28. März 2024, 19:46:35 Uhr

Hilfe!!!

Begonnen von Shiva82hh, 25. Juni 2005, 20:51:59 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Shiva82hh

Hallo...

ich habe da mal wieder ein Problem, allerdings geht es diesmal nicht um meinen Rechner, sondern um den eines Bekannten. Und zwar habe ich den PC mal mit Antivir durch gecheckt, da ätliche Dialer und Trojaner gefunden und mit Ad-Aware über 300 "critical objects"!  ;)

Ich habe soweit auch fast alles entfernt bekommen, allerdings wird bei Antivir immer noch die Datei FS92.CAB angezeigt (DIAL/302031). Ich kann es leider nicht entfernen, außerdem hängt sich der PC auch ständig auf oder es werden ständig irgendwelche Vorgänge abgebrochen (z.B. Vsmon, Avwin, Stimon oder Avgctrl, was auch immer das sein soll), mit der Begründung, dass es in Kernel32.DLL einen Fehler verursacht hat und beendet werden muss. Fliege dann auch ständig aus dem Internet... weiß auch langsam net mehr, was ich machen soll, bzw. woran es liegen könnte. Firewall ist auch vorhanden.

Soll ich sonst vielleicht mal HijackThis laufen lassen und das Ergebnis hier rein setzen?

Wäre schön, wenn jemand ne Antwort weiß. Gerne so schnell wie möglich, da ich morgen wieder nach Hause fahre. Danke!

Shiva82hh

Also, hier ist sonst vorsichtshalber der Logfile von Hijack...

Logfile of HijackThis v1.99.1
Scan saved at 21:01:53, on 25.06.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\EUMEX 404PC\CAPICTRL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\Capictrl.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

Thx!   ;D

tyco

Fixe mit HijackThis folgende Einträge:

O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
Bitte keine Supportanfragen per PM stellen.

Shiva82hh

Hey, danke erst mal für die schnelle Rückmeldung. Habe die angegebenen Einträge gefixt, allerdings tritt immer noch ne Meldung bei Antivir auf, die weder repariert, noch gelöscht wird. Ich habe auch schon versucht die angebebene Datei via Arbeitsplatz zu suchen aber ich kann sie einfach nirgends finden, was ich auch sehr merkwürdig finde. Hier ein mal der Logfile von Antivir, vielleicht hilft das ja etwas weiter!?

Start des Suchlaufs:  Sonntag, 26. Juni 2005  01:24

Speichertest                          OK
Master-Bootsektor von Festplatte HD0  OK
Bootsektor von Laufwerk C:            OK
Bootsektor von Laufwerk D:            OK
Bootsektor von Laufwerk E:            OK


C:\_RESTORE\ARCHIVE
  FS92.CAB
  ArchiveType: CAB (Microsoft)
    --> A0326660.CPY
        [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/302031 (Dialer)
C:\WINDOWS
  WIN386.SWP
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!





Ende des Suchlaufs:  Sonntag, 26. Juni 2005  01:58
Benötigte Zeit:     34:10 min


3539 Verzeichnisse wurden durchsucht
79551 Dateien wurden geprüft
   1 Warnung wurde ausgegeben
   0 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   1 Virus bzw. unerwünschtes Programm wurde gefunden

Irgendwie muss der Mist doch zu entfernen sein. Wäre schön, wenn noch jemand nen Rat hat!

American

Versuche dein Glück mal im Agesicherten Modus.
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

Shiva82hh

Tja, der abgesicherte Modus ist zwar oft ganz gut, nur leider bringt es nicht viel, da ich die Datei wie gesagt nirgends manuell auf dem Rechner finden kann (über "Suche" im Arbeitsplatz) und da Antivir die Meldung gibt, dass diese Datei in einem Archiv ist und deshalb nicht gelöscht werden kann. Was kann man denn jetzt noch machen, würde es echt gerne entfernt bekommen. Im HijackThis Logfile war ja auch nichts weiter oder? Gibt es vielleicht noch irgend ein Programm, mit dem ich weiter kommen könnte?

gandal

C:\_RESTORE\ARCHIVE\FS92.CAB

Auf Deutsch:
http://www.tu-berlin.de/www/software/virus/savemode.shtml
http://www.bsi.de/av/texte/wiederher_xp.htm

Dann die Datei löschen.

Bei Symantec:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam

         
Real Programmers code in binary

Shiva82hh

Also mir ist schon klar, wie man in den abgesicherten Modus kommt und wie man ne Systemherstellung macht, nur leider weiß ich net seit wann der sch*** auf dem Rechner ist, da sie zwar gemerkt haben, dass mit dem PC etwas nicht stimmt aber auch nichts dagegen unternommen haben. Sie kennen sich mit solchen Sachen nämlich überhaupt nicht aus!

Und noch mal zum Thema abgesicherter Modus... wie soll ich eine Datei löschen, wenn ich sie zwar mit Antivir finde, sie aber dort nicht entfernen kann, da sie irgendwo in einem Archiv liegt, welches man aber über die Suche auf´m Rechner net finden kann?

Ich finde ja dieses komplette Verzeichnis nicht auf dem Recher:

  C:\_RESTORE\ARCHIVE
  FS92.CAB
  ArchiveType: CAB (Microsoft)

allerdings wird es halt bei Antivir als Fehler und infizierte Datei angegeben!

Und dann zu Symantec... habe es leider net so mit dem Englisch, dass ich alles verstehe.  :-[

American

Das verzeichnis dürfte versteckt sein...
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

Shiva82hh

Ja, dessen bin ich mir wohl bewusst!  ;D Aber ich muss es ja normal irgendwie finden können, wenn Antivir es so auch aufspürt!? Finde es ja auch net, wenn ich unter LW C gucke. Habe kein Plan, habe ja auch schon angeklickt, dass er versteckte Ordner mit einbeziehen soll.

Irgend jemand muss doch noch etwas wissen, bin leider auch net mehr so lange hier... :-\

gandal

WindowsExplorer starten
Menü Extras -> Ordneroptionen
Reiter Ansicht

Hacken weg bei
Erweiterung bei bekannten Dateien ausblenden
Geschützte Systemdatein ausblenden

Hacken setzen
Inhalt von Systemordnern anzeigen

Option setzen bei
Alle Dateien und Ordner anzeigen


-> Jetzt solltest Du auf alle Dateien das Systems über den Explorer zugreifen können.


In der DOS-Box kannst Du die Datei auch löschen, wenn Du den vollständigen Pfad und Namen angibst.
del C:\_RESTORE\ARCHIVE\FS92.CAB
mit cd C:\_RESTORE\ARCHIVE kannst Du auch in das Verzeichnis wechseln.
         
Real Programmers code in binary

Shiva82hh

Tja, danke für die Hilfe aber ich habe mittlerweile einen Rat in einem anderen Board bekommen und bin auch net mehr bei meinen Bekannten. Also nur mal so zur Info, ich sollte einfach die Systemwiederherstellung deaktivieren, den PC im abgesicherten booten und dann normal hochfahren und die Systemwiederherstellung einfach deaktivieren und es hat geklappt. Würde mal sagen; klingt komisch, ist aber so!  ;D

Lieben Dank trotzdem für die Mühe.