Seitenende
25.06.2004, 12:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1. Arbeite alles ab, um das SaveNow zu loeschen
http://sarc.com/avcenter/venc/data/adware.savenow.html


Start<Ausfuehren regedit ...loesche rechts, wenn es da ist

HKEY_LOCAL_MACHINE\Software\WhenUSave
HKCR\WUSN.1

Loeschen
C:\WINDOWS\system32\ssms.exe
#C:\Programme\WAV to MP3 Encoder\SaveInstWm.exe
#C:\Program Files\Save\SaveUninst.exe
# Save.exe
# Save.html
# Readme.txt
# SaveUninst.exe
#C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Jumper (1).zip\Jumper!\jumper v1.1.exe

2.Deinstalliere den Antivir. und lade neu...er ist durch den Backdoor zerstoert
http://www.free-av.de/
3.Lade eine Firewall...Sygate free
http://smb.sygate.com/products/spf_standard.htm
4.Lade alle Tools von dieser Site
http://www.rokop-security.de/main/article.php?sid=703
5.Deaktiviere die Wiederherstellung...boote und aktiviere wieder.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
6. Dann scanne noch eimal mit der mwav.exe und berichte.

Stelle unter InternetOptionen eine Startseite ein und poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 12:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.06.2004, 13:26
Member

Themenstarter

Beiträge: 13
#7 Von SaveNow war nix mehr nzu sehen. Das hat wohl SpyBot oder irgendetwas in der Art schon gelöscht.

Jumper1.1 habe ich auch gelöscht. Was war denn damit? Das ist eigentlich ein bekanntes und Funny Old School Jump And Run Spiel.

Läuft AntiVir und AdAware zusammen? Oder gibt es da Probs?

~

So ich boote mal neu und scanne nochmal alles durch, dann poste ich hijackthis log und den log von dem mvaw.exe.

dankeschön schonmal!

[edit]
Eine Frage noch: Was hat das BackdoorProgramm mit Antivir gemacht? Ich update Antivir täglich. Ist es dann auch "hin"?
Naja, neu installiert habe ich es, macht ja nix,

[edit2]
So nun mal die Logs:
Hoffentlich war es das jetzt ;)

10000 dank für deine Hilfe!

Felix

~~

File C:\Download\Anwendungen\Divx 5.02 pro.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\RECYCLER\S-1-5-21-746137067-1214440339-725345543-1004\Dc7.exe tagged as not-a-virus:NetTool.Scanner.Tifter. No Action Taken.

~~~~

Logfile of HijackThis v1.97.7
Scan saved at 15:07:34, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate - SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SECRETMAKER\secretmaker.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Opera7\opera.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Felix\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: Secretmaker.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37571.5320023148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 25.06.2004 um 15:08 Uhr von FelixDamrau editiert.
Seitenanfang Seitenende
25.06.2004, 15:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1. der Antivirus ist <hin<, deinstalliere ihn unbedingt und dann lade ihn neu...der Backdoor hat ihn zerstoert.

2.Leere den Papierkorb
3.Was ist das ???
C:\Programme\RealVNC\WinVNC\
4. Antivrus und AdAware oder andere Spywarescanner vetragen sich wunderbar...kein Problem...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 15:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.06.2004, 16:50
Member

Themenstarter

Beiträge: 13
#9 AntiVir habe ich neu installiert.
Wollte nur wissen was dieses Backdoor Ding da gemacht hat.

RealVNC ist ein Programm mit dem ich meinen OC von zu Hause steuern kann. So wie die RemoteDesktopverbindung.

Papierkorb ist auch geleert. habe das auch im Log gesehen.

dankeschön nochmal!
Seitenanfang Seitenende
26.06.2004, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 der Backdoor ist auf deinem System spazierengegangen....
Sozusagen ferngesteuert, als waere es sein eigener Comp....
Hoffentlich hast du keine vertraulichen Daten drauf und wenn ja, verschluesselt.
Ansonsten ist es kein Problem.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2004, 00:39
Member

Themenstarter

Beiträge: 13
#11 Zum Glück nicht.

Nur Unizeug, das kann jeder lesen. ;)

1000 Dank für deine Hilfe! Echt super!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: