Seite 1 von 3 123 LetzteLetzte
Zeige Ergebnis 1 bis 10 von 27

Virus bzw. Adware auf'm PC

Erstellt von kathrin, 17.03.2005, 13:17 Uhr · 26 Antworten · 1.896 Aufrufe

  1. #1
    Benutzerbild von kathrin

    Registriert seit
    08.12.2003
    Beiträge
    322
    Hallo zusammen,

    beim Check gab mir Norton an, daß sich einen Virus bzw. Adware auf meinem PC 'rumtreibt. Obwohl ich im abgesicherten Modus nach der exe-Datei suchte, war diese nicht auffindbar; auch RegCleaner war keine besonders große Hilfe.

    Aber zu den Einzelheiten:

    Besagte Datei heißt: NDNuninstall5_48
    und befindet sich auf: D:\WINNT\NDNuninstall5_48.exe
    Zusatzinfo: Adware.NDotNet

    Im Explorer werden sämtliche, d. h. auch die versteckten, Dateien und Ordner angezeigt. Die besagte exe-Datei konnte ich nicht finden.

    Desweiteren zeigt mir RegCleaner im Autostart eine Datei namens
    Mobsync.exe/Logon (hier: Synchronization Manager) an, womit ich nichts anfangen kann.

    Den Order "NavExcel" konnte ich löschen.

    BS: Win2000 Prof.
    Norten wird durch Live-Update auf den neuesten Stand gehalten.

    Wie kann ich die o. g. Datei löschen bzw. in welchem Ordner befindet sich diese?

    Danke für eure Hilfe im voraus!

    Bye
    Kathrin

  2.  
    Anzeige
  3. #2
    Benutzerbild von 0815xxl

    Registriert seit
    13.11.2001
    Beiträge
    568
    Lad dir die kostenlosen Programe Ad-Aware SE und eventuell HiJackThis aus dem Netz (leicht zu finden über Google), installieren und das System checken. Hat bei mir immer geholfen. Aber aufpassen, nicht alle Einträge die gefunden werden sind bösartig. Also mitdenken !!

    Bye

  4. #3
    Benutzerbild von DeeTee

    Registriert seit
    19.12.2001
    Beiträge
    1.928
    @kathrin:
    Hier findest Du eine Anleitung und die benötigten Programme, die Dir weiterhelfen.
    Link: http://www.trojaner-info.de/hijacker/index.shtml

    Fragen bitte hier posten. Ich schaue nachher nochmal vorbei.

    Grüße!
    DeeTee

  5. #4
    Benutzerbild von kathrin

    Registriert seit
    08.12.2003
    Beiträge
    322
    Hallo ihr zwei,

    danke für eure Tips. Nachdem ich das System mit Ad-Aware gescannt bzw. bereinigt hatte, prüfte ich nochmals mit Norton mit dem Ergebnis, daß mir die bereits oben bezeichnete Datei bekannt wurde. Was nun?

    Wie kann ich die Datei D\WINNT\NDNuninstall5_48.exe von der Festplatte löschen bzw. kann ich noch suchen, da ein derartiger Ordner nicht im Explorer ersichtlich ist?

    Bye
    Kathrin

  6. #5
    Benutzerbild von 0815xxl

    Registriert seit
    13.11.2001
    Beiträge
    568
    Scheint schwierig zu sein !! Ist Norton Antivirus auf dem aktuellsten Stand ? Google mal nach der Datei "NDNuninstall5_48.exe" .
    Hat HiJackThis was gebracht ? Das Programm "Spybot & Destroy" könnt auch helfen.

    Ich glaube hier wirst Du fündig ,) :
    http://board.protecus.de/showtopic.php?threadid=15453
    Meld Dich wieder.

    Bye

  7. #6
    Benutzerbild von 0815xxl

    Registriert seit
    13.11.2001
    Beiträge
    568

  8. #7
    Benutzerbild von kathrin

    Registriert seit
    08.12.2003
    Beiträge
    322
    @ 0815xxl

    So, nachdem ich mit HiJackThis gescannt habe, nachfolgendes Ergebnis:

    Logfile of HijackThis v1.99.1
    Scan saved at 10:21:08, on 19.03.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINNT\System32\smss.exe
    D:\WINNT\system32\winlogon.exe
    D:\WINNT\system32\services.exe
    D:\WINNT\system32\lsass.exe
    D:\WINNT\system32\svchost.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    D:\WINNT\system32\spoolsv.exe
    D:\WINNT\system32\drivers\CDAC11BA.EXE
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    D:\WINNT\System32\svchost.exe
    D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    D:\WINNT\system32\regsvc.exe
    D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    D:\WINNT\system32\MSTask.exe
    D:\WINNT\System32\WBEM\WinMgmt.exe
    D:\WINNT\System32\mspmspsv.exe
    D:\WINNT\system32\svchost.exe
    D:\WINNT\Explorer.EXE
    E:\T_Online\SpeedMgr.exe
    D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    E:\T_Online\tsmsvc.exe
    D:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
    E:\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    E:\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    E:\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    E:\LeechGet 2004\LeechGet.exe
    E:\WINZIP\winzip32.exe
    D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ActiveX\AcroIEHelper.dll
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T_Online\SpeedMgr.exe"
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Programme\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - Global Startup: DSLMON.lnk = D:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Reader\reader_sl.exe
    O8 - Extra context menu item: &Copy Location - D:\WINNT\WEB\graburl.htm
    O8 - Extra context menu item: Download all by Free Download Manager - file://E:\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download by Free Download Manager - file://E:\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Download selected by Free Download Manager - file://E:\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download web site by Free Download Manager - file://E:\Free Download Manager\dlpage.htm
    O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\LeechGet 2004\\Wizard.html
    O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\LeechGet 2004\\AddUrl.html
    O8 - Extra context menu item: Mit LeechGet parsen - file://E:\LeechGet 2004\\Parser.html
    O9 - Extra button: Alles Bonanza (70er Forum) - {0F281371-56C2-497C-B1FF-78FE2A75E58F} - http://www.alles-bonanza.net/forum/index.php (file missing)
    O9 - Extra button: WetterOnline - {1053E542-6B06-4B74-A7BA-59F398188817} - http://www.wetteronline.de/ (file missing)
    O9 - Extra button: Weight Watchers - {18C2A6C7-574A-4804-A190-F00D6BCBE9E6} - http://www.weightwatchers.de/index.aspx (file missing)
    O9 - Extra button: Netzwelt - {29578F6F-3CAC-443E-B553-2945A4E095D9} - http://www.netzwelt.de/ (file missing)
    O9 - Extra button: DWD - {32817644-68E5-4767-93FD-594FF3F974CE} - http://www.dwd.de/de/de.htm (file missing)
    O9 - Extra button: die-80er-jahre - Startseite - - {421E78FA-75B9-4374-8C65-090E144F8BF7} - http://www.die-80er-jahre.de/2/startseite/start.html (file missing)
    O9 - Extra button: Laberforum (80er-Forum) - {73691088-A29A-4A7F-9785-25DDD9A5B56C} - http://www.best-of-80s.de/ (file missing)
    O9 - Extra button: WetterOnline - {9607CDEB-4254-4FF1-99E2-81229CF8181D} - http://www.wetteronline.de/ (file missing)
    O9 - Extra button: SSK MD - {9AE5101A-45D2-4F9A-B603-35F4B7EED0A8} - http://www.sparkasse-magdeburg.de/inner.php (file missing)
    O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - D:\WINNT\system32\webzone.dll
    O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - D:\WINNT\system32\webzone.dll
    O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - D:\WINNT\system32\webzone.dll
    O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - D:\WINNT\system32\webzone.dll
    O9 - Extra button: Laberforum - {C4877083-11BE-4401-AEB5-1E11345260BD} - http://www.best-of-80s.de/ (file missing)
    O9 - Extra button: Webmail t-onlilne - {ED8DE11D-361A-4A21-9C73-B9F01710C26B} - https://sam.t-online.com/toid/login....MxJ6KK37V2RKX9 (file missing)
    O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - D:\WINNT\system32\oline.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
    O17 - HKLM\System\CCS\Services\Tcpip\..\{66279A19-4441-4D57-B7EE-CE9F47C02613}: NameServer = 217.237.149.225 217.237.151.97
    O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINNT\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - E:\T_Online\tsmsvc.exe

