Wie entferne ich redirect5.exe Win32/DotcomToolbar.A ?

#0
13.02.2004, 20:46
...neu hier

Beiträge: 4
#1 Hallo zusammen
Mein erstes zusammen treffen mit einem Virus
habe schon das ganze Netz nach dem durchsucht
finden tu ich nur
Win32/DotcomToolbar.b
Win32/DotcomToolbar.c
Win32/DotcomToolbar.d
beschreibung bei allen dreien
..ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.

gehöhrt Win32/DotcomToolbar.A
auch in diese Kategorie?
hat jemand erfahrung mit dem Virus?
was kann ich tun um ihn los zu werden?
Habe das Antivirus-Profi-Paket dort habe ich es versucht zu löschen
nach erneutem durchlauf wurde er immer noch festgestellt
befallen sind die Dateien:
C:/Windows/RAVAA32.tmp und
C:/Windows/system32/redirect5.exe

habe versucht euch ein Hijackthis log reinzustellen
nur kann ich das Programm nicht downloaden kommt fehlerseite

Währe Euch für Hilfe sehr dankbar
LG Himmel
Seitenanfang Seitenende
13.02.2004, 21:21
Moderator

Beiträge: 7805
#2 Du kannst es auch hier herunterladen:
http://www.chip.de/downloads/c_downloads_11353576.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.02.2004, 09:48
...neu hier

Themenstarter

Beiträge: 4
#3 Moin

Danke Raman dort hat es geklappt
vielleicht kann hier jemand was erkennen hoffe sehr
bekomme die Dateien einfach nicht gelöscht
LG Himmel

Logfile of HijackThis v1.97.7
Scan saved at 09:40:28, on 14.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus-Profi-Paket\AVKService.exe
C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Antivirus-Profi-Paket\AVK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\DitExp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE
C:\WINDOWS\system32\redirect5.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Java\j2re1.4.2_01\bin\jucheck.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Antivirus-Profi-Paket\avk.exe
C:\Dokumente und Einstellungen\Sky\Eigene Dateien\Eigene Downloads\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skyspage.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works

Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE"
O4 - HKLM\..\Run: [redirect] C:\WINDOWS\system32\redirect5.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet k

series\Bin\hpoorn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mts: C:\Programme\MetaStream\npmetastream.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37641.9453009259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
14.02.2004, 11:25
Moderator

Beiträge: 7805
#4 Das solltewst du "fix"en:

O4 - HKLM\..\Run: [redirect] C:\WINDOWS\system32\redirect5.exe
Vieleicht solltest du das noch mit Hilfe von MSCONFIG herausnehmen, wenn du nicht weisst, was es ist:
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe

Du kannst das auch mit deinem AV-Programm entfernen lassen. Entweder
dazu den Prozess:C:\WINDOWS\system32\redirect5.exe beenden, oder es gleich im abgesicherten Modus machen lassen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.02.2004, 11:44
...neu hier

Themenstarter

Beiträge: 4
#5 Danke raman für Deine Antwort
könntest du mir bitte sagen
wie ich in den abgesicherten Modus bei XP komme?
finde nur beschreibung für 95 und 98 aber leider nicht für xp
Mein AV Programm kann ihn nicht entfernen und nicht löschen
wenn ich direkt ins Verzeichniss gehe gehts auch nicht
LG Himmel
Seitenanfang Seitenende
14.02.2004, 12:07
Moderator

Beiträge: 7805
#6 SChau mal hier nach: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20020114122843924

Du kannst die Datei im abgesicherten Modus auch per Hand loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.02.2004, 14:07
...neu hier

Themenstarter

Beiträge: 4
#7 Juhu es hat geklappt:-)
vielen Dank für Deine Mühe und Zeit die Du für mich hattest
LG Himmel

Dieser Beitrag wurde am 14.02.2004 um 14:09 Uhr von Himmel editiert.
Seitenanfang Seitenende