bi.dll, bi[1].exe, bridge.dll,nsbb[1].exe und ncmyb.dll

#1 Hallo.
Ich bin nur ein unbedarfeter User und habe folgendes Problem.
Ich habe folgende Dateinen aus der Regedit gelöscht: bi.dll, bi[1].exe, bridge.dll,nsbb[1].exe und ncmyb.dll
Wenn ich nun meinen Norton Antivirus drüber laufen lassen taucht immer noch die Meldung das diese Dateien noch auf dem PC vorhanden wären. Norton kann sie wohl nicht entgültig löschen. Wie entferne ich die Dateinen vollständig? Bitte helft mir!
Mfg
Sualk

#2 1.)Deaktiviere mal die Systemwiederherstellung. (wenn du nicht weißt wie, dann guck mal bei Google.de)
2.)Starte deinen Rechner im Abgesicherten Modus.
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten stehts wies geht.

#3 http://www.symantec.com/avcenter/venc/data/pf/adware.binet.html
Dazu musst du in der Registry "rumbasteln"

Start<Ausfuehren<regedit reinschreiben ....o.k.

Wenn du es dir allein nicht traust, bitte jemanden, dass er dir hilft.

Dann lade ClearProg und saebere den Browser.
http://www.clearprog.de/

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo Dafra.
Hier die Hijackthis log.
Da die von dir vorgeschlagene Methode nicht klappt.
Mfg
Sualk


Logfile of HijackThis v1.97.7
Scan saved at 15:11:03, on 25.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Tweaks und Tools\ttd.exe
C:\Programme\Tweaks und Tools\ttaddblock.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus-D.wehmeier\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lichtblick-in-bielefeld.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Tweaks & Tools - 0190 Dialer-Schutz.lnk = C:\Programme\Tweaks und Tools\ttd.exe
O4 - Startup: Tweaks & Tools - Werbeblocker.lnk = C:\Programme\Tweaks und Tools\ttaddblock.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37992.1896527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - http://secure.goodthinxx.com/vcloadgt.cab
[/url]

#5 Makier mal die Einträge:
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
Und klick auf den Button (Fix Check)

Dann scanne deinen Rechner noch mal im Abgesicherten Modus und schreib dir die Orte von den Dateien auf, wenn Norton noch welche Findet.
Dann Lösch diese einfach.
MFG
DAFRA

#6 Die Reste vom Wurm sieht man nicht im Log.

BackUp der Registry erstellen , dann:

Start<Ausfuehren<regedit

folgende Schluessel suche und loeschen, falls vorhanden.

HKEY_CLASSES_ROOT\CLSID\{000006B1-19B5-414A-849F-2A3C64AE6939}
HKEY_CLASSES_ROOT\TypeLib\{690BCCB4-6B83-4203-AE77-038C116594EC}
HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}
HKEY_CLASSES_ROOT\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{000006B1-19B5-414A-849F-2A3C64AE6939}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{4534CD6B-59D6-43FD-864B-06A0D843444A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{000006B1-19B5-414A-849F-2A3C64AE6939}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{690BCCB4-6B83-4203-AE77-038C116594EC}

loeschen.

O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll wuerde ich nicht fixen...gehoert zu deinem Hewlett Packard.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Mitlerweile findet mein Norton nur noch die Datei ncmyb.dll welche sich nicht löschen läßt. Ich bitte nochmals um Hilfe.
Mfg
Sualk

#8 Wo befindet sich die denn ??
Klick die Datei mal an, und geh auf Eigenschaften, und nehm den Haken vor Schreibgeschützt weg.
Versuch sie dann mal im Abgeischerten Modus zu löschen
MFG
DAFRA

#9 Hallo.
Wahrscheinlich habe ich mich unglücklich Ausgedrückt. Die Datei welche Norton als Bedrohung erkennt heißt: ncmyb.dll und kann von Norton nicht entfernt werden. In der Regedit läßt sich diese Datei nicht finden und auch über Suchen auf C: finde ich diesen Datei Namen nicht. Wie und wo finde ich ncmyb.dll und wie kann ich diese Datei vom PC entfernen?
Mfg
Sualk

#10 Du musst mal bei Norton im Log gucken, da müsste normalerweise drin stehen, wo die Datei ist.
MFG
DAFRA

#11 Hallo Dafra.
Der letzte Hinweis war sehr hilfreich. Die ncmyb.dll hatte sich in Dokumente und Einstellungen als versteckte Datei verborgen. Nun ist sie gelöscht und ich hoffe, dass Problem ist damit behoben.
Besten Dank für deine (eure) Mithilfe.
Mfg
Sualk

#12 Bitte Bitte.
MFG
DAFRA

#13 Wenn du wieder mal ein Problem mit versteckten Dateien hast ,

Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina.
Das heutige Suchen hat mir einige neue Erkenntnisse zum PC eröffnet. Danke für deine Mithilfe.
MFG
Sualk