Home » Viren, Trojaner & Malware Forum » Preadserv.exe/Preadkeep.exe (TR/Dldr.Small.D.1) Problem!! » Themenansicht

Preadserv.exe/Preadkeep.exe (TR/Dldr.Small.D.1) Problem!!
#0
23.02.2005, 22:37
LasseNMS
...neu hier

Beiträge: 2
#1 Hallo Leute.

Bin neu hier und hab ein dickes Problem. Ein Programm Names Preadserv.exe lädt sich permanent in's Autostart. Hab es mit AdAware probiert (neueste Version/Update) aber der kriegt das nicht weg. Alles andere ja, aber das nicht.
Ergänzung: habe herausbekommen, dass der Trojaner TR/Dldr.Small.D.1 heißt, vielleicht hilft das.

Hab es mit MSconfig versucht rauszunehmen, auch nichts. Hab mit Hijack this ein Logfile gemacht und die beiden Sachen Rot gefärbt. Vielleicht fällt euch was zu ein!?!
Kann ich jetzt trotzdem weitersurfen? Normalerweise nutze ich Firefox oder Mozilla aber hin und wieder brauch oder öffnet sich einfach I-Explorer.

Helft mir bitte! Danke im Voraus.

Lars

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADKEEP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: OhahaHelper Class - {4E34122A-130A-49a6-85E1-5362DD0190BA} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Ohaha Tool Band - {1A3C6D09-A6F4-4CF3-8020-E0ABAA3E29C5} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [Preview AdService] C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Ohaha - {591DC879-B409-49dc-A584-C653107CC76B} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra button: EROTIC - {8E65B894-C2E9-11D5-BCD3-00E018987531} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://www.tintel.nl/download/tcw.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
Dieser Beitrag wurde am 24.02.2005 um 01:02 Uhr von LasseNMS editiert.
Seitenanfang Seitenende
24.02.2005, 11:35
unzen
Member

Beiträge: 95
#2 Hi,

Vorgehensweise:

1. eScan runterladen und im abgesicherten Modus den PC scannen!

2. C:\PROGRAM FILES\PREVIEW ADSERVICE\ und C:\PROGRAMME\OHAHA löschen!

3. Folgende Einträge mit Hijackthis fixen:

C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADKEEP.EXE

C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: OhahaHelper Class - {4E34122A-130A-49a6-85E1-5362DD0190BA} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)

O3 - Toolbar: Ohaha Tool Band - {1A3C6D09-A6F4-4CF3-8020-E0ABAA3E29C5} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)

O4 - HKLM\..\Run: [Preview AdService] C:\PROGRAM FILES\PREVIEW ADSERVICE\PREVADSERV.EXE

O9 - Extra button: Ohaha - {591DC879-B409-49dc-A584-C653107CC76B} - C:\PROGRAMME\OHAHA\OHAHA\2000-11-23\IEPLUGIN.DLL (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)

O9 - Extra button: EROTIC - {8E65B894-C2E9-11D5-BCD3-00E018987531} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://www.tintel.nl/download/tcw.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab


Mfg
Seitenanfang Seitenende
24.02.2005, 22:36
LasseNMS
...neu hier

Themenstarter

Beiträge: 2
#3 Tausend Dank.

Ich hab gestern Nacht schonmal ein wenig mit Hijack this rumgefummelt und dabei schon einige Sachen wegbekommen unter anderem Preadserv...

aber die anderen Sachen hab ich jetzt runtergehaun! Also nochmals vielen Dank.
Seitenanfang Seitenende
04.03.2005, 22:29
Eightflash
...neu hier

Beiträge: 1
#4 ... wer hier mal keine Lust auf das suchen der passenden Tools hat:

einfach im abgesicherten Modus per Eingabeaufforderung die entsprechenden programmdateien löschen und anschliessend per "msconfig" den Starteintrag deaktivieren.

Dateipfad meist: c:\Program Files\Preview AdService\*.*

Gruß
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1