[HaBo]

turrican75 · 31.10.05, 19:20

Hi,

mein Kumpel hat eben angerufen und meinte das sein PC spinnt.

AntiVir meldet beim starten von WinXP und dann beim starten von fast jedem Programm folgende drei Dateien als infiziert.

C:\Windows\System32\OLEEXT.DLL
\WININET.DLL
\WINSTYLE3.DLL

Ein löschen dieser Dateien bewirkt nichts, beim nächsten Aufruf eines Programmes kommen diese Meldungen wieder.

Er konnte im abgesicherten Modus noch nen Scan mit dem STINGER und AntiVir durchführen, hat aber nix gebracht.

Da ich nicht vor Ort bin, kann ich keine weiteren angaben dazu machen, die suche hier auf dem Board hat mir vorerst auch nicht weitergeholfen. Bin für jeden Tip dankbar.

unskilled · 31.10.05, 19:48

www.google.de

WINSTYLE3.DLL = Trojan.Downloader.Delf.H
OLEEXT.DLL = Troj/Spyjack-E

hijackthis hilft dir auch.
kannst ja mal das logfile posten.

so long

Anzeige

- Anzeige -

turrican75 · 31.10.05, 20:24

@ unskilled, hast recht, manchmal bekommt man bei google auch treffende ergebnisse.

Kann man diese Dateien gefahrlos löschen, und ist das problem damit behoben?

Werd schon mal bei google nach der antwort suchen, aber wenn du es weißt, wäre schön wenn du postest.

hijackthis kann ich je erst ausführen wenn ich mal bei meinem Kumpel vorbeischaue, was wohl morgen der Fall sein wird.

unskilled · 31.10.05, 23:09

also WINSTYLE3.DLL & OLEEXT.DLL kannste löschen. die andere wird nicht zu löschen sein, weil die in benutzung ist.
also am besten du postest mal was für prozesse laufen -taskmanager- und vllt auch nochmal die startprozesse. (kriegste mit msconfig)
dann kann ich dir sagen was du machen kannst.

so long

+++ATH0 · 31.10.05, 23:29

Also ich habe gerade meine Wininet.dll und meine kernel32.dll gelöscht. Ging alles

unskilled · 31.10.05, 23:53

so war des net gemeint.

natürlich sollte er die Wininet.dll net löschen.

+++ATH0 · 01.11.05, 00:01

Zitat:

die andere wird nicht zu löschen sein, weil die in benutzung ist.

Das ist falsch, man kann sie trotzdem löschen, auch wenn andere Prozesse sie schon gemappt haben.

unskilled · 01.11.05, 00:43

achso. hmm naja ich kanns net probieren habe kein xp!

turrican75 · 02.11.05, 20:27

so, jetzt habe ich mal nen hijach-log

Logfile of HijackThis v1.99.0
Scan saved at 20:12:32, on 02.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll (file missing)
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {4418F36B-A9B2-4B80-8A3B-E44A4449F8C9} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {46C2A3C4-B861-468F-9F86-9D5943770038} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AC425807-4334-41D5-BAB9-15C8F6A7B4C8} - C:\WINDOWS\dkcpsapi.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll (file missing)
O2 - BHO: (no name) - {D714A94F-123A-45CC-8F03-040BCAF82AD6} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {F988CA85-C1B7-4E9A-986F-3BE8B5227702} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: SideStep - {3E230861-5C87-11D3-A1C6-00105A1B41B8} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {640B39C1-D713-464F-92C3-75BD972B95EE} - http://www.sidestep.com/get/k42037/sb02a.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.199.19.44/activex/AxisCamControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

ich werde da nicht schlau draus, ihr vielleicht?

unskilled · 02.11.05, 22:00

http://www.hijackthis.de/

da kannste das logfile auswerten!

turrican75 · 04.11.05, 19:33

so, nun habe ich mit dem Smitfraud Remover das System Clean bekommen, bekomme aber seitdem beim Starten von WinXP und bei so manchen Programmen folgende Fehlermeldung:

Der Prozedureinsprungspunkt "SHRegGetValueW" wurde nicht in der "SHLWAPI.dll" gefunden

Bin grad am recherchieren, aber fals jemand was drüber weiß, wäre nett wenn er es posten würde.

