Hallo Zusammen !
Ich habe seit einigen Tagen das Problem, dass mein Antivirus Programm (Trendmicro) - House call die Datei "nem216.dll" als Virus meldet.
Es steht aber nicht dabei, wie ich das Problem in den Griff bekomme....
Hat jemand eine Idee ??
Seit dieser Zeit öffnet sich auch paralell,(wenn ich den IE öffne) auch ein Werbefenster.....
Ich wäre sehr dankbar für einen Tipp !
Michael
GarfTermy kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
"...Seit dieser Zeit öffnet sich auch paralell,(wenn ich den IE öffne) auch ein Werbefenster.....
..."
ein browserhijacker?
dagegen hilft:
* ad-aware
* spybot
* cw shredder
* ein scrollen auf diesem brett nach unten
* ein alternativer browser
;-)
kubi1230 GarfTermy „ ...Seit dieser Zeit öffnet sich auch paralell, wenn ich den IE öffne auch ein...“
Ja, aber ich bekomme ihn nicht weg.
Spybot habe ich schon laufen lassen - ohne erfolg.
Ad-Aware auch - kein erfolg.....
Hilfe !!!!!
GarfTermy kubi1230 „Ja, aber ich bekomme ihn nicht weg. Spybot habe ich schon laufen lassen - ohne...“
...dann hijack this saugen und ausführen, dem log hier posten.
;-)
kubi1230 GarfTermy „...dann hijack this saugen und ausführen, dem log hier posten. - “
O.K.,
hier kommt der Scan :
Logfile of HijackThis v1.97.7
Scan saved at 10:43:00, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\jkufzwcv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Eumex 504PC SE\Capictrl.exe
C:\Programme\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Download\Sicherheit\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kgessyab] C:\WINDOWS\System32\jkufzwcv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38051.0615046296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEF27509-50AF-4DE0-9C3A-67F6031F531A}: NameServer = 217.237.150.225 194.25.2.129
gelöscht_97727 kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
coolwebsearch-hijacker...siehe http://www.trojanerinfo.de unter browser-hijacker, solltest es einmal mit sphjfix und cwshredder probieren.
gruss, consumer
Teletom kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
Hi,
auf jeden Fall ist Twaintech Adware drauf.
Systemwiederherstellung deaktivieren.
Internet Explorer schließen.
Start > Systemsteuerung > Software > Twaintech > Entfernen
Falls Twaintech dort nicht eingetragen ist:
Start > Ausführen> cmd [enter] eingeben > in der Eimngabeaufforderung
regsvr32 c:\windows\twaintec.dll [enter] eingeben, damit wird die dll unregistriert.
Nach mxtarget.dll und twaintec.dll suchen und die Dateien löschen.
Hijackthis > scan
Haken setzen bei
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
fix checked > ausführen
Was ist
C:\WINDOWS\System32\jkufzwcv.exe für eine Datei?
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
gelöscht_97727 kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
@ kubi1230: so wie ich das gesehen habe, hast du wohl schon einmal probiert, was zu flicken. Normalerweise müsste deine Startseite und Suchseite auf eine Domain wie searchx.cc doer couldnotfind oder ähnliches lauten.
@ Teletom: C:\WINDOWS\System32\jkufzwcv.exe ist mit Sicherheit eine Hijacker-dll. Hatte lange genug mit dem Zeug zu tun...Leider verwenden die immer verschiedene Dateinamen.
gruss, consumer
Teletom kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
Hi,
Strg+Alt+Entf > Taskmemager starten und Prozess jkufzwcv.exe beenden.
Hijackthis > scan
Haken setzen bei
O4 - HKLM\..\Run: [kgessyab] C:\WINDOWS\System32\jkufzwcv.exe
fix checked > ausführen
Start> Ausführen > regedit (enter) eingeben und folgende Pfade einstellen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\WINDOWS\System32\jkufzwcv.exe Eintrag falls vorhanden weglöschen.
Datei C:\WINDOWS\System32\jkufzwcv.exe falls vorhanden löschen.
Nach der Säuberung solltest Du mindestens die Registry sichern und
EruNt einsetzen (Emergency Recovery Utility for NT).
http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK
Falls Du wieder Probleme mit der Registry hast, z.B. Trojaner oder Browser Hijacking, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick auszuführen. Das System muss anschließend neu gestartet werden und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.
kubi1230 Nachtrag zu: „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
Hallo Telekom !
Vielen vielen Dank für Deinen prima Support !!
Aber, ich habe alles so gemacht wie Du es geschreiben hattest.....aber - kein Erfolg.
Immer wenn ich den Internetexploere öffne, dann öffnet sich immer ein neues Werbefenster.
Was soll ich bloss tun ?
In der Zwischenzeit habe ich auch McAfee installiert - der findet nix.....
Ich verstehe das nicht....
fss_de kubi1230 „Virusbefall der Datei "nem216.dll" - Werbefenster ohne Ende“
Hallo,
viele meiner kunden haben das gleiche problem.
Viele Programme erkennen die Datei, können Sie aber nicht löschen, da sie benutzt wird.
Ich helfe mir, indem ich die Datei umbenenne zb. "nem2.dll" - Neustart - mit explorer löschen. Aber Vorsicht meist gibt es noch eine "nem217..218...219" usw. immer eine nach der anderen umbenennen und löschen.
Für die programme wie Pestpatrol und Spybot immer die Updates runterladen und die Einstellungen prüfen, da vieles mit den Grundeinstellungen nicht gefunden wird.
Gruß Fss_de
