Problem mit PMS/TMKSoft.Adw.2 |
||
|---|---|---|
| #0
| ||
|
12.08.2004, 13:58
Member
Beiträge: 15 |
||
 
|
|
|
|
12.08.2004, 14:58
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo @RTC
Lade das HijackThis, scanne, save und kopiere das Log ins Forum. Downloadlink: http://www.downloads.subratam.org/hijackthis.zip TROJ_ESEPOR.U http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ESEPOR.U ............................................................................................................................... Systemdateien überprüfen Unter Windows XP kann man sehr einfach die Systemdateien überprüfen. Klicke auf Start - Ausführen und gebe dann sfc ein. Findet das Programm beschädigte oder falsche Versionen, ersetzt es diese mit Originalversionen von der Windows-CD. Die CD muss natürlich im Laufwerk liegen ;-) Das Programm bietet die folgenden Optionen die zusätzlich zum Befehl sfc eingegeben werden müssen. sfc /? Zeigt sfc Optionen an sfc /scannow Überprüft sofort alle geschützten Systemdateien sfc /scanonce Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart sfc /scanboot Überprüft alle geschützten Systemdateien bei jedem Start sfc /revert Setzt Scan auf die Standardeinstellungen zurück sfc /purgecache Leert den Dateicache mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.08.2004 um 15:33 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.08.2004, 15:17
Member
Themenstarter Beiträge: 15 |
#3
Danke Dir Sabina für Deine Antwort...aber was genau das ist, weisst du auch nicht oder?
Grüße PS: Kann ich erst gegen Abend machen... Ahhh...danke für die Info von trendmicro... Dieser Beitrag wurde am 12.08.2004 um 15:18 Uhr von RTC editiert.
|
|
|
|
|
|
|
12.08.2004, 15:37
Ehrenmitglied
Beiträge: 29434 |
#4
Das ist ein Trojaner
PMS/TMKSoft.Adw.2 \Downloader.Esepor.AF, PMS/TMKSoft.Adw.3, Adware-Xplugin, TrojanDownloader.Win32.Esepor.u #Der Trojaner hat eine .DLL (Kann man dann hoffentlich im HijackThis sehen) Lade das HijackThis, scanne, save und kopiere das Log ins Forum. Downloadlink: http://www.downloads.subratam.org/hijackthis.zip #und ein Internet Explorer (IE) plugin...startet gleichzeitig mit dem IE #TMKSRVU.EXE (oder eine andere ..muss nach Analyse der Dll herausgefunden werden)...muss geloescht werden. #Verstellt die Startseite #man kommt nicht mehr auf diese Seiten: # google.com # yahoo.com # altavista.com # msn.com # search.aol man muss also in die Hosts-Datei c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!. 127.0.0.1 localhost #Orginal Host Datei ............................................................................................ unload (deaktivieren) der Dll: # Click Start>Ausfuehren # reinschreiben\oder reinkopieren: REGSVR32 /u <path und file-name der xxx.DLL Dann kann man sie loeschen. ............................................................................................... Man muss nach dem Loeschen von <TROJ_ESEPOR.U<alle CriticalUpdates von MS durchfuehren mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.08.2004 um 15:49 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.08.2004, 15:46
Member
Beiträge: 48 |
||
|
|
|
|
|
12.08.2004, 18:22
Member
Themenstarter Beiträge: 15 |
#6
So...hab das File mal abgelegt: http://s11.yousendit.com/d.aspx?id=AE0F090AE48ED2E22BAEB021E23E7DC6
Hmm...also File TMK... kann ich noch net sehe... Grüße und Danke schon ma PS: Das mit den Seiten kann ich bestätigen...verlinkt auf die Deutschen... PSS: Hab gerad mal von hier aus: http://housecall.antivirus.com/ einen Online-Check gemacht...leider nichts gefunden...  Dieser Beitrag wurde am 12.08.2004 um 18:56 Uhr von RTC editiert.
|
|
|
|
|
|
|
13.08.2004, 00:23
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo @RTC
Scan saved at 18:16:21, on 12.8.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\Programme\AntiVir PE\AVESVC.EXE E:\Programme\AntiVir PE\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe E:\Programme\Firewall\Tiny Personal Firewall\persfw.exe E:\Programme\AntiVir PE\AVMAILC.EXE C:\WINDOWS\System32\RUNDLL32.EXE E:\Programme\Tools\Windows Tools\DU Meter\DUMeter.exe E:\Programme\ICQ\ICQPlus\vplus.exe E:\Programme\Tools\Windows Tools\PopTray\PopTray.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Crazy Browser\Crazy Browser.exe E:\Programme\Mirc\mirc.exe E:\Programme\ICQ\Icq.exe E:\Programme\Trillian\trillian.exe E:\Programme\Filesharing\Azureus\Azureus.exe E:\Programme\Opera\Java\bin\javaw.exe E:\Programme\G6 FTP Server\G6FTPSrv.exe E:\Programme\Tools\Trojancheck 6\tcguard.exe E:\Programme\AntiVir PE\AVGUARD.EXE E:\Programme\AntiVir PE\AVGNT.EXE E:\Programme\Opera\opera.exe H:\,.-~'¨¯¨'-._·._.·´¯) Appz (¯`·._.·-¨¯¨'·~-.¸\Security\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Tools\WINDOW~2\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RecSche] e:\programme\tv\lifeview flyvideo\RecSche.exe /Startup O4 - HKLM\..\Run: [DU Meter] E:\Programme\Tools\Windows Tools\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [AVWUpd32] "E:\PROGRA~1\ANTIVI~1\Avwupd32.EXE" /min O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir PE\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ICQ Plus] "E:\Programme\ICQ\ICQPlus\vplus.exe" O4 - Startup: PopTray.lnk = E:\Programme\Tools\Windows Tools\PopTray\PopTray.exe O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\Flashget\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\Flashget\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.stadtplan.sindelfingen.de/vermessung/viewer/mgaxctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 Es waere eine grosse Hilfe, wenn du das Log noch mal posten wuerdest...kann gleich hier sein , aber MIT der verstellten Startseite. .................................................................................................................................. Inzwischen c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen ! 127.0.0.1 localhost #Orginal Host Datei #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) .................................................................................................................... #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. (Poste dann , ob es eine Vireninfo. gab.) mfg Sabina mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.08.2004 um 00:37 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.08.2004, 00:51
Member
Themenstarter Beiträge: 15 |
#8
Also ich hab eine "blanke" Startseite...somit ist da eigentlich nichts mit verstellen.
