Hilfe... schwerer Virenbefall!!!! wininet.dll oleadm.dll

  • #1
T

*TC*

Guest
Bitte helft mir, ich hab mich schon überall umgeschaut aber noch keine Lösung für mein problem gefunden. die wininet.dll und die oleadm.dll machen probleme und lassen sich nicht reparieren oder löschen. sicherheitsupdates für iexplorer funzen auch nimmer :-\
hab schon ad-aware, cw-shredder, spybot s&d norton antivirus 2004 alles durchlaufen lassen. bisher ohne erfolg. hier mein HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 01:53:01, on 23.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\ATKKBService.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
H:\Norton Antivirus\Norton AntiVirus\navapsvc.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
H:\Norton Antivirus\Norton AntiVirus\SAVScan.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\shnlog.exe
G:\WINDOWS\System32\TrayIcon.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
G:\WINDOWS\SOUNDMAN.EXE
H:\PC Booster\pcbooster.exe
G:\WINDOWS\System32\intmon.exe
H:\Messenger Plus 3.52\MsgPlus.exe
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Messenger\msmsgs.exe
G:\WINDOWS\System32\ctfmon.exe
H:\Core Center\CoreCenter.exe
G:\WINDOWS\System32\wuauclt.exe
G:\Programme\Internet Explorer\IEXPLORE.EXE
H:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - G:\WINDOWS\System32\hp152A.tmp
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - G:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Norton Antivirus\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DisplayTrayIcon] G:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [ccApp] G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] G:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] G:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] H:\Quick Time\qttask.exe -atboottime
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 EPSON Stylus CX6600 Series /O5 LPT1: /M Stylus CX6600
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series (Kopie 1)] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P36 EPSON Stylus CX6600 Series (Kopie 1) /O5 LPT1: /M Stylus CX6600
O4 - HKLM\..\Run: [\\ALTPC\EPSON] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P13 \\ALTPC\EPSON /O13 \\ALTPC\EPSON /M Stylus CX6600
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX6600 Series auf SAMSUNG] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P50 Automatisch EPSON Stylus CX6600 Series auf SAMSUNG /O17 \\SAMSUNG\Drucker /M Stylus CX6600
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PC Booster] H:\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [MessengerPlus3] H:\Messenger Plus 3.52\MsgPlus.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Java\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PSGuard] G:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] G:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [MessengerPlus3] H:\Messenger Plus 3.52\MsgPlus.exe /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] G:\WINDOWS\System32\hookdump.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CoreCenter.lnk = H:\Core Center\CoreCenter.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://H:\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - H:\Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Bluetooth\btsendto_ie.htm
O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Bluetooth\btsendto_ie.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{299B7661-83EF-4227-BC86-F26669FF748F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{299B7661-83EF-4227-BC86-F26669FF748F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{299B7661-83EF-4227-BC86-F26669FF748F}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - H:\Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - H:\Norton Antivirus\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - H:\Norton Antivirus\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - G:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
 
  • #3
*TC* schrieb:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Zum Vergrößern anklicken....
Wo ist das SP2? ???

Running processes:
G:\WINDOWS\System32\shnlog.exe

G:\WINDOWS\System32\intmon.exe

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - G:\WINDOWS\System32\hp152A.tmp
Zum Vergrößern anklicken....
Trojaner Puper


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
Zum Vergrößern anklicken....
Such-Engine oneclicksearches.com

O4 - HKCU\..\Run: [Intel system tool] G:\WINDOWS\System32\hookdump.exe
Zum Vergrößern anklicken....
Trojaner TopAntiSpyware


pan_fee
 
  • #4
erstmal danke für die schnelle antworten... leider hat mir das löschen der dateien in highjack sowie auch das durchschnüffeln des links mit dem spysherrif guide weitergeholfen. :'(
spysherrif scheint bei mir nicht drauf zu sein... habe beim suchen danach zumindest nichts gefunden. mein antivirus zeigt mir immer was von trojan.desktophijack.B an. immer in den dateien oleadm.dll und wininet.dll
desweiteren is mein desktopbild auch verändert, habe jedoch bisher in der registry anscheinend nicht den eintrag dafür gefunden. norton antivirus 2004 spürt die beiden dateien zwar als fehlerhaft auf, kann sie jedoch weder löschen noch isolieren, trotz neuster virusdefinitionen.
 
  • #5
*TC* schrieb:
erstmal danke für die schnelle antworten... leider hat mir das löschen der dateien in highjack sowie auch das durchschnüffeln des links mit dem spysherrif guide weitergeholfen. :'(
Zum Vergrößern anklicken....
auch im abgesicherten (F8) Modus versucht? ???

mein antivirus zeigt mir immer was von trojan.desktophijack.B an.
Zum Vergrößern anklicken....


desweiteren is mein desktopbild auch verändert, habe jedoch bisher in der registry anscheinend nicht den eintrag dafür gefunden.
Zum Vergrößern anklicken....
in der Link von Symantec steht:

5. Adds the values:

Background = 0 0 0
WallpaperStyle = 0

to the subkey:

HKEY_CURRENT_USER\Control Panel\Colors

to modify the desktop wallpaper.

6. Adds the values:

NoActiveDesktopChanges = 1
NoDispBackgroundPage = 1
NoDispAppearancePage = 1

to the subkey:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer

to modify the desktop wallpaper.


