Hallo @all,

ich habe seit neuestem ein problem mit meinem system, keine ahnung ob es sich um einen trojaner oder um spyware handelt. War auf einer, naja sagen wir mal etwas verbotenen seite (kein adult entertainment  !!).
Symptome sind wie folgt : wenn ich über outlook meine mails abrufe (isdn) funktioniert es einwandfrei, sobald ich aber vorher den internet explorer öffne sagt er mir, die seite steht offline nicht zur verfügung und ob ich eine verbindung herstellen möchte. Die verbindung steht allerdings !! manchmal fragt er auch nicht und sagt nur „seite kann nicht angezeigt werden“. Eine weitere fehlermeldung von meiner dfü verbindung ist ab und zu auch irgendwas mit „loop“ oder so.
unten links wird im internet explorer auch was von „suche proxy“ angezeigt, obwohl ich keinen proxy verwende.
Erstmal mein os/ sicherheitssoftware : win xp sp1, alle(!!) updates, antivir personal edition, agnitium outpost firewall, ie 6 sp1. gegenmassnahmen bisher : virenscann mit antivir, adaware, spybot, cwshredder, bazooka, hijackthis. Irgendeines von diesen programmen (ich glaube adaware) hatte eine datei namens bridge.dll gefunden, die sich auch prompt im autostart ordner versteckt hat und beim systemstart gestartet wurde. Die datei selbst hab ich nie gefunden, vielleicht von adaware gelöscht worden … alle ratschläge laut google befolgt : registry einträge gesucht (keine gefunden) etc.
Das problem besteht nach wie vor, ich vermute irgendwas hat sich als internet explorer plugin getarnt und startet sich wenn der aktiviert wird.
Werde wohl auf mozilla oder opera umsteigen, aber wie bekomme ich den „schädling“ weg ?
Vielen dank schonmal !!!

Hi Bombaata!

poste mal dein hijack this - log hier, dann schauen wir mal weiter

greetz
Blackdog

hi Blackdog,

das ging ja flott, hab das log leider nicht hier weil ich in der firma sitze. ich schaue heute abend zuhause mal und stelle es hier rein,
hatte schonmal gegoogelt und nach den sachen gesucht, die verdächtig sein sollen und da war nur was von internet explorer main page oder so. den rest, der angegeben wurde, hab ich nicht gefunden ...
copy+paste sollte hinhauen um es hier reinzustellen, oder ?
gruss

Hallo Bombaata
Willkommen an Board
</font><blockquote>Zitat:</font><hr />
Werde wohl auf mozilla oder opera umsteigen,
</font>[/QUOTE]... [img]graemlins/daumenhoch.gif[/img] eine weise Entscheidung
</font><blockquote>Zitat:</font><hr />
...wie bekomme ich den „schädling“ weg ?
</font>[/QUOTE]...leere mal die Temporäre Internet Files , YAW3.5 - ist es für dich ein Begriff ? dann doch noch mal HJT laufen lassen. Und kläre mal, ob dieses "Phänomän" mit z.B. Opera auch passiert.

yop, mit copy & paste sollte es funzen.

hier findest du prozesse von Win2k/xp auch böse
h++p://www.reger24.de/processes.php

greetz
Blackdog

hi leute, sehr aktives forum hier *freu*.
aaalso, die temp dateien hab ich schon gelöscht und das problem bleibt bestehen.
das einzige programm, was mir spanisch vorkam war das updreg.exe, ich war immer der ansicht dass es nach einem der ca. 100000 windowsupdates entstanden ist. hab mal gegoogelt und voila : offensichtlich auch ein schädling !!
konnte bisher noch nicht viel machen weil ich halt in der firma sitze, ich hab mir aber auf jeden fall opera, mozilla, spywareblaster etc runtergeladen. jetzt heisst es daumendrücken
ach ja : YAW3.5 sagt mir nix, was ist das ??
danke nochmal und greetz aus hamburgo [img]smile.gif[/img]

edit : hab mal gegoogelt, macht mich nicht schwach das wird doch wohl kein dialer sein ??
die dfü verbindung ist auf jeden fall die richtige, d.h. meine freenet nummer. ich werde YAW trotzdem mal durchlaufen lassen heute abend ....

[ 04. M&auml;rz 2004, 14:01: Beitrag editiert von: Bombaata ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Bombaata:

das einzige programm, was mir spanisch vorkam war das updreg.exe, </font>[/QUOTE]Hi,

Updreg.exe
Reminder to register Creative Labs SoundBlaster Live! cards

Kann raus, da nervend, ist aber nicht böse

http://www.sysinfo.org/startuplist.p...e&count=&type=

na toll, ich dachte ich hatte das problem gefixed ... sonst ist da auch nix mehr im autostart, jetzt kommt für mich nur noch der inet explorer in frage.
nochmal wegen dialer, kann es sein dass das teil nicht seine eigentliche funktion hinbekommt (nämlich meine tel. rechnung extrem zu erhöhen) sondern "nur" mein system stört ? ist bei spyware ja teilweise auch so.
shit, ich sehe mich heute abend schon wieder stundenlang am pc auf ungezieferjagd [img]graemlins/balla.gif[/img]

ich schon wieder ... habe den YAW (updated !) durchlaufen lassen und er hat nix gefunden. ein glück !! frage ist jetzt, was ist es sonst ??
die log datei von hijack this :

Logfile of HijackThis v1.97.7
Scan saved at 18:53:32, on 04.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
F:\Downloads\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-dresden.de/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://us.creative.com/support/downl...19/CTSUEng.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://us.creative.com/support/downl...2119/CTPID.cab

werde jetzt wohl den inet explorer "deinstallieren" und versuchen, ihn komplett neu zu installieren.
danke schonmal für eure hilfe !!

</font><blockquote>Zitat:</font><hr />Original erstellt von Bombaata:

unten links wird im internet explorer auch was von „suche proxy“ angezeigt, obwohl ich keinen proxy verwende.</font>[/QUOTE]Das hier sagt aber, dass du gelegentlich einen Proxy benutzt (hast):
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-dresden.de/proxy.pac


Ansonsten durchforste die entprechenden Optionen im IE, ob da alles stimmt.

Prüfe auch, ob der IE nicht zufällig auf "Offline" steht

Wenn der IE nach einem Proxy sucht, dann ist die entsprechende Option aktiviert.

Ausschalten kannst du sie wie folgt:
Extras --&gt; Internetoptionen --&gt; Verbindung --&gt; Lan Einstellungen

Und dort alle Hacken entfernen.

Björn

oh sch*zensiert* !! ich hatte den proxy mal ausprobiert und dann deaktiviert unter internet optionen - verbindungen - laneinstellungen aber total übersehen, dass unter "einstellungen" bei den verbinden auch noch ein häkchen war ... leute, das ist mir echt peinlich ! naja, ein gutes hat es : ich bin mir jetzt 100% sicher, dass mein system spyware/viren/dialer frei ist [img]graemlins/balla.gif[/img]
sieht so aus, als ob das der fehler war. muchas gracias an euch alle, dieses forum ist echt der hammer *begeistertsei* !!

Habe dasselbe Problem. Arbeite mit netscape. Es kommt aber immer die IE Meldung "website kann offline nicht gefunden werden-Verbinden?
Alle Virenprogramme drüberlaufen lassen. Der nicht benutzte Internet Explorer hat nach jedem Surfen die Temporary Files voll mit "newupdate oder lzio.com Seiten.
Der IE steht beim Starten generell auf Offlinebetrieb, nirgendwo Häckchen drinne.

HIIILfe bitte !