Melda.scr - Virus entfernen, wie? |
||
|---|---|---|
| #0
| ||
|
24.12.2003, 14:25
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
01.08.2004, 15:29
...neu hier
Beiträge: 1 |
#17
Servus!
Ich hab mir anscheinend diesen "Wurm" auch eingefangen. Nun verschickt mein Outlook jede Minute eine email. Ich würde das logischerweise gern wieder wegbringen, schaff das aber nicht. Ich bin halt auch nicht der "Experte" auf diesem Gebiet und die bislang gebotenen Antworten sind für mich nur böhmische Dörfer... Könnte mir jemand "ziemlich einfach" beschreiben, was ich zu tun habe, bzw. mir eine datei zusenden, die den Mist wieder wegmacht... mfG. |
|
|
|
|
|
|
01.08.2004, 19:12
Ehrenmitglied
 Beiträge: 29434 |
#18
@EVERON
Logfile of HijackThis v1.97.7 Scan saved at 12:41:37, on 17.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Common files\updater\wupdater.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\PROGRA~1\ICQ\ICQ.exe C:\irc.aktuell\mirc.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Deaktiviere die Wiederherstellung Fixe mit dem HijackThis R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe neustarten 1.Deinstalliere P2P Networking #loesche c:\windows\Systools.Exe c:\windows\Melda.Scr.Exe c:\windows\Sysscript.Exe c:\windows\systools.exe C:\Programme\Common files\updater\wupdater.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Gehe in die Registry Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System loesche : NoDispCPL DisableRegistryTools Gehe in die Registry Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System loesche: NoDispCPL. DisableRegistryTools. #Lade Entfernungstool fuer Melda-Wurm http://www.vsantivirus.com/faq-winxp.htm und Spybot von dieser Site http://www.safer-networking.org/de/download/index.html #lade Spysweeper free http://www.spysweeper.com/ #Lade mwav.exe...scanne alle Dateien (30 Tage free) http://www.mwti.net/antivirus/free_utilities.asp # C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\SYSTEM32\DRIVERS\etc\HOSTS oeffne mit dem Editor und loesche 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com #Loesche unter <InternetOptionen< die TemporaryInternetfiles und dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.08.2004 um 19:56 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.08.2004, 19:27
Ehrenmitglied
Beiträge: 29434 |
#19
online-freak
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Deaktiviere bis Ende der Reinigung die Wiederherstellung . Fixe mit dem HijackThis O4 - HKLM\..\Run: [System Toolkit] C:\Dokumente und Einstellungen\Benjamin\Eigene Dateien\Download\stinger.exe O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 neustarten #loesche c:\windows\Systools.Exe c:\windows\Melda.Scr.Exe c:\windows\Sysscript.Exe c:\windows\systools.exe C:\Dokumente und Einstellungen\Benjamin\Eigene Dateien\Download\stinger.exe wobei ich mir nicht sicher bin, ob das der regulaere Stinger< ist...oder der Wurm, denn der Wurm heisst auch <System Toolkit< Gehe in die Registry Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System loesche : NoDispCPL DisableRegistryTools Gehe in die Registry Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System loesche: NoDispCPL DisableRegistryTools Lade Antivirus http://www.free-av.de/ Nach dem Installationsscann konfiguriere <Heuristik:hoch <Alle Dateien scannen< <Guard aktivieren gehe in den abgesicherten Modus und mache einen Vollscann http://www.bsi.de/av/texte/winsave.htm normal neustarten Ueberpruefe mit Kaspersky C:\WINDOWS\system32\slserv.exe http://www.kaspersky.com/remoteviruschk.html #lade mwav.exe und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Poste, was dieser Scanner gefunden hat. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.08.2004 um 12:27 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.08.2004, 19:31
Ehrenmitglied
Beiträge: 29434 |
#20
Beppo
http://board.protecus.de/t9391.htm Lade das HijackThis, scanne, save und kopiere das Log mit der Maus ins Forum. MfG Sabina  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.08.2004, 12:19
Ehrenmitglied
Beiträge: 29434 |
#21
W32/Ronoper.B. Adjunto "Melda.Scr". ein - Kazaa -und IRC-Wurm
#Deinstalliere Kazaa #im HijackTHis, muesste folgendes sein: HKLM\Software\Microsoft\Windows\CurrentVersion\Run System Toolkit = c:\windows\systools.exe das hakst du an, druckst im HijackThis auf <fix< und startest den Computer enu. #LOESCHE (MIT DER SUCHFUNKTION VON WINDOWS AUSFINDIG MACHEN) c:\windows\Systools.Exe c:\windows\Melda.Scr.Exe c:\windows\Sysscript.Exe #lade mwav.exe und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Poste, was dieser Scanner gefunden hat. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.08.2004 um 12:26 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Zitat
ich hab das gleiche ploblem. kann mir jemand helfen?
das ist die Log datei.
Logfile of HijackThis v1.97.7
Scan saved at 14:21:51, on 24.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Benjamin\Eigene Dateien\Download\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [System Toolkit] C:\Dokumente und Einstellungen\Benjamin\Eigene Dateien\Download\stinger.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5E02926-CC39-4E8B-96B6-56031ECD67B8}: NameServer = 212.185.252.136 194.25.2.129