 Habe somit auch keine andere Log-Datei anzubieten... Ich werd aber mal das mit "eScan" probieren. Grüße + Gute Nacht PS: In der Hosts Datei ist auch soweit alles clean... |
|
|
|
|
|
|
13.08.2004, 01:47
Ehrenmitglied
Beiträge: 29434 |
#9
Stelle mal bitte eine Startseite im IE ein, surfe ein bisschen und poste dann das Log.
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.08.2004 um 01:48 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.08.2004, 07:41
Member
Themenstarter Beiträge: 15 |
#10
Also habs getan und nochmal hier: http://s11.yousendit.com/d.aspx?id=29920554C2D5E9DCA8F67B90DDFF9596
abgelegt. Grüße und Guten Morgen
|
|
|
|
|
|
|
13.08.2004, 12:05
Ehrenmitglied
Beiträge: 29434 |
#11
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\Programme\AntiVir PE\AVESVC.EXE E:\Programme\AntiVir PE\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe E:\Programme\Firewall\Tiny Personal Firewall\persfw.exe E:\Programme\AntiVir PE\AVMAILC.EXE C:\WINDOWS\System32\RUNDLL32.EXE E:\Programme\Tools\Windows Tools\DU Meter\DUMeter.exe E:\Programme\ICQ\ICQPlus\vplus.exe E:\Programme\Tools\Windows Tools\PopTray\PopTray.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Mirc\mirc.exe E:\Programme\ICQ\Icq.exe E:\Programme\Filesharing\Azureus\Azureus.exe E:\Programme\Opera\Java\bin\javaw.exe E:\Programme\Tools\Trojancheck 6\tcguard.exe E:\Programme\AntiVir PE\AVGUARD.EXE E:\Programme\AntiVir PE\AVGNT.EXE E:\Programme\Opera\opera.exe H:\,.-~'¨¯¨'-._·._.·´¯) Appz (¯`·._.·-¨¯¨'·~-.¸\Security\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icq.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Tools\WINDOW~2\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Adobe Acrobat\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RecSche] e:\programme\tv\lifeview flyvideo\RecSche.exe /Startup O4 - HKLM\..\Run: [DU Meter] E:\Programme\Tools\Windows Tools\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [AVWUpd32] "E:\PROGRA~1\ANTIVI~1\Avwupd32.EXE" /min O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir PE\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ICQ Plus] "E:\Programme\ICQ\ICQPlus\vplus.exe" O4 - Startup: PopTray.lnk = E:\Programme\Tools\Windows Tools\PopTray\PopTray.exe O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\Flashget\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\Flashget\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.stadtplan.sindelfingen.de/vermessung/viewer/mgaxctrl.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{10E707E4-0A2D-45DF-8474-AB9751D17B1A}: NameServer = 192.168.0.1 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.08.2004, 12:07
Ehrenmitglied
Beiträge: 29434 |
#12
@RTC
fixe mit dem HijackThis O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) das duerfte die dll sein....nur leider nicht sichtbar! Suche mal bitte ALLE <dll< und schau auf das Datum(muesste neueren Datums sein) , sowie auf die, welche keinem speziellen Programm zugehoeren. Welche findest du ? ...................................................................................................... #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) .................................................................................................................... #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. (Poste dann , ob es eine Vireninfo. gab.) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.08.2004 um 12:09 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.08.2004, 12:23
Member
Themenstarter Beiträge: 15 |
#13
Danke Sabina für Deine (wie immer) ausführliche Antwort. Bin das WE erstmal nicht da...kann es frühstens am Sonntag ausprobieren...
Meld mich dann auf jeden Fall. PS: Hab gerad mal geschaut wegen *.dll Hab ne Datei: HCExtOutput.dll gefunden...wäre das vielleicht der Übeltäter? Hat auch keine Zuordnung. Grüße PSS: So Problem gelöst...scheinbar hat das Löschen der einen Datei gereicht...also eScan hat auch nix richtig gebracht...werd nochma mein System komplett scannen. Danke nochmal für Unterstützung... Dieser Beitrag wurde am 17.08.2004 um 08:34 Uhr von RTC editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Zwar kann ich löschen, aber reparrieren geht net mehr.
Hat jemand nen Rat wie den wieder runterkriege??? Hab schon Adware und Spybot genommen...aber nix...
Würde mich sehr über Hilfe freuen.
Grüße
PS: Das Problem ist, ich kann nicht sagen ob das ein Wurm, Trojaner, Dialer ist. Ich tippe auf das letztere...habe bis jetzt auch noch nichts gefunden ausser den Eintrag bei Antivir.