Punkt 6 steht aber in der Anleitung (Link), die hp schon gepostet hat.

pan_fee
 
  • #6
auf der seite war ich auch schon gewesen und hab schon 1000mal meine registry geprüft und die reihenfolge befolgt. das problem is nur, dass ich auch im abgesicherten modus die dateien wininet.dll und oleadm.dll mit norton antivirus finde, sie jedoch nicht löschen oder isolieren kann... jetzt habe ichs zumidest geschafft mein desktop teilweise wieder herzustellen und derChanges the desktop wallpaper to a blue background with the following text:

Warning!
Your computer is infected! hintergrund is auch schon weg. jedoch habe ich immer noch ein schwarzes fenster aufm  desktop mit virus waning oder so. wenn ich darauf klicke komme ich auf die antivirus-gold.com seite. außerdem habe ich es geschafft im abgesicherten modus die shnlog.exe und die oleadm.dll zu entfernen mit hilfe des programms Killbox. das problem is, dass ich selbst mit diesem programm die wininet.dll nichtmal im abgesicherten modus entfernen kann. somit schlägt mein nav2004 weiterhin dauernd an, kann das problem allerdings nicht beheben.
zu dem thema der symantec hilfe:

In the right pane, reset the values:

NoActiveDesktopChanges = 1
NoDispBackgroundPage = 1
NoDispAppearancePage = 1


Navigate to the subkey:

HKEY_CURRENT_USER\Control Panel\Colors


In the right pane, reset the values:

Background = 0 0 0
WallpaperStyle = 0

die oberen 3 werte habe ich garnicht erst in meiner registry gefunden. is das jetzt gut oder schlecht?

und die untere beiden werte wo steht dass ich die resetten soll... was heißt resetten? so setzen wie sie dort stehen? garkeinen wert setzen? oder löschen?

bitte um weitere hilfe  :-\   ...danke für eure zeit :-[
 
  • #7
*TC* schrieb:
die oberen 3 werte habe ich garnicht erst in meiner registry gefunden. is das jetzt gut oder schlecht?
Zum Vergrößern anklicken....
das ist gut

und die untere beiden werte wo steht dass ich die resetten soll... was heißt resetten? so setzen wie sie dort stehen? garkeinen wert setzen? oder löschen?
Zum Vergrößern anklicken....
heißt: die RGB-Werte (Rot-Grün-Blau) für den Desktop-Hintergrund zurückstellen ....
255 0 0 = blau
255 255 255 = weiß
0 0 0 = schwarz
etc.

RGB-Farben:


einfacher geht es über Eigenschaften Desktop - Darstellung - Farbschema

pan_fee
 
  • #8
Gut,... jetzt habe ich mein problem so weit eingegrenzt, dass das schwarze fenster das ich mit dem link zu der antivirusseite aufm desktop weg is, aber stattdessen ein graues unverlinktes feld auf meinem desktop is. also irgendeinen reg eintrag muss ich wohl übersehen haben, obwohl ich mehrfach alle durchgesucht habe ???
hm... außerdem habe ich immernoch das problem mit der wininet.dll, bei welchem ich noch kein stück weitergekommen bin. :'(
habt ihr noch irgendwelche ideen?
 
  • #9
JAAAAHHHHH endlich is der scheiß* drecksvirus tot...
ich habs geschafft ihn zu besiegen und werd jetzt allen die dasselbe problem haben erklären wie:
erstmal hat mir diese seite sehr weitergeholfen:
befolgt die anleitung schritt für schritt und ladet euch die benötigten proggys im vorraus herunter, da ihr im abgesicherten modus arbeiten müsst...
das internetexplorer und das desktopproblem lösen sich durch die registry restoreupdates.
viele dateien müsst ihr manuell löschen... dafür eignet sich die killbox sehr gut.
welche dateien das sind steht in dem link.
außerdem müsst ihr eure virusdefinitionen auf den neusten stand holen.
für alle die am ende nurnoch die wininet.dll als problem haben, sollten sich manuell über google das ie-explorer sicherheitsupdate kb834707 runterladen.
das gemeine ander geschichte war, das der virus, bzw. trojaner die installation blockiert hat. im abgesicherten modus kann man es jedoch installieren und das problem mit der wininet.dll ist gelöst.
ich hoffe ich konnte einigen damit helfen und danke nochmal allen in diesem forum die sich die zeit genommen haben mir zu helfen, bzw. es zu versuchen.

gute n8 und kopf hoch... es gibt immer eine lösung für viren ;)
 
  • #10
auch wenn du es nun geschafft hast den trojaner erfolgreich zu bekämpfen: der sicherere weg bei so einem trojaner-befall wäre eine neuinstallation mit ändern aller passwörter gewesen. deine daten hat der/die trojaner schon längst ins internet getragen ...

greetz

hugo
 
  • #11
Was sind das für passwörter die da online geraten sein können? nur irgendwelche die aufm rechner von mir gescheichert wurden, oder auch passwörter von ebay, yahoomail, etc.?
sind diese nicht online gespeichert und somit ohne zugang für den trojaner?
...zum glück hab ich sonst keine wichtigen sachen aufm computer wie kontodaten oder sowas für online banking,etc... bei mir solltes eigentlich nichts zu holen geben. 8)
 
  • #12
Hallo zusammen , hatte vor ein paar tagen den trojaner w32.desktohijack drau habe diesen mit hilfe von Ad-aware oder so runterbekommen. ja ... jetzt wollte ich mein windows neu instalieren aber mein rechner schaltet sich automatisch aus. könnte doch ein bootvirus sein oder so oder??? Kann mir jemand weiterhelfen brauche dringend hilfe :'(....  habe n lappi p4 2600,512,60gb, also immer wenn ich den rechner versuche neu zu instalieren oder c: zu formatien schaltet der rechner sich aus....
 
Thema:

Hilfe... schwerer Virenbefall!!!! wininet.dll oleadm.dll

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.839
Beiträge
707.962
Mitglieder
51.492
Neuestes Mitglied
Janus36
Oben