Massenweise Trojaner u Dialer!

#1 Hallo Leute!!!

Nunja,ich glaub ich hab einen PC der mehr als verseucht ist und ich hab absolut kein Peil von Computern*Hilfe*

Ich hab jetzt mal mein Antivir durchlaufen lassen u meine Firewall zeigt mir auch jeden Tag mittlerweile was an.

Also ich kopiere mal den teil heraus der die teilchen anzeigt:


C:\Dokumente und Einstellungen xxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\320FF9O9
EPlugin_DE2[1].cab
ArchiveType: CAB (Microsoft)
--> EPlugin.ocx
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300912 (Dialer)
games3[1].cab
ArchiveType: CAB (Microsoft)
--> games.exe
HINWEIS! Der Archivheader ist defekt
--> games.inf
HINWEIS! Der Archivheader ist defekt
games3[2].cab
ArchiveType: CAB (Microsoft)
--> games.exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300694 (Dialer)

C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5RZB5TGE
loader[1].cab
ArchiveType: CAB (Microsoft)
--> loader.exe
[FUND!] Ist das Trojanische Pferd TR/Small.DG

C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\76S3NDCL
MaConnect[1].cab
ArchiveType: CAB (Microsoft)
--> MaConnect.dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.S



--> games.inf
HINWEIS! Der Archivheader ist defekt
games3[3].cab
ArchiveType: CAB (Microsoft)
--> games.exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301147 (Dialer)

C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNVVIGDL
MaConnect[1].cab
ArchiveType: CAB (Microsoft)
--> MaConnect.dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.S


C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WF2HJHYS
cax[1].cab
ArchiveType: CAB (Microsoft)
--> Ole32ws.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.JH

Mittlerweile kann ich mein Windows Update nicht mehr machen,es bleibt immer bei 13%stehen. Auserdem schaffe ich es nicht mir den servicepack2 zu holen. ich bekomme den leider nicht !!!

Wer kann mir also weiterhelfen wie ich diesen ganzen lästigen Dingern wieder loswerde u keine teueren Programme kaufen muss u wenn es geht vielleicht ohne den Rechner plattzumachen????

Gibts noch einen PC Gott???*hoff*

Lieben Gruss!!!

#2 Hallo@Holscher

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien--> (Temporary Internet Files\Content.IE5 )


arbeite das ab (ist genau erklaert und kopiere hier die 4 Textdateien)
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 also, hier nummer eins die ma kopieren sollte

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0EF-90B4

Verzeichnis von C:\WINDOWS

15.11.2005 13:46 1.835.871 WindowsUpdate.log
15.11.2005 12:48 2.048 bootstat.dat
15.11.2005 04:03 32.642 SchedLgU.Txt
06.10.2005 02:51 156 QTW.INI
12.09.2005 02:30 1.409 QTFont.for
12.09.2005 02:30 54.156 QTFont.qfn
06.09.2005 00:16 705 win.ini
29.08.2005 19:09 59.144 zllsputility.exe
29.08.2005 18:52 26.288 zllsputility_loc0407.dll
26.05.2005 16:41 1.228.854 Firefox Wallpaper.bmp
25.05.2005 23:44 10.752 hh.exe
04.05.2005 14:34 2.737.483 setupapi.log.0.old
29.06.2004 11:47 50.688 NDNuninstall6_30.exe
15.04.2004 11:48 754 WORDPAD.INI
24.03.2004 19:34 110.592 UninstallFirefox.exe
24.03.2004 19:34 2.224 mozver.dat
07.03.2004 16:50 49.664 NDNuninstall6_10.exe
25.02.2004 15:00 49.664 NDNuninstall5_64.exe
10.10.2003 17:55 49.664 NDNuninstall5_48.exe
04.10.2003 20:40 49.664 NDNuninstall5_40.exe
02.08.2003 18:49 45.056 NDNuninstall5_20.exe
01.08.2003 17:57 316.640 WMSysPr9.prx
20.07.2003 20:26 63 WININIT.INI
24.06.2003 16:18 44.544 NDNuninstall4_88.exe
29.04.2003 12:07 231 SYSINI.QTW
29.04.2003 12:07 579 WININI.QTW
19.04.2003 12:23 567 eReg.dat
03.03.2003 14:25 34.304 ieuninst.exe
03.03.2003 14:25 34.304 Q330994.exe
28.02.2003 17:26 46.352 setdebug.exe
28.02.2003 15:35 6.550 jautoexp.dat
13.12.2002 05:11 299.552 WMSysPrx.prx
25.11.2002 11:37 231 system.ini
25.11.2002 10:36 2 msoffice.ini
25.11.2002 10:17 37.283.488 aolback.exe
28.10.2002 12:37 21.630 netflix.ico
28.10.2002 12:37 23.558 readme.ico
28.10.2002 12:37 4.710 tiscali_it_2.ico
28.10.2002 12:37 7.358 DirectTVIcon.ico
28.10.2002 12:37 9.366 earnmoney.ico
28.10.2002 12:37 23.558 shop.ico
28.10.2002 12:37 363 Readme.txt
18.09.2002 17:02 8.192 REGLOCS.OLD
18.09.2002 12:27 61 smscfg.ini
18.09.2002 11:03 36.864 uinst001.exe
17.09.2002 18:15 197.071 orun32.isu
17.09.2002 18:15 863 orun32.ini
17.09.2002 18:09 0 control.ini
17.09.2002 18:08 4.161 ODBCINST.INI
17.09.2002 18:06 749 WindowsShell.Manifest
17.09.2002 18:05 37 vbaddin.ini
17.09.2002 18:05 36 vb.ini
29.08.2002 13:00 707 _default.pif
29.08.2002 13:00 9.522 Zapotek.bmp
29.08.2002 13:00 141.312 regedit.exe
29.08.2002 13:00 17.062 Kaffeetasse.bmp
29.08.2002 13:00 17.362 Rhododendron.bmp
29.08.2002 13:00 271.872 winhlp32.exe
29.08.2002 13:00 65.832 Santa Fe-Stuck.bmp
29.08.2002 13:00 26.582 Granit.bmp
29.08.2002 13:00 65.978 Seifenblase.bmp
29.08.2002 13:00 1.405 msdfmap.ini
29.08.2002 13:00 16.730 Feder.bmp
29.08.2002 13:00 80 explorer.scf
29.08.2002 13:00 67.072 NOTEPAD.EXE
29.08.2002 13:00 257.568 winhelp.exe
29.08.2002 13:00 1.007.104 explorer.exe
29.08.2002 13:00 2 desktop.ini
29.08.2002 13:00 48.680 winnt.bmp
29.08.2002 13:00 15.872 TASKMAN.EXE
29.08.2002 13:00 82.944 clock.avi
29.08.2002 13:00 65.954 Pr„riewind.bmp
29.08.2002 13:00 94.800 twain.dll
29.08.2002 13:00 46.592 twain_32.dll
29.08.2002 13:00 49.680 twunk_16.exe
29.08.2002 13:00 25.600 twunk_32.exe
29.08.2002 13:00 48.680 winnt256.bmp
29.08.2002 13:00 1.272 Blaue Spitzen 16.bmp
29.08.2002 13:00 17.336 Angler.bmp
29.08.2002 13:00 18.944 vmmreg32.dll
29.08.2002 13:00 26.680 F„cher.bmp
29.08.2002 13:00 34.818 wmprfDEU.prx
15.08.2002 11:46 46.592 SOUNDMAN.EXE
23.04.2002 09:13 135.168 alcrmv.exe
19.04.2002 09:58 65.536 wanmpsvc.exe
27.08.2001 19:21 208.896 alcupd.exe
05.07.2001 23:19 164 avrack.ini
23.06.2000 12:46 31.712 WMPrfDAN.prx
08.05.2000 04:20 45.056 trayhook.dll
08.05.2000 04:20 20.480 sointgr.exe
17.12.1999 08:13 86.016 unvise32.exe
17.11.1998 10:44 328.704 IsUn0407.exe
29.10.1998 15:45 306.688 IsUninst.exe
05.04.1996 01:11 93.664 QTW16DEL.EXE
05.04.1996 01:11 909.232 SAMPLE.MOV
05.04.1996 01:11 74.496 PLAYER.EXE
05.04.1996 01:11 61.568 VIEWER.EXE
05.04.1996 01:11 67.415 PLAYENU.HLP
05.04.1996 01:11 16.928 PLAYENU.DLL
05.04.1996 01:11 43.875 MCENU.HLP
05.04.1996 01:11 36.412 VIEWENU.HLP
05.04.1996 01:11 2.041.344 QTINSTAL.EXE
05.04.1996 01:11 10.112 READ_QTW.WRI
05.04.1996 01:11 17.536 VIEWENU.DLL
12.01.1996 11:07 283.648 unin0407.exe
105 Datei(en) 52.278.746 Bytes
0 Verzeichnis(se), 29.463.789.568 Bytes frei
---------------------------------------------------------------------------

nummer zwei :
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0EF-90B4

Verzeichnis von C:\

15.11.2005 15:52 0 sys.txt
15.11.2005 15:50 5.502 system.txt
15.11.2005 12:47 267.968.512 hiberfil.sys
15.11.2005 12:47 401.850.368 pagefile.sys
14.11.2005 15:40 302 INSTMLF.LOG
02.07.2003 18:26 99 debuglog.txt
07.04.2003 20:25 194 boot.ini
25.11.2002 10:42 618 IPH.PH
17.09.2002 18:09 0 MSDOS.SYS
17.09.2002 18:09 0 IO.SYS
17.09.2002 18:09 0 CONFIG.SYS
17.09.2002 18:09 0 AUTOEXEC.BAT
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 47.580 NTDETECT.COM
29.08.2002 13:00 235.296 ntldr
15 Datei(en) 670.113.423 Bytes
0 Verzeichnis(se), 29.463.715.840 Bytes frei
--------------------------------------------------------------------------
hmm ich kann irgendwie nur zwei sachen hier ein kopieren, nach den ersten zwei verschwindet des schwarze fenster immer, und dann kommen immer wieder nur die beiden sachen die ich kopieren kann.




und zu den andren sachen die ich machen sollte hier die kopien:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:19, on 15.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\soundman.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Free Downloads Accelerator\fdaagent.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungenxxxxxxxx\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE 4.x-6.x BHO for Free Downloads Accelerator - {98DE779A-2364-4293-AB71-2B97C61C4640} - C:\PROGRA~1\FREEDO~1\fdahlp1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FDA Bar - {9595C62C-76C6-49A6-9BDA-3253DD7A34FF} - C:\Programme\Free Downloads Accelerator\fdabar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with Free Downloads Accelerator - C:\Programme\Free Downloads Accelerator\fdaie.htm
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131914567968
O17 - HKLM\System\CCS\Services\Tcpip\..\{306052F0-B450-41F9-8A56-474F6C33B566}: NameServer = 217.237.150.33 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{306052F0-B450-41F9-8A56-474F6C33B566}: NameServer = 217.237.150.33 217.237.150.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{306052F0-B450-41F9-8A56-474F6C33B566}: NameServer = 217.237.150.33 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

-------------------------------------------------------------------


soo. nu müsste ich ja alles erledigt haben was angefordert wurde. und wie gehts dann nu weiter *gg*

P.S:
vielen dank für die hilfe

#4 komisch, dass du die 4 Logs nicht hier reinbekommst...vor allem das erste Log von System32 wuerde mich interessieren

loesche:
C:\WINDOWS\NDNuninstall6_30.exe
C:\WINDOWS\NDNuninstall6_10.exe
C:\WINDOWS\NDNuninstall5_64.exe
C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\NDNuninstall5_40.exe
C:\WINDOWS\NDNuninstall5_20.exe
C:\WINDOWS\NDNuninstall4_88.exe

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

scanne mit Panda und poste ebenfalls den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 keine ahnung wieso des net geklappt hat. des fenster is nach den zweien immer zu gegangen. habe es mehrmals versucht.
und jetzte ne ganz dumme frage, da ich mich aj am pc gar net auskenne. wie lösche ich denn diese dateien ?
mfg

#6 manuell, oder mit der Killbox
http://virus-protect.org/killbox.html
Dann die Virenscanner anwenden
__________
MfG Sabina

rund um die PC-Sicherheit

#7 report nummer eins.

