BDE, Cydoor, Topsearch: Norton Anti Virus kann die nicht löschen!?

#0
19.01.2004, 19:54
...neu hier

Beiträge: 6
#1 Hallo!

Kenne mich leider mit dem ganzen Computer-Zeug nicht so gut aus. Hoffe, dass mir jemand helfen kann...

Und zwar, habe mir das Norton AntiVirus programm gekauft und auch instaliert. Alles schön und gut. Das Programm findet auch jede menge Bedrohungen auf meinem PC, nur leider kann mir das Programm diese nicht löschen! Meine Protokollanzeige zeigt mir nach einem Virenprüfprogramm folgende Bedrohungen an:

Adware.BDE, Adware.Cydoor, Adware.Keenval, Adware.Dware, Adware.Ntsearch, Adware.Topsearch

Hatte auch diesen Download.Trojan Virus, den mir das Programm zwar gezeigt aber auch nicht löschen konnte! Ich verstehe nicht warum. Wozu ist das Programm denn da wenn es Bedrohungen und Viren nur finden aber diese nicht löschen kann? Was muss ich da geanu machen? Habe zwar dieses Problem mit dem Trojan-Virus mittlerweile aus der Welt schaffen können, möchte aber wissen, wie ich jetzt diese Bedrohungen wegkriegen kann und ob diese gefärhlich für mein System sind?

Gruß

Katharina
Seitenanfang Seitenende
21.01.2004, 14:15
Member

Beiträge: 44
#2 hi,
kann daran liegen, dass die dinger sich in der registry verschanzt haben und nav nich rankommt.
hört sich an wie spyware, versuche mal mittels SpyBot S&D
(http://www.safer-networking.org/index.php?page=download&lang=de) deinen rechner zu scannen und das zeugs runter zu werfen (das update nicht vergessen). lavasoft funzt auch ganz gut.
an sich ist es keine bedrohung für dein system nur für dich, die dinger haben meist die funktion das surfverhalten (welche seiten, wann, wie lange, etc.) aufzuzeichnen und das irgendwohin zu senden.

gruß
Seitenanfang Seitenende
21.01.2004, 14:47
Moderator

Beiträge: 7804
#3 Der Tipp mit Spybot ist gut, nur denke bitte daran, dein Norton Autoprotect auszuschalten, da Spybot sonst nicht korrekt arbeiten kann. Du kannst Spybot und auch dein NAV deinen Rehner im abgesicherten Modus scannen lassen. Wie du in den abgesicherten Modus gelangst, kannst du hier nachlesen:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20020114122843924
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 21.01.2004 um 14:48 Uhr von raman editiert.
Seitenanfang Seitenende
22.01.2004, 21:40
...neu hier

Themenstarter

Beiträge: 6
#4 hallo! habe mir SpyBot s&d jetzt runtergeladen und alles scannen lassen. es wurden auch ganz schön viele sachen gelöscht! habe dann nochmals Norton AntiVirus drüber laufen lassen, dieser zeigt mir aber immer noch BDE, Cydoor, Keenval und Topsearch-Bedrohungen an!!!?????
Seitenanfang Seitenende
22.01.2004, 21:53
Moderator

Beiträge: 7804
#5 Wo findet Norton diese denn?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.01.2004, 21:54
Member

Beiträge: 133
#6 hast du es im abgesicherten Modus probiert,wie raman es beschrieben hat?
NAV müßte sie dort löschen können

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
23.01.2004, 10:19
Member

Beiträge: 44
#7 moin,

kannst auch mal auf die seite von symantec gehen und in der virendatenbank nach den teilen suchen, da steht meistens auch wie man sie von hand wieder entfernen kann.
ansonsten: abgesicherter modus und dann nav rüber.
hast du spybot nochmal rüberlaufen lassen ?
Seitenanfang Seitenende
23.01.2004, 20:02
...neu hier

Themenstarter

Beiträge: 6
#8 ich möchte mich zuerst bei euch allen bedanken für eure hilfe!

ich habe im abgesicherten modus, so wie raman es mir empfohlen hat, Spybot durchlaufen lassen, norton war auch deaktiviert. Danach habe wieder Norton aktiviert und nochmals durchlaufen lassen. Dieser findet folgendes:

C:\WINDOWS\system32\BDESac10.dll
C:\WINDOWS\system32\BDESac24.dll
C:\updaterInstall_109.exe
C:\Programme\Kazaa\TopSearch.dll
bdeviewer.exe
BDESac10.dll
bdeload.dll
BDESac24.dll

wieso können diese nicht gelöscht werden???

HOLLA!
Seitenanfang Seitenende
23.01.2004, 20:28
Member

Beiträge: 133
#9 Kannst auch mal ein hijackthislog posten: http://www.merijn.org/files/HijackThis.exe

das tool herunterladen, installieren, scan drücken,save log drücken und diesen inhalt in deinen thread kopieren.

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
24.01.2004, 00:34
...neu hier

Themenstarter

Beiträge: 6
#10 ok das habe ich jetzt gemacht:

Logfile of HijackThis v1.97.7
Scan saved at 00:32:22, on 24.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\WINDOWS\system32\pgtools\tatss.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinMX\WinMX.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\Updater\wupdater.exe
O4 - HKLM\..\Run: [Tat] C:\WINDOWS\system32\pgtools\tatss.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: updater.lnk = C:\Programme\Common files\updater\wupdater.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12f7376d05c7ce5d4d05/netzip/RdxIE601_de.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://de.f1.pg.photos.yahoo.com/ocx/us/yexplorer1_9us.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CAC188B-D20D-46FA-B019-48A3768DDEF9}: NameServer = 212.114.152.1 212.114.153.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CAC188B-D20D-46FA-B019-48A3768DDEF9}: NameServer = 212.114.152.1 212.114.153.1
Seitenanfang Seitenende
24.01.2004, 18:10
Member

Beiträge: 54
#11 Diese Einträge entfernen:

C:\WINDOWS\system32\pgtools\tatss.exe

R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Tat] C:\WINDOWS\system32\pgtools\tatss.exe

und diese Dateien an virus@protecus.de senden :
PackethSvc.exe
WebshotsTray.exe

Einige Sachen kenn ich nicht, vielleicht Raman ?
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
24.01.2004, 19:00
Member

Beiträge: 133
#12 das auch noch fixen:
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\Updater\wupdater.exe

O4 - Global Startup: updater.lnk = C:\Programme\Common files\updater\wupdater.exe

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Dieser Beitrag wurde am 24.01.2004 um 19:01 Uhr von arynsun editiert.
Seitenanfang Seitenende
26.01.2004, 17:11
...neu hier

Themenstarter

Beiträge: 6
#13 Danke noch mal! ;)

Habe: PackethSvc.exe und WebshotsTray.exe and die obige e-mail adresse geschickt. Was passiert dann?

Habe die oben stehenden dateien gefixt, weiß leider nicht wie ich "C:\WINDOWS\system32\pgtools\tatss.exe" entfernen soll. löschen lässt die sich nicht, ist irgendwie schreibgeschützt. Wisst ihr vielleicht warum???

Holla!
Seitenanfang Seitenende
27.01.2004, 10:54
Member

Beiträge: 133
#14 sollten die dateien verdächtig sein,meldet sich rokop bei dir, die checken das aus!

sollte die datei C:\WINDOWS\system32\pgtools\tatss.exe schreibgeschützt sein,d.h. wenn unter eigenschaften bei dieser datei ein haken in schreibgesch.steht,versuch den rauszuklicken und dann nochmal löschen,kann sein das du das im abgesicherten modus machen must.

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: