Ständig erscheinen Seiten wie "adultfriendfinder" bei google...

#0
03.08.2005, 22:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 Hallo@Hirnödem

dann loesche alles manuell, ;)

dann:

Ewido-- poste das Log vom SCan
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2005, 23:03
Member

Beiträge: 16
#47 Ich habe jetzt also auch noch ewiwo geladen und installiert.

Programmmeldung:
"Die ewiwo-Sicherheitssuite kann erst ab Windows 2000 verwendet werden."
Seitenanfang Seitenende
03.08.2005, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 Nun, nicht sehr ermutigend...mit graust es immer vor Reinigungen von Win98, weil nichts funktioniert, was ich brauche ;)

loesche manuell
C:\WIN98SE\SYSTEM\dktibs.exe
C:\WIN98SE\SYSTEM\cmd32.exe
C:\WIN98SE\rdt.ini
C:\WIN98SE\FAVORITEN\AdultGambling.url
C:\WIN98SE\ANWENDUNGSDATEN\wo.tmp
C:\WIN98SE\SYSTEM\apiaz.dll
C:\WIN98SE\SYSTEM\cbqyi.dll
C:\WIN98SE\SYSTEM\addxj32.exe
C:\WIN98SE\SYSTEM\iedw32.exe
C:\WIN98SE\SYSTEM\gclib.exe
C:\WIN98SE\Desktop\backups\backup-20050802-195020-635.dll
C:\WIN98SE\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
C:\WIN98SE\Downloaded Program Files\CONFLICT.1\HDPlugin1019.inf
C:\WIN98SE\Downloaded Program Files\adult1.exe
C:\WIN98SE\Explor.exe
C:\WIN98SE\loadclean.exe
C:\WIN98SE\ntbo32.exe
C:\WIN98SE\agrcnq.dat
C:\WIN98SE\sdkka.exe
C:\WIN98SE\winav.exe
C:\WIN98SE\ysihv.dll
C:\Programme\WareOut\WareOut.exe
C:\Programme\WareOut\WareOutUpdate.exe
C:\web.exe
C:\bla.exe
C:\WIN98SE\kqkaig.dat
C:\WIN98SE\ghgpda.dat

McAfee FreeScan (Online)
http://virus-protect.org/onlinescan.html

lade escan (aber alles ohne abges.Modus) und poste, was angezeigt wird.
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 07:20
Member

Beiträge: 16
#49 Ich hab gestern nacht noch alles manuell gelöscht.
Danach war zunächst Ruhe für längere Zeit. Vorhin erschien plötzlich unten rechts wieder so ein komisches Symbol und eine Sprechblase "Your computer might be at risk, click baloon" usw., und inzwischen werde ich auch wieder auf Sexseiten umgeleitet.

Da ich etwas im Internet recherchiert habe, weiss ich jetzt zumindest, dass ich TROJ_ADCLICKER.P an Bord habe.

Leider hat auch diese Information keinerlei Nutzen für mich.


nochmal panda (der andere dauerte mir zu lange):

Zitat

Incident Status Location

Virus:Trj/Qhost.BP Disinfected Operating system
Adware:adware/sbsoft No disinfected Windows Registry
aber wie ich diesen sbsoft wegbekomme, sagt mir keiner :o(
Dieser Beitrag wurde am 04.08.2005 um 08:28 Uhr von Hirnödem editiert.
Seitenanfang Seitenende
04.08.2005, 11:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Hallo@Hirnödem

diese Dateien waeren zu loeschen, wenn du Sprechblase "Your computer might be at risk, click baloon" hast.

C:\WINDOWS\SYSTEM\ntfsnlpa.exe
C:\WINDOWS\System\CISVVC.EXE
C:\WINDOWS\SYSTEM\rdsndin.exe

in der Registry waeren ebenfalls zu loeschen:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"
HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
HKEY_CURRENT_USER\Software\SearchToolbar]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"

diesen Wert musst du setzen:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008


wie ich aber an die anderen Dateien komme (die Suchtools die ich anwenden muss, funktionieren nicht bei Win98...ist mir leider schleierhaft...)

http://virus-protect.org/Artikel/spyware/Security_Center.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 17:18
Member

Beiträge: 16
#51 Ok, ich hab das alles gemacht.

Welche andere Dateien? Und was soll ich auf dem unteren Link machen?

Nachdem ich hier alles aus der reg entfernt habe (die genannten Files existierten nicht), hab ich Neustart gemacht und meine "Testseite" aufgerufen (ein Artikel auf Wikipedia):

Ergebnis: -> adultfriendfinder


Ich glaube, ich gebs besser auf. Ich bin ja nicht gesund und inzwischen merke ich, dass mir langsam die Kraft ausgeht.


Nachtrag:
Hab jetzt trotzdem nochmal Windows neu installiert und über Google meine Testseite aufgerufen. Ergebnis:

Adultfriendfinder


MEINE GÜTE, GIBT ES DENN WIRKLICH KEIN PROGRAMM. DASS MIR DIESE SACHE VOM HALS SCHAFFT? HILFE!!!!!!!


Nachtrag 2:
eScan sagt: "Component 'mscomctl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid"
Dieser Beitrag wurde am 04.08.2005 um 23:07 Uhr von Hirnödem editiert.
Seitenanfang Seitenende
04.08.2005, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Hirnödem

Gehe in die Registry

loesche alle Urls, die du findest.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls

Also bleibt nur, mit allem zu scannen, was es so gibt....

noch einmal panda, der hatte schon gute Arbeit geleistet ;)
http://virus-protect.org/onlinescan.html

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->

-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Spysweeper
http://virus-protect.org/antispywaretools.html

------------------------------------------------------------
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 00:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#53 Vielleicht XoftSpy http://www.paretologic.com/products.aspx
__________
MfG Argus
Seitenanfang Seitenende
05.08.2005, 06:34
Member

Beiträge: 16
#54 Also,
1. es gibt scheinbar keine URLs in der Registry, jedenfalls habe ich an der Stelle nichts vergleichbares gefunden

2. Panda findet keine Viren, aber dafür angeblich eine Spyware namens SaveNow (http://www.pandasoftware.com/virus_info/encyclopedia/ficha.aspx?iddeteccion=27660). Die in der Panda-Dokumentation angebenenen Files existieren jedoch bei mir nicht

3. Rkfiles zeigt bei mir überhaupt nichts an

4. habe mir zwischenzeitlich den "Process-Explorer" draufgeschafft. Ein sehr gutes Programm, weil ich nun wenigstens den Task "wmiexe.exe" sehen und aus dem laufenden Prozess beseitigen kann

5. SpySweeper hat Ewigkeiten gesweept und gesweept und gefunden und wie folgt bereinigt:

********
03:13: |··· Start of Session, Freitag, 05.08.2005 ···|
03:13: Spy Sweeper started
03:13: Sweep initiated using definitions version 510
03:13: Starting Memory Sweep
03:15: Warning: Failed to load image: C:\WIN98SE\SYSTEM\MSGSRV32.EXE
03:25: Memory Sweep Complete, Elapsed Time: 00:12:17
03:25: Starting Registry Sweep
04:25: Found Trojan Horse: trojan-downloader-hidd
04:25: HKU\.DEFAULT\software\microsoft\windows\currentversion\nur\ (ID = 144689)
04:27: Found Adware: winad
04:27: HKLM\software\media access\ (1 subtraces) (ID = 147182)
04:32: Registry Sweep Complete, Elapsed Time:01:06:16
04:32: Starting Cookie Sweep
04:32: Found Spy Cookie: tribalfusion cookie
04:32: windows 98 se@tribalfusion[1].txt (ID = 3589)
04:32: Cookie Sweep Complete, Elapsed Time: 00:00:02
04:32: Starting File Sweep
04:33: Warning: Failed to open file "c:\win98se\win386.swp". Der Prozess kann nicht auf die Datei zugreifen, da
sie von einem anderen Prozess verwendet wird
04:38: File Sweep Complete, Elapsed Time: 00:06:40
04:39: Full Sweep has completed. Elapsed time 01:25:28
04:39: Traces Found: 4
04:40: Removal process initiated
04:41: Quarantining All Traces: trojan-downloader-hidd
04:41: Quarantining All Traces: winad
04:41: Quarantining All Traces: tribalfusion cookie
04:42: Removal process completed. Elapsed time 00:02:13
********

6. nach dem Reboot war Adultfriendfinder mit WMIEXE.EXE wieder aktiv

7. xoftspy hat angeblich viele interessante Dinge gefunden und möchte nun für die Beseitigung $39,95 von mir
Seitenanfang Seitenende
05.08.2005, 12:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 Hallo@Hirnödem

•CWShredder
http://virus-protect.org/antispywaretools.html
* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
Log-->"make Report"-->bitte posten

Zitat

O1 - Hosts: 64.200.25.145 adultfriendfinder.com #cooklop
O1 - Hosts: 64.200.25.145 www.adultfriendfinder.com #cooklop
•Beispiel HOSTFILE:
öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager

poste mir, was du da findest.
http://virus-protect.org/host.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 16:12
Member

Beiträge: 16
#56 Ok, also CWShredder hat nichts gefunden:

Zitat

"Done!
CoolWebSearch was not found on your system."
HijackThis Logfile sieht inzwischen so aus:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:07:23, on 05.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98SE\SYSTEM\KERNEL32.DLL
C:\WIN98SE\SYSTEM\MSGSRV32.EXE
C:\WIN98SE\SYSTEM\MPREXE.EXE
C:\WIN98SE\ACCSTAT.EXE
C:\WIN98SE\SYSTEM\mmtask.tsk
C:\WIN98SE\EXPLORER.EXE
C:\WIN98SE\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\NOPOPUP 2003\NOPOPUP.EXE
C:\PROGRAMME\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
C:\WIN98SE\SYSTEM\SPOOL32.EXE
C:\WIN98SE\SYSTEM\DDHELP.EXE
C:\WIN98SE\SYSTEM\RNAAPP.EXE
C:\WIN98SE\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\WIN98SE\DESKTOP\HIJACKTHIS.EXE

R3 - URLSearchHook: (no name) - {BC6DF4DB-C78A-82BB-ED77-0BBC1F832E98} - XTermInit.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98SE\scanregw.exe /autorun
O4 - HKCU\..\Run: [NoPopUp] C:\PROGRAMME\NOPOPUP 2003\NOPOPUP.EXE /autorun
Bei Misc / Open Hosts file Manager steht nur:
Hosts file is located at C:\WIN98SE\hosts (2 lines, A).

Das darunter befindliche Feld ist leer.
Seitenanfang Seitenende
05.08.2005, 17:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 fixe mit dem HijackThis:
R3 - URLSearchHook: (no name) - {BC6DF4DB-C78A-82BB-ED77-0BBC1F832E98} - XTermInit.dll (file missing)

PC neustarten

suche/loesche:
XTermInit.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 17:43
Member

Beiträge: 16
#58 Hab ich gemacht. Der R3-Eintrag ist jetzt weg, ansonsten aber alles wie oben.
XTermInit.dll war nicht vorhanden, ging ja auch schon aus dem Eintrag hervor.

Test nach Neustart:
XMatch und Adultfriendfinder. WMIEXE.EXE ist auch wieder da.

Nachtrag:
Habe in einem Verzweiflungsanfall den Prozess WMIEXE.EXE gekillt, das File WMIEXE.EXE gesucht und gelöscht. Test nach Neustart:
WMIEXE.EXE scheint jetzt wegzubleiben, aber Links werden immer noch zu Sexseiten umgelenkt.
Ich fange erst jetzt an zu begreifen, dass ich offenbar mehrere Probleme gleichzeitig habe. Meldung "Computer might be at risk" kam gerade auch schon wieder.
Dieser Beitrag wurde am 05.08.2005 um 18:22 Uhr von Hirnödem editiert.
Seitenanfang Seitenende
05.08.2005, 19:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#59 Wer ist eigentlich "Twiggle" ;)
__________
MfG Argus
Seitenanfang Seitenende
05.08.2005, 19:55
Member

Beiträge: 16
#60 Das bin ich. Hab auch bei Meta noch gefragt, weil bisher nichts geklappt hat.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: