Hallo, alle Wissenden und Ahnungslosen (so wie ich....)

ich habe seit einigen Tagen das Problem, daß bei mir (trotz NIS) beim Booten immer das DFÜ-Eingabe-Fenster "verbinden mit" erscheint.
Dieses erscheint sonst nur beim Doppelklick auf den IE um mich über mein DSL ins Internet zu bewegen.
Ich habe Windows ME.

Desweiteren hatte ich mehr mals eine Meldung vom NIS, daß mein Windows Explorer sich mit dem Internet verbinden möchte. Ich habe da natürlich blockiert.
Habe schon mehrfach HijackThis im abgesicheren Modus laufen lassen und auch schon einiges gefixxt.
Was kann es noch sein, evtl. der Autostart ?
Bitte helft mir .........

Hallo,

poste jetzt mal ein aktuelles HJT Log-File aber aus dem normalen Modus.

Welche Einträge hast du gefixed?

poste mal ein HijackThis log.

hier das log-file,
die bereits gefixten Teile sind mit ***** markiert !
Das ist also das log-file vor dem fixxen !!

Logfile of HijackThis v1.99.0
Scan saved at 00:50:37, on 21.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\HJTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
****O2 - BHO: (no name) - {30861B9F-36BA-494A-A842-9E826D4FAA20} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
*****O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
******O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
*****O18 - Filter: text/plain - {F6C0DDC9-7532-4329-8EA7-6326E1D5BD89} - (no file)

ich denke ich weiß die rätselslösung.
nämlich Microsoft Works Update Detection. der will doch nach updates für microsoft works suchen, und dafür will er ins inet.

achja..
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
deutet meines wissens auf einen trojaner hin.

also führe das aus:
-lade dir escan runter und gehe genau nach dieser anleitung vor
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Vielen dank für den Tip !!
Um die ständige Einwahl zu verhindern
Muss ich dann diesen folgenden Eintrag fixen, oder kann ich das anders lösen.
Entschuldigt, dass ich mich so blöd anstelle.....

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

Zitat:

Zitat von fmes500

Muss ich dann diesen folgenden Eintrag fixen, oder kann ich das anders lösen.
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

zuerst den eScan durchführen!

Hallo, mal wieder,

habe etwas gebraucht mit dem e-scan, dauert ja auch eine weile.
Ich bin ja entsetzt !!!
21 Viren/dialer gefunden, obwohl ich NIS-Firewall 2003 mit Abonement für dieses Jahr habe und dieses immer mit LiveUpdate aktuell habe.

Außerdem werde ich mit meinem 16-jährigen Sohn mal ein ernstes Wörtchen reden müssen (wegen der offenbar von dubiosen Seiten eingeschleppten Dialern), bzw. ich muß mehr Sicherheit einbauen in den Internetzugriff von Seiner Seite !!

Hier das Log vom e-scan:
WAS IST ZU TUN ????????

File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken
File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken
File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action taken
File C:\WINDOWS\Downloaded Program Files\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\EMP_0015.EXE infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\2CE465F6.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken.
File C:\setup3.exe infected by "Trojan.Win32.Liech.d" Virus. Action Taken: No Action Taken.


Gruß und vielen Dank im Voraus !!!

Das System muss leider als kompromittiert betrachtet werden (compromise):

Zitat:

System formatieren
1. Datensicherung - mit BackUp Maker

2. System neu aufsetzen - Windows sicher einrichten in 15 Schritten

Von mir bekommst du den Ratschlag, dein System neu aufzusetzen -> Anleitung

Grund:

Zitat:

File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken

-> http://www.trojaner-board.de/showthread.php?t=12330


PS: Jetzt war's wieder der Sohnemann

Hallo,

wie kann ich denn beim Neuaufsetzen, meine Anwendungsdaten, wie z.B.
Adressenlisten für emails, meine DFÜ-Einstellungen usw. am besten sichern. Denn bei Format C:geht ja alles den Bach runter.

Ich bin jetzt glaube ich etwas konfus....

Hallo,

Adresslisten -> ausdrucken
DFÜ-Einstellung -> Screenshot machen und ausdrucken

Nicht-ausführbare Dateien kannst Du auch auf CD sichern und später wieder importieren.

Gruß
Yopie