Preadserv.exe/Preadkeep.exe (TR/Dldr.Small.D.1) Problem!! |
||
---|---|---|
#0
| ||
23.02.2005, 22:37
...neu hier
Beiträge: 2 |
||
|
||
24.02.2005, 11:35
Member
Beiträge: 95 |
#2
Hi,
Vorgehensweise: 1. eScan runterladen und im abgesicherten Modus den PC scannen! 2. C:\PROGRAM FILES\PREVIEW ADSERVICE\ und C:\PROGRAMME\OHAHA löschen! 3. Folgende Einträge mit Hijackthis fixen: C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADKEEP.EXE C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: OhahaHelper Class - {4E34122A-130A-49a6-85E1-5362DD0190BA} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing) O3 - Toolbar: Ohaha Tool Band - {1A3C6D09-A6F4-4CF3-8020-E0ABAA3E29C5} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing) O4 - HKLM\..\Run: [Preview AdService] C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE O9 - Extra button: Ohaha - {591DC879-B409-49dc-A584-C653107CC76B} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing) O9 - Extra button: EROTIC - {8E65B894-C2E9-11D5-BCD3-00E018987531} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://www.tintel.nl/download/tcw.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab Mfg |
|
|
||
24.02.2005, 22:36
...neu hier
Themenstarter Beiträge: 2 |
#3
Tausend Dank.
Ich hab gestern Nacht schonmal ein wenig mit Hijack this rumgefummelt und dabei schon einige Sachen wegbekommen unter anderem Preadserv... aber die anderen Sachen hab ich jetzt runtergehaun! Also nochmals vielen Dank. |
|
|
||
04.03.2005, 22:29
...neu hier
Beiträge: 1 |
#4
... wer hier mal keine Lust auf das suchen der passenden Tools hat:
einfach im abgesicherten Modus per Eingabeaufforderung die entsprechenden programmdateien löschen und anschliessend per "msconfig" den Starteintrag deaktivieren. Dateipfad meist: c:\Program Files\Preview AdService\*.* Gruß |
|
|
||
Bin neu hier und hab ein dickes Problem. Ein Programm Names Preadserv.exe lädt sich permanent in's Autostart. Hab es mit AdAware probiert (neueste Version/Update) aber der kriegt das nicht weg. Alles andere ja, aber das nicht.
Ergänzung: habe herausbekommen, dass der Trojaner TR/Dldr.Small.D.1 heißt, vielleicht hilft das.
Hab es mit MSconfig versucht rauszunehmen, auch nichts. Hab mit Hijack this ein Logfile gemacht und die beiden Sachen Rot gefärbt. Vielleicht fällt euch was zu ein!?!
Kann ich jetzt trotzdem weitersurfen? Normalerweise nutze ich Firefox oder Mozilla aber hin und wieder brauch oder öffnet sich einfach I-Explorer.
Helft mir bitte! Danke im Voraus.
Lars
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADKEEP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: OhahaHelper Class - {4E34122A-130A-49a6-85E1-5362DD0190BA} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Ohaha Tool Band - {1A3C6D09-A6F4-4CF3-8020-E0ABAA3E29C5} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [Preview AdService] C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Ohaha - {591DC879-B409-49dc-A584-C653107CC76B} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra button: EROTIC - {8E65B894-C2E9-11D5-BCD3-00E018987531} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://www.tintel.nl/download/tcw.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab