Pipas.A gefunden und Internet Explorer spinnt beim Aufruf (Toolbar ist weg)

#0
12.06.2006, 14:05
Member

Beiträge: 11
#1 Hi zusammen,

beim Aufruf des I-Net-Explorers (Version 6) ist die Toolbar komplett verschwunden. Man sieht nur noch die Adressleiste zur Eingabe der Url. Ich habe erstmal Ad-Aware installiert und laufen lassen. Alles entfernt was gefunden wurde. Aufruf des I-Net-Explorers und siehe da, alle Buttons etc. sind wieder da. Nach dem 2. Aufruf des I-Net-Explorers war wieder alles weg. Bei jedem 2. Aufuf ist die Toolbar wieder weg. Am Schluss haben ich dann noch Spybot laufen lassen und es wurde Pipas.A gefunden. Ich weiß nicht ob es einen Zusammenhang gibt mit der Toolbar. Nach jedem Aufruf von Spybot ist Pipas.A wieder vorhanden und der I-Net-Explorer hat immer noch keine Toolbar.

Der Beitrag http://board.protecus.de/t23684.htm von mir kann gelöscht werden.

Im folgenden alle Logs

Spybot brachte folgendes:

--- Search result list ---
Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

Logfile of HijackThis v1.99.1
Scan saved at 09:16:34, on 12.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
c:\winnt\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\DATEV\PROGRAMM\B0000301\aida\aida.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\# Tools\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {89029C65-2BC2-9BC2-4AEB-91EBF5223B5A} - trycrt.dll (file missing)
O1 - Hosts: localhost 127.0.0.1

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [scanSYS] backorif.exe
O4 - HKLM\..\Run: [dmxzb.exe] C:\WINNT\system32\dmxzb.exe
O4 - HKCU\..\Run: [corrida] zxc.exe
O4 - HKCU\..\Run: [PasswdMon] ___.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D1E1365-288A-4D66-840A-47878E4895E2}: NameServer = 85.255.115.60,85.255.112.136
O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE

Cleanup ausgeführt, jedoch konnte man Delete Prefetch files nicht markieren.

Hier kommt das Ergebnis von datfind

Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB

Verzeichnis von C:\WINNT\system32

12.06.2006 08:25 16.384 Perflib_Perfdata_240.dat
11.06.2006 19:14 89 d.bat
06.06.2006 10:10 425.020 kilacln.exe

07.05.2006 21:20 100.352 dfrg.msc
06.05.2006 13:29 17 dlh9jkdq8.exe
26.03.2006 20:59 158.752 FNTCACHE.DAT
18.01.2006 13:05 57.344 avsda.dll


Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

12.06.2006 09:20 0 DVFEHLER.LOG
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 2.392.702.976 Bytes frei


Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB

Verzeichnis von C:\WINNT

12.06.2006 09:19 109.010 WindowsUpdate.log
11.06.2006 19:52 52.070 ntbtlog.txt
11.06.2006 19:43 32.556 SchedLgU.Txt
11.06.2006 19:20 26 Lic.xxx
11.06.2006 19:14 896 win.ini
11.06.2006 09:30 234.228 setupapi.log
10.06.2006 10:29 337 hpbafd.ini
10.06.2006 10:20 3.742 ODBC.INI
06.06.2006 10:14 4.456 rdt.ini
07.05.2006 13:16 229 system.ini
13.01.2006 09:36 177 dvinesinstart001.INI
13.01.2006 09:36 177 dvinesinstalllocation001.INI
13.01.2006 09:34 77 Startup.INI


Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB

Verzeichnis von C:\

12.06.2006 09:31 0 sys.txt
12.06.2006 09:31 8.830 system.txt
12.06.2006 09:31 292 systemtemp.txt
12.06.2006 09:31 99.402 system32.txt
12.06.2006 08:24 603.979.776 PAGEFILE.SYS
11.06.2006 23:53 84 23990098.$$$
11.06.2006 19:20 2 AVPCallback.log
06.05.2006 13:29 0 uniq
29.04.2006 11:00 2.871 DeoExcept_DvZMSDPushServer_Administrator_CALISTO.log
14.02.2006 09:12 691 DeoExcept_mandant_Administrator_CALISTO.log
13.01.2006 10:07 14.561 REWECleanUp.log


Vielen Dank schon mal
painkiller9 8)
Seitenanfang Seitenende
12.06.2006, 15:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 painkiller9

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. 6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.06.2006, 22:04
Member

Themenstarter

Beiträge: 11
#3 Hi,

wenn ich den Link anklicke, kommt die Meldung "Die aktuellen Sicherheitseinstellungen verhindern die Ausführung con ActiveX-Steuerelementen usw... Insufficient rights to use ActiveX controls. Please check your user rights and internet explorer settings. Da im I-Net-Explorer die Toolbar weg ist, komme ich nicht an die Einstellungen. Also bin ich über Systemsteuerung an die Internetoptionen. Jedoch ohne Erfolg. Egal was ich einstelle (alles aktivieren), kommt diese Meldung. Kann es sein, dass der Virus oder was auch immer die Auführung/Installation von ActiveX verhindert?

Was kann ich tun?

gruss
painkiller9 8)
Seitenanfang Seitenende
13.06.2006, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.06.2006, 07:47
Member

Themenstarter

Beiträge: 11
#5 Hi,

hier der Inhalt der FSB-Datei:

06/13/06 07:36:46 [Info]: BlackLight Engine 1.0.37 initialized
06/13/06 07:36:46 [Info]: OS: 5.0 build 2195 (Service Pack 4)
06/13/06 07:36:46 [Note]: 7019 4
06/13/06 07:36:46 [Note]: 7005 0
06/13/06 07:36:53 [Note]: 7006 0
06/13/06 07:36:53 [Note]: 7011 1452
06/13/06 07:36:54 [Note]: 7026 0
06/13/06 07:36:54 [Note]: 7026 0
06/13/06 07:37:05 [Note]: FSRAW library version 1.7.1015
06/13/06 07:37:32 [Note]: 7007 0

Ich hatte gestern versucht mal den I-Net-Explorer zu deinstallieren/neu installieren, mit dem Effekt, dass ich jetz keine Web-Seite mehr aufrufen kann. Firefox geht noch.

Was mir auch noch aufgefallen ist, das ich im Task-Manager einen Prozess iexplore.exe habe, aber keine Explorer offen. Sehr verdächtig.

gruss
pain 8)
Dieser Beitrag wurde am 13.06.2006 um 07:57 Uhr von painkiller9 editiert.
Seitenanfang Seitenende
13.06.2006, 13:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 painkiller9

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der registry beifuegen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
1.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

Zitat

C:\WINNT\system32\d.bat
C:\WINNT\system32\kilacln.exe
C:\WINNT\system32\dmxzb.exe
C:\WINNT\system32\dlh9jkdq8.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
C:\WINNT\rdt.ini
C:\WINNT\uniq
PC neustarten

2.
Download FixWareout:
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {89029C65-2BC2-9BC2-4AEB-91EBF5223B5A} - trycrt.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [scanSYS] backorif.exe
O4 - HKLM\..\Run: [dmxzb.exe] C:\WINNT\system32\dmxzb.exe
O4 - HKCU\..\Run: [corrida] zxc.exe
O4 - HKCU\..\Run: [PasswdMon] ___.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{9D1E1365-288A-4D66-840A-47878E4895E2}: NameServer = 85.255.115.60,85.255.112.136

O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
4.
neue Internetverbindung erstellen - > Bei Netzwerk/Eigenschaften des Internetprotokolls denn auch IP und DNS automatisch beziehen - anhaken !

5.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

6.
Dr.web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren

%userprofile%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.