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:08:29, 16.11.2005
+ Report-Checksumme: 5A2855B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Interface\{4438A5DC-E00B-41A0-B0E6-B63FD3B86EEE} -> Spyware.NetworkEssentials : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4438A5DC-E00B-41A0-B0E6-B63FD3B86EEE}\TypeLib\\ -> Spyware.NetworkEssentials : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{51958167-D5E3-11D1-AA42-0000E842E40A} -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{51958168-D5E3-11D1-AA42-0000E842E40A} -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{4767C447-EF15-42F2-8809-68ADB7FA76F1} -> Spyware.NetworkEssentials : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Spyware.Downloadware : Gesäubert mit Backup
HKU\S-1-5-21-2505351160-2752991226-3942243025-1005\Software\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-2505351160-2752991226-3942243025-1005\Software\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
C:\!KillBox\ndnuninstall6_10.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\!KillBox\NDNuninstall6_30.exe -> Spyware.NewDotNet : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\xxxxxxxxxxxxxxx\Anwendungsdaten\Phoenix\Profiles\default\fe6xxdik.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\xxxxxxxxxxxxxxxx\Anwendungsdaten\Phoenix\Profiles\default\fe6xxdik.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\xxxxxxxxxxxxxx\Anwendungsdaten\Phoenix\Profiles\default\fe6xxdik.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Phoenix\Profiles\default\fe6xxdik.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\xxxxxxxxxxxxx\Anwendungsdaten\Phoenix\Profiles\default\fe6xxdik.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\xxxxxxxxxxxxx\Cookies\xxxxxxxxxxxx@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\A0015435.EXE.VIR -> Spyware.NewDotNet : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\A0023082.EXE.VIR -> Adware.BrilliantDigital : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\A0027004.EXE.VIR -> Adware.BrilliantDigital : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV00056.TMP.VIR -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV00149.TMP.VIR -> Trojan.P2E.cf : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV00179.TMP.VIR -> TrojanDownloader.IstBar.s : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV00289.TMP.VIR -> TrojanDownloader.IstBar.s : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV00325.TMP.VIR -> TrojanDownloader.Small.dg : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV33090.TMP.VIR -> Trojan.P2E.cf : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV34758.TMP.VIR -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV34851.TMP.VIR -> Trojan.P2E.cf : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV34991.TMP.VIR -> TrojanDownloader.IstBar.s : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV35027.TMP.VIR -> TrojanDownloader.Small.dg : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\AV35069.TMP.VIR -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\dw.VIR -> TrojanDownloader.Realtens.e : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\FNA00488.DLL.VIR -> TrojanDownloader.IstBar.s : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\sp.VIR -> Trojan.Spooner.a : Gesäubert mit Backup
C:\Programme\MediaLoads\notify\notify.exe -> Spyware.ClipGenie : Gesäubert mit Backup
C:\Programme\MediaLoads\v1\ML.exe -> Spyware.DownloadWare : Gesäubert mit Backup
C:\Programme\MediaLoads Enhanced\install.exe -> Spyware.Downloadware : Gesäubert mit Backup
C:\Programme\MediaLoads Enhanced\ME1.DLL -> Spyware.MediaPops : Gesäubert mit Backup
C:\Programme\MediaLoads Enhanced\ME2.DLL -> Spyware.MediaPops : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall5_20.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall5_40.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall5_64.exe -> Spyware.NewDotNet : Gesäubert mit Backup


::Report Ende

#8 der escan hat einiges gefunden und geloescht...nun warten wir ab, was der Panda meint
__________
MfG Sabina

rund um die PC-Sicherheit

#9 so, und bei dem zweiten hab ich ein problem. mein inet explorer will net wie er soll. er öffnet keine links usw mehr (bsp:hier auf einen der links gehen. udn dann tut sich gar nix. währen ich beim firefox dann auf der dementsprechenden seite bin ) und mit dem firefox kann ma des panda ja nicht laufen lassen.
und die beiden fehlenden reports bekomme ich immernoch nicht hin.
und ob des mit dem löschen geklappt hat weiß ich auch nicht weil die anzeigen da auch anders waren *amverzweifelnbin*

was kann ich machen ? oder kann ich des beim inet explorer irgendwie wieder anders einstellen ? ich hab da alles versucht aber nix gefunden.

