|
Plagegeister aller Art und deren Bekämpfung: fenster "Verbinden mit" erscheint beim Windows Start 3xWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.01.2005, 18:30 | #1 |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Hallo, alle Wissenden und Ahnungslosen (so wie ich....) ich habe seit einigen Tagen das Problem, daß bei mir (trotz NIS) beim Booten immer das DFÜ-Eingabe-Fenster "verbinden mit" erscheint. Dieses erscheint sonst nur beim Doppelklick auf den IE um mich über mein DSL ins Internet zu bewegen. Ich habe Windows ME. Desweiteren hatte ich mehr mals eine Meldung vom NIS, daß mein Windows Explorer sich mit dem Internet verbinden möchte. Ich habe da natürlich blockiert. Habe schon mehrfach HijackThis im abgesicheren Modus laufen lassen und auch schon einiges gefixxt. Was kann es noch sein, evtl. der Autostart ? Bitte helft mir ......... |
24.01.2005, 18:32 | #2 |
Administrator, a.D. | fenster "Verbinden mit" erscheint beim Windows Start 3x Hallo,
__________________poste jetzt mal ein aktuelles HJT Log-File aber aus dem normalen Modus. Welche Einträge hast du gefixed?
__________________ |
24.01.2005, 18:33 | #3 |
fenster "Verbinden mit" erscheint beim Windows Start 3x poste mal ein HijackThis log.
__________________ |
24.01.2005, 18:42 | #4 |
| fenster "Verbinden mit" erscheint beim Windows Start 3x hier das log-file, die bereits gefixten Teile sind mit ***** markiert ! Das ist also das log-file vor dem fixxen !! Logfile of HijackThis v1.99.0 Scan saved at 00:50:37, on 21.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE C:\WINDOWS\SYSTEM\KHOOKER.EXE C:\WINDOWS\SYSTEM\SISTRAY.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\HJTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll ****O2 - BHO: (no name) - {30861B9F-36BA-494A-A842-9E826D4FAA20} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [IrMon] irmon.exe O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll *****O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab ******O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB *****O18 - Filter: text/plain - {F6C0DDC9-7532-4329-8EA7-6326E1D5BD89} - (no file) |
24.01.2005, 18:49 | #5 |
fenster "Verbinden mit" erscheint beim Windows Start 3x ich denke ich weiß die rätselslösung. nämlich Microsoft Works Update Detection. der will doch nach updates für microsoft works suchen, und dafür will er ins inet. achja.. O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present deutet meines wissens auf einen trojaner hin. also führe das aus: -lade dir escan runter und gehe genau nach dieser anleitung vor -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
24.01.2005, 18:56 | #6 |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Vielen dank für den Tip !! Um die ständige Einwahl zu verhindern Muss ich dann diesen folgenden Eintrag fixen, oder kann ich das anders lösen. Entschuldigt, dass ich mich so blöd anstelle..... O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe |
24.01.2005, 19:12 | #7 | |
| fenster "Verbinden mit" erscheint beim Windows Start 3xZitat:
__________________ Focus |
24.01.2005, 21:13 | #8 |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Hallo, mal wieder, habe etwas gebraucht mit dem e-scan, dauert ja auch eine weile. Ich bin ja entsetzt !!! 21 Viren/dialer gefunden, obwohl ich NIS-Firewall 2003 mit Abonement für dieses Jahr habe und dieses immer mit LiveUpdate aktuell habe. Außerdem werde ich mit meinem 16-jährigen Sohn mal ein ernstes Wörtchen reden müssen (wegen der offenbar von dubiosen Seiten eingeschleppten Dialern), bzw. ich muß mehr Sicherheit einbauen in den Internetzugriff von Seiner Seite !! Hier das Log vom e-scan: WAS IST ZU TUN ???????? File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action taken File C:\WINDOWS\Downloaded Program Files\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\EMP_0015.EXE infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken. File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\2CE465F6.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken. File C:\setup3.exe infected by "Trojan.Win32.Liech.d" Virus. Action Taken: No Action Taken. Gruß und vielen Dank im Voraus !!! |
24.01.2005, 21:22 | #9 | |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Das System muss leider als kompromittiert betrachtet werden (compromise): Zitat:
__________________ Focus |
24.01.2005, 21:23 | #10 | |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Von mir bekommst du den Ratschlag, dein System neu aufzusetzen -> Anleitung Grund: Zitat:
PS: Jetzt war's wieder der Sohnemann |
24.01.2005, 22:06 | #11 |
| fenster "Verbinden mit" erscheint beim Windows Start 3x Hallo, wie kann ich denn beim Neuaufsetzen, meine Anwendungsdaten, wie z.B. Adressenlisten für emails, meine DFÜ-Einstellungen usw. am besten sichern. Denn bei Format C:geht ja alles den Bach runter. Ich bin jetzt glaube ich etwas konfus.... |
24.01.2005, 22:10 | #12 |
Administrator, a.D. | fenster "Verbinden mit" erscheint beim Windows Start 3x Hallo, Adresslisten -> ausdrucken DFÜ-Einstellung -> Screenshot machen und ausdrucken |
25.01.2005, 15:40 | #13 |
Moderator, a.D. | fenster "Verbinden mit" erscheint beim Windows Start 3x Nicht-ausführbare Dateien kannst Du auch auf CD sichern und später wieder importieren. Gruß Yopie |
Themen zu fenster "Verbinden mit" erscheint beim Windows Start 3x |
autostart, booten, doppelklick, dsl, erscheint, explorer, fenster, helft, hijack, hijackthis, interne, internet, laufen, mehrfach, meldung, modus, natürlich, problem, start, trotz, verbinden, verbinden mit, windows, windows explorer, windows start |