mediaplex, doubleclick u.v.a. - immer wieder und phish/volksBKfraud.e in arc |
||
---|---|---|
#0
| ||
21.12.2005, 14:22
...neu hier
Beiträge: 5 |
||
|
||
21.12.2005, 14:28
Ehrenmitglied
Beiträge: 29434 |
#2
hendriks
so kann man die Mail restlos aus der Inbox zu entfernen: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren (Datei-Menü) Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. Das ist bei allen Mozilla/Netscape-Varianten gleich. dann kopiere hier das Log vom Scan (Kaspersky) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2005, 14:54
...neu hier
Themenstarter Beiträge: 5 |
#3
ich habe eben schonmal so enien hijack this... durchgeführt.
hier das log. vielleicht kann jemand damit schon was anfangen? C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE D:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe D:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\DOKUME~1\Vanessa\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Vanessa\LOKALE~1\Temp\kavss.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\PROGRAMME\MOZILLA\FIREFOX\FIREFOX.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Vanessa\Desktop\antivirensoftware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?hl=de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/webhp?hl=de R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [InfoCockpit] D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4DFC0CF3-A5F5-433B-A175-8C7027213580}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CDC74D-199F-4C2B-960E-64CC87440384}: NameServer = 217.237.149.161 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe UND BITTE DARAN DENKEN - IHR ERKLÄRT DAS EINEM UNWISSENDEN!!! ACH SO... und danke SABINA. das mit thunderbird scheint funktioniert zu haben!!! Dieser Beitrag wurde am 21.12.2005 um 14:58 Uhr von hendriks editiert.
|
|
|
||
21.12.2005, 15:56
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat dann kopiere hier das Log vom Scan (Kaspersky) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2005, 16:03
...neu hier
Themenstarter Beiträge: 5 |
#5
läuft noch. ich warte auch... :-(
läuft allerdings nicht im abgesicherten modus... schlimm? das komplette log hier rein oder soll ich das irgendwie "filtern"? |
|
|
||
21.12.2005, 16:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.12.2005, 16:21
...neu hier
Themenstarter Beiträge: 5 |
#7
das ist EXTREM lang.....
ganz sicher???? verstehen wir uns richtig.. ich habe auf protokoll geklickt (log finde ich nicht) und dieses protokoll ist RIESIG!!! ich habe hier jetzt mal händisch die "virus protokoll information" reingeposted: Object "searchexe Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\CoverDesigner\NeroCoverDesigner_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero BackItUp\NeroBackItUp_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero PhotoSnap\PhotoSnap-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero PhotoSnap\PhotoSnapViewer-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome_Jpn.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\NeroShowTime_Fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\ShowTime-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero ShowTime\Skins\standard.bmp". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero Recode\NeroRecode_fra.chm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero Recode\Recode-Jpn.nls". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Programme\NPSWF32.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Programme\Mozilla\plugins\NPSWF32.dll". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" verweist auf das ungültige Objekt "C:\WINDOWS\system32\cmmgr32.exe". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".msf". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rm". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt "OpenWithList". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\CHROME\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\Connection Manager Profile\shell\open\command" verweist auf das ungültige Objekt "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\ftp\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\gopher\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\HTTP\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\https\shell\open\command" verweist auf das ungültige Objekt "D:\PROGRA~1\MOZILLA\FIREFOX.EXE -url "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: No Action Taken. Datei C:\Dokumente und Einstellungen\Vanessa\Anwendungsdaten\Thunderbird\Profiles\hioo6y35.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.kd" Virus. Aktion vorgenommen: No Action Taken. Dieser Beitrag wurde am 21.12.2005 um 16:27 Uhr von hendriks editiert.
|
|
|
||
21.12.2005, 17:03
Ehrenmitglied
Beiträge: 29434 |
#8
scanne mit kaspersky (online)
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2005, 18:02
...neu hier
Themenstarter Beiträge: 5 |
#9
soooo. ich habe heut morgen den eScan durchgeführt.
erstaunlicherweise ohne funde!!!! danach habe ich SpyBot nochmal laufen lassen: Doubleclick Mediaplex wie kann das sein/kommen? muss ich damit leben? gruß Dieser Beitrag wurde am 22.12.2005 um 11:07 Uhr von hendriks editiert.
|
|
|
||
also...
ich habe einen neuen rechner (bei dem alten selbes) problem!
system ist windows XP, habe AntiVir Gueard und Spybot drauf
arbeite mit mozilla firefox uind thunderbird!
regelmäßig (also jeden Tag) findet spybot erneut mediaplex, doubleclick und ein paar andere...
jetzt kommt auch permanent die antivir-meldung, das Phish/VolksBKfraud.E in einem Archiv von thunderbird drin ist (oder Signaturen davon) und diese nicht gelöscht werden, da es sich um ein Archiv handelt.
Thunderbird ließ sich nicht mehr deinstallieren, da eine datei plötzlich fehlte... also habe ich es - trotz verlust vieler mails - manuell entfernt.
neu installiert -> dasselbe problem...
wie kriege ich das weg???
den ganzen Schei...???
mache grad einen kapersky eScan. läuft noch, aber der findet NE MENGE...
BITTE BITTE BITTE - was soll ich/kann ich tun. bin kein experte - im gegenteil. brauche dringend hilfe!!
danke im voraus
hendrik