Wie entfernen ich randex.ae in netscape.exe festgesetzt? |
||
---|---|---|
#0
| ||
25.10.2004, 16:12
...neu hier
Beiträge: 5 |
||
|
||
25.10.2004, 16:27
Moderator
Beiträge: 7805 |
||
|
||
25.10.2004, 16:35
...neu hier
Themenstarter Beiträge: 5 |
#3
Zitat raman posteteIch habe das LogFile online bei www.hijack auswerten lassen und als ergebnis die Meldung bösartiger prozess bekommen in netscape.exe und als Wurm die Meldung randex.ae. Die Datei netscape.exe sollte ich fixen und dann löschen, geht aber nicht! Habe ich nun wirklich einen Wurm das drinn oder was ist mit Netscape los? folgende Anzeichen: Beim Start von netscape messenger erhalte ich immer zwei popUp mit Werbung und beim start wird die netscape seite geladen die jedoch zerbröckelt aussieht? was ist da los? Könnt ihr mir weiterhelfen? |
|
|
||
25.10.2004, 16:38
Moderator
Beiträge: 7805 |
#4
Die Datei ist wohl dein Netscape und ein Fehlalarm von Hijackthis.
Teste/kontrolliere das bitte mit Escan: http://www.rokop-security.de/board/index.php?showtopic=3867 Ist dein Netscape auf dem neusten Stand? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 16:40
...neu hier
Themenstarter Beiträge: 5 |
#5
Laufender Prozess. (NETSCAPE.EXE)
Added as result of a RANDEX.AE worm infection netscape.exe Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen! hijack erkennt den prozess auch nur, wenn netscape gestart ist und ich hijack scan mache. ich habe auch mehrer scann software probiert bisher ohne erfolg....randex.ae wird nur wie oben erklärt gefunden...bei den anderen scanns nicht! gruß botze |
|
|
||
25.10.2004, 16:48
Moderator
Beiträge: 7805 |
#6
hijackthis.de ist *kein* Virenscanner! Du kannst Matze mal darauf hinweisen. Speichere das log auf Hiajckthis.de und kopieren den Link dazu in eine Emal an die Kontaktadresse, die ganz unten auf der Seite angegeben ist!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 13:04
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Ralf,
ich bin vorgegangen wie du gesagt hast, gefunden hat escan: c:\windows\system\hzzhiin.dll infected by "I-Worm.tanatos.b.dam2" c:\tools\w98se\edb.cab tagged as not-a-virus c:\windows\command\ebd\ebd.cab tagged as not-a-virus die einträge mit killbox gelöscht und auch in der reg danach gesucht jedoch nicht gefunden. jedoch keine änderung bei netscape und hijack zeigt weiterhin randex.ae an. was tun? gruß volkan |
|
|
||
26.10.2004, 15:39
Moderator
Beiträge: 7805 |
#8
Logisch, ignorieren.
Ih habe den Betreiber der Seite mal eine Mail geschrieben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 17:11
Moderator
Beiträge: 7805 |
||
|
||
27.10.2004, 11:23
...neu hier
Themenstarter Beiträge: 5 |
#10
alles Klar!
jetzt zeigt hijack bei der auswertung der Log netscape.exe als "gut" an, scheint wie du bereits anfangs vermutet hast, das dies ein Fehlalarm von Hijack gewesen ist und jetzt korrigiert wurde. Vielen Dank. Jedoch bin ich wahrscheinlich ebenfalls durch die Aktion zumindest Tanatos etc. losgeworden. Alles Gute Volkan |
|
|
||
27.10.2004, 12:03
Moderator
Beiträge: 7805 |
#11
Auch dabei hattest du glueck das dam2 in I-Worm.tanatos.b.dam2 bedeutet, das diese Datei defekt(damaged) ist und somit sowieso nicht lauffaehig ist!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
ich brauche eure Hilfe! wer kann mir helfen?
mein netscape spielt verrückt.
ich habe mit hijackThis meinen rechner gescannt und folgendes log file erhalten:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\DT\DT 11MBPS WIRELESS USB DEVICE\INSTALLER\WIN9X\DTUSBMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\CALC.EXE
C:\WINDOWS\SYSTEM\BRMFRSMG.EXE
C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE
C:\INCOMING\HIJACKTHIS.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\volkan\prefs.js)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WIN9X\DTUSBMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .yp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: Yahoo! Bridge - http://download.games.yahoo.com/games/clients/y/bt1_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/games/clients/y/ot0_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
wer kann mir Helfen?
WO steckt der WURM drinn!
vielen Dank!
Gruß
Botze