Ie startet automatisch + popups

#31 Hallo Sabina,

Habe jetzt anscheinend alles weg bis auf diese Dbeml.dll Datei. Krieg ich einfach nicht weg. Was soll ich jetzt machen?

Gruß
Franz-Georg

#32 Hallo@Franz-Georg

welche Nachricht kommt denn, wenn du die Dbeml.dll
loeschen willst?

Waren alle vorhanden ????

c:\win98\system\Guard.tmp
c:\win98\system\DJKAPI32.DLL
c:\win98\system\DBEML.DLL
c:\win98\system\SpOrder.dll
c:\win98\system\WinAdMaster.dll
c:\win98\system\akcore.dll
c:\win98\VT00.exe
ODER:
c:\win98\system\VT00.exe
_________________________________________________________

Gehe in die Registry

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
*.frame.crazywinnings.com*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
*.static.topconverting.com*

#AboutBuster-->updaten und scannen
www.malwarebytes.biz/AboutBuster.zip

Lade:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Update eScan auf den neusten Stand mit : "kavupd.exe"
und scanne noch mal alles komplett durch.

dann poste das neue Log vom HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo Sabina,

c:\win98\system\Guard.tmp
c:\win98\system\DJKAPI32.DLL
c:\win98\VT00.exe
ODER:
c:\win98\system\VT00.exe
waren nicht vorhanden.

wie komme ich an kavupd.exe ?

Gruß
Franz-Georg

#34 du hast ja die Version von eScan ,...da gibt es die exe nicht (entschuldigung)
suche noch mal alles , was du mit dem HijackThis nicht gefunden hast. und loesch es.

c:\win98\system\Guard.tmp
c:\win98\system\DJKAPI32.DLL
c:\win98\VT00.exe
ODER:
c:\win98\system\VT00.exe

Gehe in die Registry

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
*.frame.crazywinnings.com*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
*.static.topconverting.com*

#AboutBuster-->updaten und scannen
www.malwarebytes.biz/AboutBuster.zip

Lade:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Update eScan auf den neusten Stand mit : "kavupd.exe"
und scanne noch mal alles komplett durch.

dann poste das neue Log vom HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit

#35 So hab alles was du mir gesagt hast gemacht sabina:

hier der neue logfile von hijackthis und rem:
Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 17:28:15, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199_beta.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O15 - Trusted Zone: http://*.frame.crazywinnings.com
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Platinum - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

rem:
Microsoft Windows XP [Version 5.1.2600]
C:\WINDOWS\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcgf.dll"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Done

hab ich noch das vergessen was zu machen ist?

aja noch was: bei dem escan hat er mir einige dateien angezeigt die nicht infected sind,aber es steht: tagged as not-a-virus:risk ware
soll ich die auch rauslöschen?

#36 Hallo@Gamer123

Nein, loesche nur, was als infiziert angezeigt wird.(mit eScan)

Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben)
die Registry oeffnet sich.

suche den Schluessel:
HKEY_CURRENT_USER>Software>MIcrosoft>Windows>CurrentVersion>InternetSettings>ZoneMap>Domains

und loesche (komplett) *http://*.frame.crazywinnings.com*

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Dann poste das Log noch einmal.
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hallo Sabina,

habe jetzt escan nochmal im abgesicherten drüberlaufen lassen und es hat noch 16 Stück gefunden, davon 2 mit "File to be deleted on reboot". Diese DBEML.DLL und noch eine. Wenn ich versuche mit der Killbox bei deleted on reboot passiert gar nichts, wenn ich sie löschen will hängt sich mein Rechner auf, das heißt ich habe dann nur noch Desktophintergrund aber ohne Programme. Die Kilbox sagt "This file could not be deleted".

Hier noch mal der logfile nach escan:

Logfile of HijackThis v1.97.7
Scan saved at 07:56:02, on 11.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\RUNDLL32.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVWIN32.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVREMIND.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WIN98\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15



Die 01er und 015er gehören da nicht rein, kommen aber immer wieder. Alles andere ist ok bzw. habe ich schon immer drin gehabt.

Was soll ich jetzt machen?

Liebe Grüße

Franz-Georg

#38 Hallo@Franz-Georg

das Problem ist die : Guard.tmp und VT00.exe
du muesste man loeschen.

Bis jetzt habe ich noch nicht gesehen, dass die infizierten Systeme ohne Neuinstallation ausgekommen sind.
Es gibt zur Zeit noch kein Tool, was den Hijacker dauerhaft loescht .
(Leider)
Du wirst wohl in den sauren Apfel beissen muessen und deine Win98-Cd suchen.
ich habs ja versucht, mit Hilfe von den Erfahrungen anderer eine Moeglichkeit des Loeschens zu finden...aber wie es aussieht...umsonst .
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Doch, den sollt4 man schon weg bekommen. Die neuste Version von Killbox, kann diese Dateien loeschen. Nur muss mann vorher finden, was man loeschen muss!

Escan findet schon ein paar Dateien( die trojandownloader.agent Varianten) Wenn man weiss, welche Dateien es sind, muss man seinen System32 Ordner nach Datum sortieren lassen und schauen, welches Datum diese Dateien haben. Dort sollten o ca 3-6 Dateien im selben Zeitraum(1 Std.) auftauchen, die man mit Kilbox (delete on reboot) loeschen muss. BeiWindows 9X geht es auh von Dos aus.

Du kannst auch mal find.zip von hier herunterladen: http://www.dslreports.com/r0/download/725998~d44d0289add36c04c2a05ef54e5a84f2/FindIt.zip
alles in einen seperaten ordner packen und die find.bat starten. Nach einer gewissen Zeit, erscheint Notepad oder der Editor. Poste mal alles, was da angezeigt wird.
__________
MfG Ralf
SEO-Spam Hunter

#40 Habe das gleiche problem. Wenn ich den Computer neu starte startet der IE ebenfalls und öffnet 50 gleiche seiten von microsoft.com/.... usw. Anschließend wird mir ein Laufzeitfehler 75 angezeigt.
Wer kann mir weiterhelfen?

Vielen Dank im Voraus