wininet.dll / oleext.dll / lich.exe |
||
---|---|---|
#0
| ||
06.04.2006, 23:02
...neu hier
Beiträge: 4 |
||
|
||
07.04.2006, 12:25
Ehrenmitglied
Beiträge: 29434 |
#2
Clawangel
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2006, 17:01
...neu hier
Themenstarter Beiträge: 4 |
#3
Vielen Dank für die schnelle Antwort. Ich hoffe ich hab das mit der datfind.bat richtig gemacht. Hier die Logs:
Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 706A-702F Verzeichnis von C:\WINDOWS\system32 07.04.2006 16:25 130.720 Status.MPF 26.03.2006 04:22 357.448 perfh009.dat 26.03.2006 04:22 52.304 perfc007.dat 26.03.2006 04:22 364.244 perfh007.dat 26.03.2006 04:22 43.176 perfc009.dat 26.03.2006 04:22 825.300 PerfStringBackup.INI 21.03.2006 05:07 5.692 lich.exe 15.03.2006 02:34 1.158 wpa.dbl 18.01.2006 14:05 57.344 avsda.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 706A-702F Verzeichnis von C:\DOKUME~1\SVEN-A~1\LOKALE~1\Temp 07.04.2006 16:57 668.938 _iu14D2N.tmp 07.04.2006 16:25 16.384 ~DF1B61.tmp Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 706A-702F Verzeichnis von C:\WINDOWS 07.04.2006 17:05 1.116 win.ini 07.04.2006 16:29 432.973 WindowsUpdate.log 07.04.2006 16:24 0 0.log 07.04.2006 16:24 376 scardsrv.ini 07.04.2006 16:24 159 wiadebug.log 07.04.2006 16:24 50 wiaservc.log 07.04.2006 16:23 2.048 bootstat.dat 07.04.2006 08:12 32.556 SchedLgU.Txt 06.04.2006 13:44 1.125 winamp.ini 03.04.2006 03:14 180.557 wmsetup.log 21.03.2006 08:20 863.440 setupapi.log 21.03.2006 05:11 3.584 uninstDsk.exe 20.03.2006 19:58 248 accessdll.log 20.03.2006 19:06 105 avmsysnet.log 20.03.2006 19:06 1.510 avmadd32.log 20.03.2006 18:44 215.764 setupact.log 18.03.2006 08:02 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 14.01.2006 05:05 87.401 War3Unin.dat Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 706A-702F Verzeichnis von C:\ 07.04.2006 17:14 0 sys.txt 07.04.2006 17:13 10.754 system.txt 07.04.2006 17:12 435 systemtemp.txt 07.04.2006 17:12 94.666 system32.txt 07.04.2006 16:23 804.839.424 hiberfil.sys 07.04.2006 16:23 402.653.184 pagefile.sys 21.03.2006 05:07 5.692 ntzl.exe Noch einmal vielen Dank für deine Hilfe, wüsst echt nicht was ich sonst machen sollte MFG Claw |
|
|
||
07.04.2006, 18:11
Ehrenmitglied
Beiträge: 29434 |
#4
Clawangel
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\lich.exe C:\ntzl.exe C:\WINDOWS\uninstDsk.exe C:\WINDOWS\accessdll.log C:\WINDOWS\avmsysnet.log C:\WINDOWS\avmadd32.log pc neustarten 2.) SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok smitfraudfix --> SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip AnleitungSmitfraudFix http://virus-protect.org/artikel/tools/smitfrautfix.html Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt) * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde. -------------------------------------------------------------------------------- scanne mit smitfraudfix . doppelklick smitfraudfix.cmd . schreibe: 2 . auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o ---------- poste die smitrem.txt + smitfraud.txt hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2006, 19:55
...neu hier
Themenstarter Beiträge: 4 |
#5
Hab die von dir vorgeschlagenen Aktionen durchgeführt und bekomme jetzt auch keine Fehlermeldungen von Antivir mehr. Allerdings kann ich keine Textdatei finden, die von smitrem erstellt worden wär. Beim Ausführen hat es aber Wininet.dll ersetzt. Der Log, den mir smitfraudfix nach dem Reboot gegeben hat, lautet wie folgt:
SmitFraudFix v2.28 Scan done at 20:05:48,14, 07.04.2006 Run from C:\Dokumente und Einstellungen\Sven-Arne\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\WINDOWS\system32\oleext.dll »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\WINDOWS\system32\oleext.dll Deleted »»»»»»»»»»»»»»»»»»»»»»»» End Ist mein PC jetzt schon gesäubert oder ist noch mehr zu tun? Vielen Dank noch einmal für deine Mühe <3 MFG Claw |
|
|
||
08.04.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#6
das ist erst mal erledigt
Nun scanne mit kaspersky und poste den scanbericht http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2006, 17:08
...neu hier
Themenstarter Beiträge: 4 |
#7
Hmm irgendwie will der kaspersky bei mir nicht so recht. Nach dem Starten, sagt er mir, dass die aktuellen Sicherheitseinstellungen das Ausführen von ActiveX-Elementen verhindert, obwohl ich die vom Programm vorgeschlagenen Einstellungen gemacht hab.
