WINAD hat sich festgesetzt

#0
27.08.2004, 18:47
Member

Beiträge: 61
#1 mich hats wieder erwischt...

bei mir hat sich ein Verzeichnis c:\Program Files\Winad Client eingenistet, das ich nicht mehr wegbekomme.

in dem Verzeichnis befinden sich 3 Dateien:
ClientCom.dll
Winad.exe
WinClt.exe

Das Verzeichnis ist schreibgeschützt, entfernen dieser Markierung führt zu nichts, es bleibt schreibgeschützt.

Im Taskmanager ist WinClt aufgeführt... sobald ich den Prozess beende, trägt er sich sofort an anderer Stelle wieder ein.

Spybot und Ad-aware finden zwar Files und löschen die, aber nach dem Reboot ist allles wie vorher... Fixen mit HiJackThis führte auch nicht zum Erfolg

Wer weiß einen Rat.... bin schon wieder einige Stunden ohne Ergebnis dabei...

Danke, Philipp

Logfile of HijackThis v1.98.2
Scan saved at 18:51:33, on 27.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Winad Client\Winad.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis\Spybot - Search & Destroy 0.94\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Winad Client\WinClt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\Spamihilator.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
Dieser Beitrag wurde am 27.08.2004 um 18:53 Uhr von PhilippBayer editiert.
Seitenanfang Seitenende
27.08.2004, 19:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 fixe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
neustarten

#Loesche die Temporary-Ordner in
Start<Ausfuehren<%temp%

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Winad.exe


neustarten


#loesche IM ABGESICHERTEN MODUS:
Beispiel: To unregister Winshow's :winad2.dll
Enter this command line:
regsvr32 /u [systemroot]\winad2.dll

Start<Ausfuehren< regsvr32 /u c:\system32\winad2.dll

#neustarten und winad2.dll loeschen
...........................................................................
<C:\Program Files\Winad Client\Winad.exe
<C:\Program Files\Winad Client\WinClt.exe
<winad email.txt
<winad.exe
<winad-install.txt

#scanne mit Antivirus auch im abgesicherten Modus
______________________________________________________________
wenn das alles nichts bringt, lade (oder scanne mit eScan im abgesicherten Modus (mwav.exe)
http://www.mwti.net/antivirus/free_utilities.asp

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.08.2004 um 20:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.08.2004, 21:22
Member

Themenstarter

Beiträge: 61
#3 Danke Sabina,

bin ihn los... war nur mit escan möglich...


ich kenn sogar die Seite, wo ich mir den eingefangen habe... wer Interesse hat, bekommt den Link :-)
Obwohl sich Antivirus gemeldet hat und ich "ins Karantäneverzeichnis verschieben" wählte... hat er sich doch eingenistet..

Hier die Auswertung... von escan... interessehalber.

Fri Aug 27 21:14:21 2004 => Total Number of Files Scanned: 2473
Fri Aug 27 21:14:21 2004 => Total Number of Virus(es) Found: 12
Fri Aug 27 21:14:21 2004 => Total Number of Disinfected Files: 0
Fri Aug 27 21:14:21 2004 => Total Number of Files Renamed: 5
Fri Aug 27 21:14:21 2004 => Total Number of Deleted Files: 7
Fri Aug 27 21:14:21 2004 => Total Number of Errors: 2
Fri Aug 27 21:14:21 2004 => Time Elapsed: 00:01:26
Fri Aug 27 21:14:21 2004 => Virus Database Date: 2004/08/19
Fri Aug 27 21:14:21 2004 => Virus Database Count: 101270

Fri Aug 27 21:14:21 2004 => Scan Completed.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: