Home » Spyware & Browser Hijacker Support Forum » Mediaticketinstaller - Problem; immer wieder neuinstallation » Themenansicht
Mediaticketinstaller - Problem; immer wieder neuinstallation |
||
|---|---|---|
| #0
| ||
|
25.08.2004, 18:12
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
25.08.2004, 19:32
Member
Beiträge: 1095 |
#2
@icemania
Da versteckt sich noch jede Menge Zeug Das Ganze ist nur die Vorreinigung. Lade dir Escan http://www.rokop-security.de/board/index.php?showtopic=3867 Installieren und updaten wie beschrieben Deinen Virenscanner updaten Geh bitte in den Abgesichteren Modus http://www.bsi.de/av/texte/winsave.htm AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~1.DLL O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\ELITEB~1.DLL O4 - HKLM\..\Run: [msn] msnmsg.exe O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe O4 - HKLM\..\Run: [SysA] C:\windows\system32\winrvx32.exe O4 - HKLM\..\Run: [System Startup] voltio.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKLM\..\RunServices: [System Startup] voltio.exe O4 - HKCU\..\Run: [msn] msnmsg.exe O4 - HKCU\..\Run: [Iyfr] C:\WINDOWS\System32\xbj.exe O4 - HKCU\..\Run: [System Startup] voltio.exe O4 - HKCU\..\RunServices: [msn] msnmsg.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? Dann mit Escan scannen wie oben angegeben Dann mit deinem Virenscanner scannen Dann normal neustart machen und poste nochmal das Logfile Kannst du dir vorstellen wie das ganze Zeug auf den rechner gekommen ist? Wann hast du denn dein Windows upgedatet? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.08.2004 um 19:38 Uhr von paff editiert.
|
|
|
|
|
|
|
25.08.2004, 21:24
...neu hier
Themenstarter Beiträge: 6 |
#3
Hi,
ich werde Morgen diese Maßnahmen durchgehen. Hab keine Ahnung wie es dazu kam. Wie gesagt, es ist der PC einer Bekannten, habe ihn vor 3 Wochen angeschlossen und eingerichtet. Lief dann alles super. Gestern kam ich zu ihr und sie sagt, dass Antivir lfd. anspricht und nix mehr richtig geht. Hab dann zig Viren gefunden und alle gelöscht bekommen bis auf den oben beschriebenen. Sie hatte nur mails von eBay und davon kann es eigentlich nicht kommen. Windows hab ich erst heute geupdatet, als es natürlich schon zu spät war (letzte Hoffnung sozusagen). Danke nochmals, ich meld mich wieder. Gruß, Stephan |
|
|
|
|
|
|
25.08.2004, 22:05
Member
Beiträge: 1095 |
#4
Zitat icemania posteteDas war wahrscheinlich dann der Punkt. Das update kam zu spät. Mach einfach die Sachen wie beschrieben durch. Dann sollte der Rechner zumindest wieder lauffähig sein. Kannst danach auch noch dashier durchführen. Das findet dann auch noch die letzten Reste  http://www.rokop-security.de/main/article.php?sid=703 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
31.08.2004, 14:52
...neu hier
Themenstarter Beiträge: 6 |
#5
Hi Paff,
das System läuft wieder. Hab Mediaticketsi. runterbekommen. Deine Maßnahmen waren goldrichtig. Mir blieb dadurch eine format:\c -Aktion erspart. Danke! Hier das aktuelle log: Logfile of HijackThis v1.97.7 Scan saved at 14:01:18, on 27.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\RunDll32.exe C:\HP\KBD\KBD.EXE C:\Programme\HomeCinema\PowerCinema\PCMService.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\WINDOWS\DitExp.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe C:\Programme\T-Eumex KommunikationsCenter\sndml.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe C:\Programme\Messenger\msmsgs.exe C:\HijackThis.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\HomeCinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) Gruß, Stephan |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
eine Bekannte von mir hat ein ziemliches Problem mit ihrem Windows XP System.
Wenn sie Windows neu startet und eine Internetverbindung herstellt, öffnet sich automatisch ein IE Fenster und eine bestimmte Seite wird angewählt. Danach wird das System gebremst und Antivir-Guard schlägt Alarm, dass die Datei mediaticketsinstaller.* einen Virus enthält. Die Datei kann zwar gelöscht werden aber installiert sich nach einem Neustart und Internetverb. wieder neu im Verzeichnis:
c:\...\lokale einstellungen\temp.
Solange sie nicht ins Internet geht ist alles i.O. und es wird auch kein Virus gemeldet.
Folgende Maßnahmen hab ich schon unternommen (ohne Erfolg):
- Automatische Windowswiederherstellung deaktiviert
- Im Abgesicherten Modus CWShredder, Ad-Aware laufen lassen und alles gefundene gelöscht.
- Im Abg. Modus Antivir laufen lassen und alle gefundenen Viren gelöscht
- Cookies, Temp. Internet Dateien gelöscht
- Hijackthis laufen lassen und log erstellt:
Logfile of HijackThis v1.97.7
Scan saved at 16:25:16, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\HP\KBD\KBD.EXE
C:\Programme\HomeCinema\PowerCinema\PCMService.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\windows\mActiveX.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\xbj.exe
C:\WINDOWS\System32\voltio.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\HijackThis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\ELITEB~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\HomeCinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winrvx32.exe
O4 - HKLM\..\Run: [System Startup] voltio.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [Iyfr] C:\WINDOWS\System32\xbj.exe
O4 - HKCU\..\Run: [System Startup] voltio.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
Kann bitte mal jemand überprüfen ob damit alles OK ist? Habe das Gefühl, dass darin irgend ein Eintrag für den Webseitenaufruf und die Neuinstallation des Mediaticketsinstaller ist.
DANKE
Gruß,
Stephan