Wie entfernen ich randex.ae in netscape.exe festgesetzt?

#1 Hallo,
ich brauche eure Hilfe! wer kann mir helfen?

mein netscape spielt verrückt.
ich habe mit hijackThis meinen rechner gescannt und folgendes log file erhalten:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\DT\DT 11MBPS WIRELESS USB DEVICE\INSTALLER\WIN9X\DTUSBMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\CALC.EXE
C:\WINDOWS\SYSTEM\BRMFRSMG.EXE
C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE
C:\INCOMING\HIJACKTHIS.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\volkan\prefs.js)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WIN9X\DTUSBMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .yp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: Yahoo! Bridge - http://download.games.yahoo.com/games/clients/y/bt1_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/games/clients/y/ot0_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

wer kann mir Helfen?
WO steckt der WURM drinn!

vielen Dank!

Gruß
Botze

#2 Wer sagt denn, das da wo ein Randex ist?
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Wer sagt denn, das da wo ein Randex ist?

Ich habe das LogFile online bei www.hijack auswerten lassen und als ergebnis

die Meldung bösartiger prozess bekommen in netscape.exe und als Wurm die Meldung randex.ae.

Die Datei netscape.exe sollte ich fixen und dann löschen, geht aber nicht!

Habe ich nun wirklich einen Wurm das drinn oder was ist mit Netscape los?
folgende Anzeichen:
Beim Start von netscape messenger erhalte ich immer zwei popUp mit Werbung
und
beim start wird die netscape seite geladen die jedoch zerbröckelt aussieht?

was ist da los?
Könnt ihr mir weiterhelfen?

#4 Die Datei ist wohl dein Netscape und ein Fehlalarm von Hijackthis.

Teste/kontrolliere das bitte mit Escan:

http://www.rokop-security.de/board/index.php?showtopic=3867

Ist dein Netscape auf dem neusten Stand?
__________
MfG Ralf
SEO-Spam Hunter

#5 Laufender Prozess. (NETSCAPE.EXE)
Added as result of a RANDEX.AE worm
infection netscape.exe

Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

hijack erkennt den prozess auch nur, wenn netscape gestart ist und ich hijack scan mache.

ich habe auch mehrer scann software probiert bisher ohne erfolg....randex.ae wird nur wie oben erklärt gefunden...bei den anderen scanns nicht!

gruß
botze

#6 hijackthis.de ist *kein* Virenscanner! Du kannst Matze mal darauf hinweisen. Speichere das log auf Hiajckthis.de und kopieren den Link dazu in eine Emal an die Kontaktadresse, die ganz unten auf der Seite angegeben ist!
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Ralf,

ich bin vorgegangen wie du gesagt hast, gefunden hat escan:

c:\windows\system\hzzhiin.dll infected by "I-Worm.tanatos.b.dam2"
c:\tools\w98se\edb.cab tagged as not-a-virus
c:\windows\command\ebd\ebd.cab tagged as not-a-virus

die einträge mit killbox gelöscht und auch in der reg danach gesucht jedoch nicht gefunden.

jedoch keine änderung bei netscape und hijack zeigt weiterhin randex.ae an.

was tun?

gruß
volkan

#8 Logisch, ignorieren.

Ih habe den Betreiber der Seite mal eine Mail geschrieben.
__________
MfG Ralf
SEO-Spam Hunter

#9 Teste dein Log nochmal!
__________
MfG Ralf
SEO-Spam Hunter

#10 alles Klar!

jetzt zeigt hijack bei der auswertung der Log netscape.exe als "gut" an, scheint wie du bereits anfangs vermutet hast, das dies ein Fehlalarm von Hijack gewesen ist und jetzt korrigiert wurde.

Vielen Dank.

Jedoch bin ich wahrscheinlich ebenfalls durch die Aktion zumindest Tanatos etc. losgeworden.

Alles Gute

Volkan

#11 Auch dabei hattest du glueck das dam2 in I-Worm.tanatos.b.dam2 bedeutet, das diese Datei defekt(damaged) ist und somit sowieso nicht lauffaehig ist!
__________
MfG Ralf
SEO-Spam Hunter