Anzeige

- Anzeige -

31.10.05, 19:20	#1 (permalink)
turrican75 Registriert seit: 05.02.04 Likes: 0	Virus, Wurm oder Trojaner? Anzeige Hi, mein Kumpel hat eben angerufen und meinte das sein PC spinnt. AntiVir meldet beim starten von WinXP und dann beim starten von fast jedem Programm folgende drei Dateien als infiziert. C:\Windows\System32\OLEEXT.DLL \WININET.DLL \WINSTYLE3.DLL Ein löschen dieser Dateien bewirkt nichts, beim nächsten Aufruf eines Programmes kommen diese Meldungen wieder. Er konnte im abgesicherten Modus noch nen Scan mit dem STINGER und AntiVir durchführen, hat aber nix gebracht. Da ich nicht vor Ort bin, kann ich keine weiteren angaben dazu machen, die suche hier auf dem Board hat mir vorerst auch nicht weitergeholfen. Bin für jeden Tip dankbar.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Virus oder Trojaner	Kaka11291	Die Problemzone	2	21.08.06 23:14
Virus/Wurm/Trojaner, ka Was aber es kotzt an.	SteVe_O	Virenschutz · Tools & Aggressive Software	5	26.09.04 12:00
trojaner oder wurm	walter68	Die Problemzone	6	29.05.04 11:23
Virus/Trojaner oder was?	Ice9	Die Problemzone	8	29.03.04 14:00
Virus oder Trojaner im Umlauf?	burst	Virenschutz · Tools & Aggressive Software	2	27.08.03 15:20

31.10.05, 19:48	#2 (permalink)
unskilled Registriert seit: 27.10.04 Likes: 0	www.google.de WINSTYLE3.DLL = Trojan.Downloader.Delf.H OLEEXT.DLL = Troj/Spyjack-E hijackthis hilft dir auch. kannst ja mal das logfile posten. so long

31.10.05, 20:24	#3 (permalink)
turrican75 Themenstarter Registriert seit: 05.02.04 Likes: 0	@ unskilled, hast recht, manchmal bekommt man bei google auch treffende ergebnisse. Kann man diese Dateien gefahrlos löschen, und ist das problem damit behoben? Werd schon mal bei google nach der antwort suchen, aber wenn du es weißt, wäre schön wenn du postest. hijackthis kann ich je erst ausführen wenn ich mal bei meinem Kumpel vorbeischaue, was wohl morgen der Fall sein wird.

31.10.05, 23:09	#4 (permalink)
unskilled Registriert seit: 27.10.04 Likes: 0	also WINSTYLE3.DLL & OLEEXT.DLL kannste löschen. die andere wird nicht zu löschen sein, weil die in benutzung ist. also am besten du postest mal was für prozesse laufen -taskmanager- und vllt auch nochmal die startprozesse. (kriegste mit msconfig) dann kann ich dir sagen was du machen kannst. so long

31.10.05, 23:29	#5 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Also ich habe gerade meine Wininet.dll und meine kernel32.dll gelöscht. Ging alles

31.10.05, 23:53	#6 (permalink)
unskilled Registriert seit: 27.10.04 Likes: 0	so war des net gemeint. natürlich sollte er die Wininet.dll net löschen.

01.11.05, 00:43	#8 (permalink)
unskilled Registriert seit: 27.10.04 Likes: 0	achso. hmm naja ich kanns net probieren habe kein xp!

02.11.05, 20:27	#9 (permalink)
turrican75 Themenstarter Registriert seit: 05.02.04 Likes: 0	so, jetzt habe ich mal nen hijach-log Logfile of HijackThis v1.99.0 Scan saved at 20:12:32, on 02.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\msole32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll (file missing) O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll O2 - BHO: C:\WINDOWS\adsldpbc.dll - {4418F36B-A9B2-4B80-8A3B-E44A4449F8C9} - C:\WINDOWS\adsldpbc.dll O2 - BHO: C:\WINDOWS\adsldpbc.dll - {46C2A3C4-B861-468F-9F86-9D5943770038} - C:\WINDOWS\adsldpbc.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {AC425807-4334-41D5-BAB9-15C8F6A7B4C8} - C:\WINDOWS\dkcpsapi.dll O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll (file missing) O2 - BHO: (no name) - {D714A94F-123A-45CC-8F03-040BCAF82AD6} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll O2 - BHO: C:\WINDOWS\adsldpbc.dll - {F988CA85-C1B7-4E9A-986F-3BE8B5227702} - C:\WINDOWS\adsldpbc.dll O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNMSGRS.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: SideStep - {3E230861-5C87-11D3-A1C6-00105A1B41B8} - C:\WINDOWS\Downloaded Program Files\SbCIe02a.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: .coolwebsearch.com O15 - Trusted Zone: .searchmeup.com O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {640B39C1-D713-464F-92C3-75BD972B95EE} - http://www.sidestep.com/get/k42037/sb02a.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.199.19.44/activex/AxisCamControl.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe ich werde da nicht schlau draus, ihr vielleicht?

02.11.05, 22:00	#10 (permalink)
unskilled Registriert seit: 27.10.04 Likes: 0	http://www.hijackthis.de/ da kannste das logfile auswerten!

04.11.05, 19:33	#11 (permalink)
turrican75 Themenstarter Registriert seit: 05.02.04 Likes: 0	so, nun habe ich mit dem Smitfraud Remover das System Clean bekommen, bekomme aber seitdem beim Starten von WinXP und bei so manchen Programmen folgende Fehlermeldung: Der Prozedureinsprungspunkt "SHRegGetValueW" wurde nicht in der "SHLWAPI.dll" gefunden Bin grad am recherchieren, aber fals jemand was drüber weiß, wäre nett wenn er es posten würde.

[HaBo]

Virus, Wurm oder Trojaner?