Brauche Hilfe zum Löschen von ole32ws.dll

#1 Habe alles versucht diese verdammte Spyware vom Rechner zu kriegen , leider ohne Erfolg. Ich habe es mit AdAware , Spybot , Spysweeper , Norten Antivirus ,
Kaspersky und Anti VirXP versucht. Norton ist das einzige Programm was die Spyware erkennt , kann sie aber nicht löschen. Den Pfad, den Norton angibt, ist laut Explorer nicht vorhanden. Ich wäre dankbar für jede Hilfe oder gute Vorschläge. Das Hijackthis 1.93 Protokoll habe ich angefügt kenne mich aber leider nicht damit aus.
Danke im Voraus!!!!

Logfile of HijackThis v1.98.0
Scan saved at 17:40:56, on 20.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Downloads\HijackThis1.98\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.187/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {1E269D7B-ADEB-4604-A3D9-DA462DAA1CFA} - C:\WINDOWS\System32\lfkej.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Usco] C:\Dokumente und Einstellungen\Kito\Anwendungsdaten\oeoo.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//zedtr/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/chm/files.chm::/file.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: System - {851977DA-4631-49FF-9209-AE2A247D8AC9} - C:\WINDOWS\system32\system32.dll

#2 Hast Du es schonmal im ABGESICHERTEN Modus versucht - das wirkt manchmal Wunder.


__________
~ NOUS SOMMES TOUS VICTIMES ~

#3 Habe ich auch schon probiert,aber das funktioniert leider auch nicht.
Ich sitze schon seit vier Tagen an dem Problem und bin am verzweifeln!

#4 hallo,
ich hatte das gleiche problem, mein norton sw hat den ole32ws.dll erkannt,
konnte ihn aber nicht löschen.
ich habe zuerst die datei gesucht (start, suchen, dateien u. ordner, ole32ws.dll), die datei dann aus diesem fenster auf den desktop und von dort auf den papierkorb gezogen, schließlich den papierkorb geleert. nach dem neustart hat eine erneute suche nach ole32ws.dll die datei auf dem computer
nicht mehr gefunden.

grüsse

dieter

#5 Kito0815

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.187/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.187/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.187/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {1E269D7B-ADEB-4604-A3D9-DA462DAA1CFA} - C:\WINDOWS\System32\lfkej.dll (file missing)

O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKCU\..\Run: [Usco] C:\Dokumente und Einstellungen\Kito\Anwendungsdaten\oeoo.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//zedtr/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/chm/files.chm::/file.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

O21 - SSODL: System - {851977DA-4631-49FF-9209-AE2A247D8AC9} - C:\WINDOWS\system32\system32.dll


NEUSTARTEN


deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.de/
nach dem Installationsscann konfigurierst du
<Heuristik:hoch<
<alle Dateien scannen<

und gehst in den abgesicherten Modus (wichtig !)
http://www.bsi.de/av/texte/winsave.htm

#Dort machst du einen Vollscann mit dem Antivirus.
#Dann machst du im abgesicherten Modus <alle Dateien scannen< mit AdAware


<versteckte und geschuetzte Daten< sichtbar machen
Öffne den Windows Explorer. Unter dem Punkt Extras findet man den Unterordner Ordneroptionen. Wähle diesen an. Markiere nun alle Dateien anzeigen.

Loesche
C:\WINDOWS\System32\msadocm32.dll
C:\WINDOWS\System32\lfkej.dll
svchosd.exe
c:\windows\system32\system32.dll
c:\windows\system\system32.dll

Gehe in die Registry
Start<Ausfuehren<regedit
loesche auf der rechten Seite der Registry:wenn du es findest

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]
[-HKEY_CLASSES_ROOT\CLSID\ {851977DA-4631-49FF-9209-AE2A247D8AC9}


normal neustarten

#Lade mwav.exe (escann) und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Mache UNBEDINGT alle WindowsUpdates
(wenn keine cdkey da ist, lade SP1 nicht )

#aktualisiere den IE (keine cdkey notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#loesche Temporäre Internetfiles (Cache)
mit ClearProg
http://www.clearprog.de/
wenn du den Cache des IE loescht, verschwindet Ole32ws.dll, die sich wahrscheinlich sich kompremiert(als *.cab) im Cache des IE befindet.

#stelle unter Internetoptionen eine neue Startseite ein

Das wird dich einige Stunden Arbeit kosten, aber dann
poste das Log bitte noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Danke Leute!

Ich habe versucht die Dateien im Explorer zu finden(einschließlich versteckten und Systemdateien),aber der Pfad den Norton angegeben hat exeistierte angeblich nicht.Dann habe versucht laut Pfad und Namen die Dateien per Hand aus der Regestrierung zu bekommen,aber auch das wollte nicht gelingen da der Pfad angeblich nicht exestierte.
Also habe ich mich dann nach vier Tagen ergeben und mein System mit "Format c:" gesäubert,nicht zuletzt weil ich gelesen habe das der Trojaner Systemdateien umschreiben kann und auch nach der Entfernung der Dateien das System eventuell noch offen sein kann.
Sollte ich das selbe Problem noch einmal bekommen komme ich aber gerne auf Sabinas Antwort zurück.

Ich Danke euch aber auf jedenfall für die Mühe die Ihr euch gemacht habt

Gruß kito

#7 hallo
um ole32WS.dll weg zu bekommen:start\einstellung\systemsteuerun\internetoptionen\cokies löschen,dateien löschen. das was ,es ist weg

#8 @ETTY
Vielleicht ist dir aufgefallen, dass der Cookie das kleinste Uebel war...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 @Sabina
nach dem die datein(temporary internet files) gelöscht wurden habe ich das system gescant und es war sauber.
das ganze in wenigen minuten.
alles andere ging nicht,die antivirus finden den aber beseitigen ihm nicht. Adaware erkent ihm auch nich. trojanchek auch nicht.
jede datei durchsuchen hatte ich kein bock also alle rauss.
rechner sauber und was mochte man(frau) mehr

#10 @ETTY
Das ist ja alle schoen und gut, aber wieso gibst du diesen (eigentlich guten Tipp) einem User(@Kito0815), dessen PC nur so wimmelt von Viren ???
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi, ich hatte auch den zickigen ole32ws.dll auf dem Rechner und habe ihn nach unzähligen Stunden nicht entfernen können *grrr
Dank Panda Antivirus Platinum ist er nun weg. ;o) Versucht es einfach mal. Tschüüüß[/b]