#10 deinstalliere ewido und lade:

http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 also. ich hoff des war der richtige bericht den ich nu kopiere:

Spyware Scan Details
Start Date: 16.11.2005 16:11:47
End Date: 16.11.2005 16:38:56
Total Time: 27 mins 9 secs

Detected spyware

NetworkEssentials Browser Plug-in more information...
Details: Network Essentials is an IE Browser Helper Object which monitors URLs being viewed in the web browser.
Status: Deleted


NewDotNet Browser Plug-in more information...
Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows’ Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable.
Status: Deleted

Infected files detected
c:\windows\ndnuninstall4_88.exe
c:\windows\ndnuninstall5_48.exe


Cydoor Adware more information...
Details: Cydoor is an adware program that downloads advertisements from a server and displays them on your computer.
Status: Deleted

Infected files detected
c:\windows\system32\cd_clint.dll


DownloadWare Adware more information...
Details: DownloadWare is a process that runs on Windows startup. If a network connection is available it will connect to its servers, which can direct it to download and install software from advertisers. It may be installed through an ActiveX control.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\mlh
HKEY_LOCAL_MACHINE\software\mlh\dating RunCount 1
HKEY_LOCAL_MACHINE\software\mlh Guid 2C65CC4A575B4C5D861511290E04A99F
HKEY_LOCAL_MACHINE\software\mlh Version 9
HKEY_LOCAL_MACHINE\software\mlh InstallTime 1052340100
HKEY_LOCAL_MACHINE\software\mlh Country DE
HKEY_LOCAL_MACHINE\software\mlh PrevTime 1102287154
HKEY_LOCAL_MACHINE\software\mlh PrevApp 2
HKEY_CURRENT_USER\software\medialoads
HKEY_CURRENT_USER\software\medialoads\Enhanced\Params paramversion 1
HKEY_CURRENT_USER\software\medialoads\Enhanced\Params poprate 7200
HKEY_CURRENT_USER\software\medialoads\Enhanced\Params popdelay 30
HKEY_CURRENT_USER\software\medialoads\Enhanced\Params updateinterval 345600
HKEY_CURRENT_USER\software\medialoads\Enhanced\Params retryrate 86400
HKEY_CURRENT_USER\software\medialoads\Enhanced Guid 84B7E8F217E94EE5B4E5ECAA69DE5794
HKEY_CURRENT_USER\software\medialoads\Enhanced Version 2
HKEY_CURRENT_USER\software\medialoads\Enhanced Register 0
HKEY_CURRENT_USER\software\medialoads\Enhanced PrevTime 1125835948
HKEY_CURRENT_USER\software\medialoads\Enhanced Cookie RF*TR_RF_SPMEDIAPOP|SU*#145:1125764048:1125764048:1125764048|PU*#145-1:1125764048:1125764048:1125764048|LU*#145-1-46:1125764048:1125764048:1125764048|AT*A:21802:1:1122645863_A:21705:2:1125764048_|CL*A
HKEY_CURRENT_USER\software\medialoads\Prefs Filename C:\Programme\MediaLoads\v1\ml.exe
HKEY_CURRENT_USER\software\medialoads\Prefs Guid 1287488DD06F4E929EF8C35336689674
HKEY_CURRENT_USER\software\medialoads\Prefs UninstallString "C:\Programme\DownloadWare\dw.exe" /R
HKEY_CURRENT_USER\software\medialoads\Prefs DisplayName MediaLoads Installer


KaZaA P2P more information...
Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\sharman networks ltd


Delfin Media Viewer 2.11 Adware more information...
Details: DelFin Media Viewer 2.11 is a program which creates advertisement on user's PC.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DelFin Media Viewer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DelFin Media Viewer SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DelFin Media Viewer Changed 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\DelFin Media Viewer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\DelFin Media Viewer Order

#12 nun muesste alles sauber sein...oder gibt es noch Beschwerden
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo!!

ja.. scheint alles wech zu sein. ich habe des antivir und des letzte programm noch einmal durchlaufen lassen aber hat nichts mehr vonwegen trojaner usw angezeigt!
ich möchte hiermit mal ein lob aussprechen für die gute beratung und hilfe hier.

Vielen Dank!!

Mfg
Holscher