Hallo zusammen,

ich benötige dringend detailierte Hilfe. Ich habe seit ein paar Tagen diverse Probleme. Meine Firewall meldet dauernd Zugriffversuche von EXE-DATEIEN
(Rundll32, byykzo,180ax, inetfuel, wrapperouter, tetap, usw.) Außerdem haben sich auch Sowtware wie Bulls Eye Network, Cashback und Top Conventing unter C:Programme breit gemacht. Des Weiteren springt nach dem PC Start auch immer gleich die DFÜ Verbindung auf obwohl ich noch gar nicht mit dem Net verbunden werden möchte. Mit dem Programm Spybot habe ich schon einiges entfernen können und mit Registry Wizard habe ich die 180AX Software deinstaliert, welche sich beim Neustart aber immer wieder instaliert. Nun habe ich mir das HijackThis geladen (wurde hier empfohlen). Dort sind aber so viele Hinweise aufgelistet mit denen ich gar nichts anfangen kann bzw. unsicher geworden bin was ich löschen soll.
Kann mir hier jemand bitte weiterhelfen (wenns geht unmissverständlich, da nur gemeiner user ) Anbei die Logdatei von Hijackthis:

hi
bitte poste das logfile wie alle anderen auch!
ich lade mir nichts auf meinen rechner

Zitat:

Zitat von Passat2002

hi
bitte poste das logfile wie alle anderen auch!
ich lade mir nichts auf meinen rechner

Hallo Passat2002,

alles klar, kann ich verstehen und hoffe das du mir nun helfen kannst.

Gruß
Jeronimo


Logfile of HijackThis v1.98.2
Scan saved at 12:22:00, on 04.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.952\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [tetap] C:\WINDOWS\tetap.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

@Jeronimo
lade dir bitte escan
http://www.mwti.net/antivirus/free_utilities.asp

lese die anleitung
http://www.trojaner-board.de/42731-escan-anleitung.html

mache es genauso wie beschrieben wird.

Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.


poste danach ein neues HJT logfile
ein escan dauert 1 stunde mindestens
chaosman

Hallo Chaosman,

habe nun alles entsprechend deinen Anweisungen durchgeführt und habe auch schon nicht mehr den Dfü-Verbindungs pop up nach dem boot und das System scheint mir auch wieder mit normaler Geschwindigkeit zu arbeiten.
Trotzdem verstehe ich nicht warum ich nach dem eScan 39 total viruses und 42 total errors hatte und bei der Suche über das logfile nur 3 infected files aufgeführt wurden und davon wiederum nur 2 Stück über die Windows Suche
finden/löschen konnte. (nr.3 sollte unter Downloaded Program Files sein und heißt loader2.ocx). Außerdem finde ich immer noch den 180 ax unter Windows. Das neue HJT logfile nach den eScan sende ich gleich noch separat, weil ich mehr als die erlaubten 10000 Zeichen habe.

Im voraus schon mal vielen Dank für die Unterstützung.
Gruß
Jeronimo

Hier das HJT logfile nach dem eScan:
Logfile of HijackThis v1.98.2
Scan saved at 12:07:24, on 05.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.558\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

Die Virus Log Information von eScan AntiVirus steht noch aus!

Zitat:

MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Installiere IE 6 SP1 und weitere Sicherheitspatches.
http://www.microsoft.com/downloads/d...displaylang=de

Zitat:

über die Windows Suche
finden/löschen konnte.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Fixe diese Einträge im abgesicherten Modus (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Alle O15
Alle O16

Lösche diese und die von eScan gefundenen Dateien:
C:\WINDOWS\Anwendungsdaten\acuo.exe
C:\WINDOWS\SYSTEM\byykzo.exe

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Hallo Cidre,

würde ja gerne den Escan posten, nur sobald ich ihn einfügen möchte hängt sich der IE auf. Im übringen hatte ich diese Ordneroptionen vor dem scan so geändert wie empfohlen. Werde jetzt erst mal wieder in den abgesicherten Modus gehen und über HJT die genannten files löschen.

Gruß
Jeronimo

Zitat:

Escan posten, nur sobald ich ihn einfügen möchte hängt sich der IE auf.

Damit wir uns nicht falsch verstehen, solltest du nur dies ausführen:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!

Hallo Cidre,
ich habe nun alle Dateien die du mir aus dem HJT logfile aufgeführt hast gelöscht. Aber was ist mit
04-HKLM\\Run[Control Panel]C:\Windows\System\twink64.exeinternat.dll,LoadKeyboardProfile
und
04-HKLM\\Run[NvCplDaemon]Rundll32.exeNvQTwk,NvCplDaemon initialize ???

Soll ich die beiden nicht löschen?

Beim Escan (gefundene Viren schicke ich gleich noch) habe ich auch alles nach "infected" abgesucht und gelöscht, trotzdem wird noch einiges aufgeführt. Unter anderem der 180AX. Was mache ich damit?

IE 6 SP1 und patches muß ich noch laden.

Gruß
Jeronimo

Escan gefundene Viren:

File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.
File C:\Programme\Yahoo!\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\yahootools\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

HJT Logfile nach fix checked:

Logfile of HijackThis v1.98.2
Scan saved at 21:08:03, on 05.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\RAR$EX01.137\HIJACKTHIS.EXE

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de

@Jeronimo
gebe HJT bitte einen eigenen ordner
alle von escan aufgeführte adware einträge kannst du abgesichert manuell löschen.
neu starten
update dann bitte dein IE.
dein logfile schaut ansonsten unauffällig aus.
kannst danach z.Sicherheit ein neues HJT logfile posten
chaosman

Hallo Chaosman,

danke für den Tipp. Mache drei kreuzer wenn ich das alles hinter mir habe.
Gruß
Jeronimo
PS:
HJT hat doch einen eigenen Ordner unter C:Programme

Hallo noch mal,

nach meiner letzten Meldung habe ich fast den Glauben verloren, denn ich hatte wieder alle Bugs wie am Anfang (warum auch immer). Nun habe ich die ganze Prozedur mit HJT u. Escan wieder hinter mich gebracht und mir Firefox als Browser installiert. Kann hier noch mal jemand über letzte logfile vom Escan schauen, denn da ist eine Adware file, dass ich nicht finden kann auf meinem PC und von meiner Firewall bekommen ich weiterhin eine Warnung über C:Windows\Rundll.exe :
Danke und Gruß

File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.(schon gelöscht)
File C:\Programme\Yahoo!\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\yahootools\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.