--------

7.
poste auch das neue Log vom Hijackthis

«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.06.2006, 23:11
Member

Themenstarter

Beiträge: 11
#7 Hi Sabina,

1) fixme.reg ausgeführt
2) KILLBOX ausgeführt
3 FixWareout ausgeführt

Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINNT\SYSTEM32\DMLTW.EXE 44.115 2003-06-19

4) HijackThis ausgeführt
5) Hoster ausgeführt
6) Dr. Web ausgeführt

dmltw.exe;C:\WINNT\system32;Trojan.Iespy;Gelöscht.;
pol73B7.tmp;C:\WINNT\Temp;Trojan.EmailSpy;Gelöscht.;
pol8D6.tmp;C:\WINNT\Temp;Trojan.EmailSpy;Gelöscht.;

7) HijackThis ausgeführt neues Log

Logfile of HijackThis v1.99.1
Scan saved at 23:04:16, on 13.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
c:\winnt\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\DATEV\PROGRAMM\B0000301\aida\aida.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\# Tools\hijackthis\HijackThis.exe

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE

gruss
painkiller9
Seitenanfang Seitenende
14.06.2006, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es sieht gut aus ;)
mache bitte noch einen Onlinescan mit Kaspersky und poste den Scanreport (geht nur mit dem IE... funktioniert der wieder ?? )
http://virus-protect.org/onlinescan.html
(scanne auch noch einmal mit deinem Antivirentool) und berichte, ob noch etwas gefunden wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.06.2006, 23:41
Member

Themenstarter

Beiträge: 11
#9 Hi Sabina,

es sieht fast gut aus, denn der Onlinescan mit Kaspersky brachte folgendes:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, June 14, 2006 11:31:45 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 14/06/2006
Kaspersky Anti-Virus database records: 188561
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 192862
Number of viruses found: 1
Number of infected objects: 0
Number of suspicious objects: 3
Duration of the scan process: 01:57:41

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{A584FF5E-5682-4162-A7CF-914B8604D731}\Microsoft\Outlook Express\Gesendete Objekte.dbx/[From "J und C Kreuzer" <JC.Kreuzer@online.de>][Date Mon, 31 Jan 2005 10:49:41 +0100]/UNNAMED/hijackthis.log Suspicious: Exploit.HTML.Mht skipped
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{A584FF5E-5682-4162-A7CF-914B8604D731}\Microsoft\Outlook Express\Gesendete Objekte.dbx/[From "J und C Kreuzer" <JC.Kreuzer@online.de>][Date Mon, 31 Jan 2005 10:49:41 +0100]/UNNAMED Suspicious: Exploit.HTML.Mht skipped
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{A584FF5E-5682-4162-A7CF-914B8604D731}\Microsoft\Outlook Express\Gesendete Objekte.dbx Mail MS Outlook 5: suspicious - 2 skipped

Scan process completed.

Gruss
painkiller9
Seitenanfang Seitenende
15.06.2006, 01:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 das Prob. ist schnell behoben ;)

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 12:41
Member

Beiträge: 223
#11 @Sabina:

Ich lese den Ausdruck "Inbox" eben zum ersten Mal.

Was ist unter dieser "Inbox" zu verstehen ?

Ist sie Teil von Outlook Express ? Wozu dient sie ?
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270
Dieser Beitrag wurde am 15.06.2006 um 19:32 Uhr von Geodät editiert.
Seitenanfang Seitenende
15.06.2006, 13:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12

Zitat

Geodät postete
@Sabina:

Ich lese den Ausdruck "Inbox" eben zum ersten Mal.
Was ist unter dieser "Inbox" zu verstehen ?
Ist sie Teil von Outlook Express ? Wozu dient sie ?
MfG Wolf
Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. (gehoert zum Mail-Programm)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 19:35
Member

Beiträge: 223
#13 Wie finde ich sie denn bei Outlook Express ?
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270
Seitenanfang Seitenende
20.06.2006, 15:49
Member

Themenstarter

Beiträge: 11
#14 Hi Sabina,

ich wollte mich nochmal für den Super Support bedanken. Vor allem das Dokument zum sicheren Aufsetzen eines neuen Windows-PC habe ich mir gleich ausgedruckt und benutzt.

Super Forum. Macht weiter so.

gruss
painkiller9
Seitenanfang Seitenende