wie werde ich folgende adware wieder los?????

#0
01.07.2004, 21:09
Member

Beiträge: 17
#1 Hallo zusammen!

Norton 2004 hat mir folgende Dateien als risikobehaftete adware angezeigt:

alchem.exe
bridge.dll
jao.dll
polall1t.exe
preInsTT.exe
twaintec.dll

Norton löscht diese Teile nicht, wie krieg ich sie weg und wie gefährlich sind sie für meinen Rechner???

Ausserdem zeigt Spybot mir immer wieder (trotz mehrmaligem Löschen) einen Dos Exploit an... wie verschwindet der denn wieder von meinem PC??? Oder ist der nicht gefährlich?

Vielleicht kann mir ja jemand helfen.
Danke schon mal im Voraus.

Ganz liebe Grüße,
Perle
Seitenanfang Seitenende
04.07.2004, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.

Was du da hast...IST gefaehrlich....
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2004, 20:22
...neu hier

Beiträge: 3
#3 Hallo Sabina.

Bei mir sagt er fast das gleiche.

Norton 2004 hat mir folgende Dateien als risikobehaftete adware angezeigt:

nethv32.dll
Ich habe es auch mit Spybot versucht, auch nach mehrmaligen Norten ist er noch drin.
Norton sagt nur:
Die Datei WINDOWS\system32\nethv32.dll ist eine Adwarebedrohung.

Recit es aus, wenn ich sie lösche.

MfG Burki
Seitenanfang Seitenende
29.09.2004, 00:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @Burki

C:\WINNT\system32\nethv32.dll
RiskWare.Dialer.E-Group.

______________________________________________________________________-
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

Gehe in die Registry
Start<Ausfuehren<regedit

Suche und loesche jeweils auf der rechten Seite der Registry unter dem Schluessel:
HKEY_CLASSES_ROOT\
alle Eintraege von:

egdhtml.egdialhtml
egdhtml.egdialhtml.1
egdialobject.egdial
eghtmldialer.htmldialer
eghtmldialer.htmldialer.1


Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\system32\nethv32.dll
<enter<

PC neustarten

#c:\system32\nethv32.dll umbenennen in : nethv32.dl und loeschen.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

.................................................................................................

Poste UNBEDINGT das Log vom HijackThis, denn der Dialer hat noch andere Elemente.
scann, save und dann das Log mit der Maus ins Forum kopieren.
HijackThis:
http://www.wintotal.de/softw/?id=2022

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 10:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.09.2004, 16:53
...neu hier

Beiträge: 3
#5 Hallo

Norton 2004 hat mir folgende Dateien als risikobehaftete adware angezeigt:

nethv32.dll

Ich habe es auch mit Spybot und Ad Aware 6.----versucht, auch nach mehrmaligen Norten ist er noch drin.
Norton sagt nur:
Die Datei WINDOWS\system32\nethv32.dll ist eine Adwarebedrohung.
Recit es aus, wenn ich sie lösche.

MfG Burki
Seitenanfang Seitenende
30.09.2004, 10:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@perle

Poste bitte das Log vom HijackThis
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade, save und mit der Maus ins Forum kopieren.

Scanne vorher mit AdAware
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 10:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.09.2004, 10:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo @Burki

C:\WINNT\system32\nethv32.dll
RiskWare.Dialer.E-Group.
______________________________________________________________________-
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

Gehe in die Registry
Start<Ausfuehren<regedit

Suche und loesche jeweils auf der rechten Seite der Registry unter dem Schluessel:
HKEY_CLASSES_ROOT\
alle Eintraege von:

egdhtml.egdialhtml
egdhtml.egdialhtml.1
egdialobject.egdial
eghtmldialer.htmldialer
eghtmldialer.htmldialer.1

Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\system32\nethv32.dll
<enter<

PC neustarten

#c:\system32\nethv32.dll umbenennen in : nethv32.dl und loeschen.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

Poste dann das Log vom HijackThis (scann, save und mit der Maus ins Forum kopieren)
http://board.protecus.de/t9391.htm


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 10:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.10.2004, 10:17
...neu hier

Beiträge: 3
#8 Hallo Sabina !

Habe alles gemacht, was du geschrieben hast.

Nur:
Suche und loesche jeweils auf der rechten Seite der Registry unter dem Schluessel:
HKEY_CLASSES_ROOT\
alle Eintraege von:

egdhtml.egdialhtml
egdhtml.egdialhtml.1
egdialobject.egdial
eghtmldialer.htmldialer
eghtmldialer.htmldialer.1

Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\system32\nethv32.dll
<enter<

ging irgendwie nicht.

Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 20:27:37, on 28.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\PowerQuest\V2i Protector 2.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\System32\LVComS.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Hardcopy.LNK.disabled
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .swf: C:\Programme\Internet Explorer\PLUGINS\npqtplugin7.dll
O16 - DPF: {1B51CC54-F369-460B-9184-22D51ABCF807} (empfaenger Element) - http://www.privat-akt.com/download/empfaengerProj1.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1046_pack_XP.cab
O16 - DPF: {3B7904C4-BF43-4782-B5F5-827E8DFEA1E2} (VideoDate Element) - http://www.webdating.de/VideoDate_Project.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B797196-C027-4C5D-A0C8-9CAF1525BC0A}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{983FC62E-887E-4468-BB5F-FFCA96C03B0C}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B797196-C027-4C5D-A0C8-9CAF1525BC0A}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B797196-C027-4C5D-A0C8-9CAF1525BC0A}: NameServer = 192.168.120.252,192.168.120.253

mal sehen, ob ich diesen Mist los werde.

HILFE ! ! !
Seitenanfang Seitenende
03.10.2004, 11:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@Burki

Mache bitte folgendes:

#Oeffne das HijackThis:
HijackThis<Config<Delete a file on reboot<(reinschreiben oder kopieren) "nethv32.dll" < neustarten
*****
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Dann ueberpruefe in der Registry, ob es noch einen Eintrag zu "nethv32.dll" gibt.
Start<Ausfuehren<regedit
oben links ist die Suchfunktion der Registry:

zum Beispiel unter diesem Schluessel:
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

#Dann scanne noch mal mit "Norton 2004 " , deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.10.2004 um 11:09 Uhr von Sabina editiert.
Seitenanfang Seitenende