Ich habe auch das Problem, dass ich nichts mehr auf dem Computer installieren kann. Ich habe erfolglos versucht, ein Spiel und einen neuen Grafikkartentreiber zu installieren, aber bei beiden werde ich nach dem Anklicken der Installationsdatei einfach wieder auf den Desktop befördert, als ob nichts gewesen wäre. Langsam denke ich, eine komplette Windows-Neuinstallation wäre die einfachste Lösung, oder hast du vielleicht noch einen Vorschlag, der mir helfen könnte? EDIT: Grad hab ich Partition Magic runtergeladen und konnte es auch installieren (strange). MFG Claw Dieser Beitrag wurde am 10.04.2006 um 17:16 Uhr von Clawangel editiert.
|
|
|
||
10.04.2006, 23:27
Ehrenmitglied
Beiträge: 29434 |
#8
versuche den Bitdefender....ScanOnline neu oder den Panda
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe vor kurzem bei mir Internet eingerichtet bekommen und leider am ersten Tag keine Firewall verwendet. Seitdem spuckt mir Antivir regelmässig Warnmeldungen aus und der PC fährt langsamer runter. Da ich leider überhaupt keine Ahnung über die Bekämpfung von Trojanern und Viren habe, hoffe ich, in diesem Forum Hilfe zu bekommen. Die Warnmeldungen, die mir Antivir gibt, sehen wie folgt aus:
C:\WINDOWS\SYSTEM32\WININET.DLL
Enthält Signatur des Windows-Virus W32/Nsag.B
C:\WINDOWS\SYSTEM32\OLEEXT.DLL
Ist das Trojanische Pferd TR/Small.EV.482
Ausserdem poppt dasselbe Fenster auch manchmal für die Datei Lich.exe auf, die sich auch in dem System32-Verzeichnis befindet. Da dies aber nicht so häufig passiert, weiss ich grad nicht, welche Fehlermeldung dazu kommt.
Nachdem ich das Forum hier ein wenig durchgestöbert habe, scheint es üblich zu sein, ein HijackThis Logfile zu posten. Dieses sieht für mich wie folgt aus:
Logfile of HijackThis v1.99.1
Scan saved at 23:18:34, on 06.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\System32\lich.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\MTraps\MTray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Programme\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inwarcraft.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: MTray.lnk = D:\Programme\MTraps\MTray.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://express.bilderservice.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099149785968
O16 - DPF: {D670D0B3-05AB-4115-9F87-D983EF1AC747} (AOL Downloader Plugin) - http://meinefotos06.aol.de/ygp/aol/plugin/download/YGPPicDownload.de-DE.9.1.6.18.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F7530E43-3359-42D0-B8DC-843A45028584} (Hitelontop Control) - http://manager.ongamenet.com/common/control/hitelontop.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
Ich hoffe, ihr könnt mir weiterhelfen, wäre auf jeden Fall 1A!
MFG Claw