    Da ich mit dieser Auflistung wenig anfangen kann, check Du doch bitte, ob sich hier der "nette Gast" befindet. Mir fehlt hierzu - höflichst ausgedrückt - 'ne Gehirnwindung. Spyboot Search & Destroy gab an, daß mein System sauber wäre. Dank Live-Update bin ich bei Norton auf den neuesten Stand. ... und danke für Deinen Nachtrag, dann laß' ich die Datei im Autostart.

    Schönes WE!

    Bye
    Kathrin

  9. #8
    Benutzerbild von 0815xxl

    Registriert seit
    13.11.2001
    Beiträge
    568
    Es sieht auf den ersten Blick verwirrend aus, aber so schwer ist das nicht. Die meißten Einträge erklären sich von selbst, weil ja immer der Name des Programms drin vorkommt, wie z.B. Symantec, Norton, T-Online usw.
    Ich glaube ein paar Sachen mit xxx.dll sind die Ursachen, kenn die aber nicht.

    Du kannst diesen Logfile selbst überprüfen, hier -> www.hijackthis.de komplett reinkopieren und auswerten lassen. Der Rest sollte sich von selbst erklären. Einträge mit "böse!!" kannst Du sofort löschen (fixen), bei allen anderen überlegen.
    Fixen geht ganz einfach, System scannen, links bei den entsprechenden Einträgen das Häckchen setzen und 'Fix checked' anklicken. Diese landen dann unter -> Config -> Backups.

    Ich hab da auch 2 Einträge die Ich ständig fixe, aber die wollen nicht weg !! Hmm :-(

    Bye

  10. #9
    Benutzerbild von kathrin

    Registriert seit
    08.12.2003
    Beiträge
    322
    @ 0815xxl

    Danke für dieses Tool. Nach der Auswertung wurden einige als "unnötig" beziffert, hauptsächlich die Extrabuttons und als "evtl. böse" die dazugehörenden (?) dll-Dateien. Sobald ich am heute etwas mehr Ruhe habe, werde ich diese nochmals fixen.

    Bye
    Kathrin

  11. #10
    Benutzerbild von 0815xxl

    Registriert seit
    13.11.2001
    Beiträge
    568
    "Unnötig" heißt nicht unbedingt "Schädlich" !! Sie sind zwar da, machen aber keinen Schaden ! Eventuell verlangsamen sie das System.
    "file missing" heißt, die dazugehörige Datei (File) oder der Link sind nicht mehr vorhanden, also überflüssig. Sieht aus als wären das mal Favoriten (Lesezeichen/Bookmarks) gewesen !?

    Du kannst das Scannen und Fixen ja mehrmals machen und immer nur ein paar Einträge löschen wenn Du Dir nicht sicher bist. Im übrigen werden alle gefixten Einträge unter "Backups" gespeichert. Sie sind also nicht ganz weg. Wie man die von dort allerdings wieder zurückschiebt und aktiviert weiß ich nicht, hab Ich noch nie gebraucht.
    Achja und den PC danach neu starten damit auch alle Änderungen komplett übernommen werden.

    Wenn das alles nix hilft, die genaue Fehlermeldung mit Virus-Namen, Ordner, Datei usw. an den Hersteller Norten ... mailen. Die habe sicher ne HP mit Info's, Forum, Virenlexikon usw. !

    Bye

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Neuer Virus?
    Von dj.forklift im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 2
    Letzter Beitrag: 25.04.2005, 15:54
  2. Virus-Problem
    Von frasier im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 8
    Letzter Beitrag: 05.03.2005, 21:22
  3. Ein deutscher Schüler programmiert DEN Virus
    Von SportGoofy im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 15
    Letzter Beitrag: 11.05.2004, 20:45
  4. noch 'nen virus
    Von kathrin im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 6
    Letzter Beitrag: 07.05.2004, 21:08
  5. evtl. neuer Virus?
    Von musicola im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 5
    Letzter Beitrag: 27.12.2003, 19:34