Mediaticketsinstaller.ocx entfernen...wie geht das?

#1 Hallo,

hab in der Suchfunktion nur einen alten Beitrag gefunden, der mich aber nicht so richtig weiterbringt. Daher habe ich einen neuen aufgemacht.

Also:
Ich habe mir gestern beim Surfen blöderweise diesen mediaticketsinstaller.ocx eingefangen, den Norton jetzt immer anmeckert...Probleme konnte ich bisher noch nicht feststellen hab aber nachdem im mal ein bisserl gegoogelt hab festgestellt, dass das Ding wohl nicht ganz ungefährlich ist und würde es gerne loswerden. Hab mal Hijackthis geladen und laufen lassen, Logfile sieht folgendermaßen aus:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
D:\Norton Ghost\GhostStartTrayApp.exe
D:\Logitech\MouseWare\MouseWare\system\em_exec.exe
C:\WINDOWS\iexplore.exe
D:\Thrustmapper\TMTMTSR.exe
D:\Daemon Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\OmniPage\opware32.exe
D:\Adobe Acrobat\Distillr\acrotray.exe
C:\WINDOWS\system32\702MonEx.exe
D:\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\NORTON~2\GHOSTS~2.EXE
D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.punkunited.com/latestcovers.php
O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 http://www.slsk.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\ReGet\iebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Jet Detection] "D:\Creative Live Software\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ExplorerCheck] C:\WINDOWS\iexplore.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Apple Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ThrustTSR] D:\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\IEXPLORE.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Omnipage] D:\OmniPage\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: PCACheck.lnk = D:\PC Adressz\PcaCheck.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe Acrobat\Distillr\acrotray.exe
O4 - Global Startup: BIPAC-702 AE Monitor.LNK = C:\WINDOWS\system32\702MonEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {567E0780-4C41-11D4-969A-0060085A9AF9} (Mangomind Setup Class) - https://www.mangoweb.com/mind/mdsetupctl.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD380F1-9CA7-4285-AF09-68FAEFB652E4}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFF25321-1094-47F7-BFFD-AFBE3980988E}: NameServer = 193.189.244.205 193.189.244.197

Da ich mir mit den zu fixenden Einträgen nicht 100% sicher bin würde ich Euch bitten da mal drüber zu schauen...ich denke die meisten Einträge sehen ganz gut aus, aber im unterem Bereich (O16 und O17) sind mehrere Einträge, die mir nicht ganz koscher vorkommen.

Wäre nett, wenn ihr mal drüberschauen könntet und mir sagen könnt was zu fixen ist, bevor das Ding größeren Schaden anrichtet. Danke schonmal für Eure Hilfe.

#2 Hab grad mal eScan laufen lassen und bekomme die Meldung dass iexplore.exe mit TrojanSpyWin32.Spyder.Virus infiziert sei...irgendwelche Vorschläge was ich machen kann?

#3 So ich hab jetzt diese Hijack Auswertung mal ausgeführt...bin mir da bei besonders beim letzten Eintrag unsicher...welche IP sollte dort denn eigentlich angezeigt werden? Die IP die dort steht ist zumindest keine die ich bisher von meinem Provider zugewiesen bekommen habe...

Mit dem Eintrag O16 Installengine ISetup.cab bin ich mir auch nicht sicher...

Mangoweb kenn ich, fliegt aber raus, jetzt muss ich nur noch wissen was das mit dem Eintrag O16 ChainCast usw. ist

#4 Interessant, fix mal folgendes:

O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 http://www.slsk.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org
O4 - HKLM\..\Run: [ExplorerCheck] C:\WINDOWS\iexplore.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\IEXPLORE.EXE
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {567E0780-4C41-11D4-969A-0060085A9AF9} (Mangomind Setup Class) - https://www.mangoweb.com/mind/mdsetupctl.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

starte neu und es waere nett, wenn du mir

C:\WINDOWS\System32\IEXPLORE.EXE
C:\WINDOWS\iexplore.exe

an virus@protecus.de schickn wuerdest.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi Ralf, danke für Deine Antwort, habe jetzt das Problem selbst lösen können und bin sowohl Spyder als auch mediticketinstaller.ocx losgeworden, allerdings nach vielen Mühen, die Dateien sind leider (oder besser zum Glück) nicht mehr auf meinem System insbesondere die Iexplore.exe im Windows Verzeichnis wo auch immer die herkamen.
Den Rest hab ich mit Hijack, Spybot, und eScan und Manuellem Löschen entfernen können.
Seitdem keine Probleme mehr, trotzdem Danke für Deine Hilfe