Grüßt euch,
könnten die Profis unter euch mir kurz sagen, obs hier was zu löschen gibt ?
-Automatisches Überprüfen auf hijackthis.de hab ich schon gemacht
-Dass das System nicht auf neuestem Stand ist (IE+Service Packs) ist mir klar, ist ja auch nicht meiner
-hab grade schon "about:blank" und CWS erfolgreich (?) gelöscht, jedenfalls kommt die "falsche" Startseite nicht mehr.
-Durchläufe mit Adaware und Spybot grade gemacht.



Logfile of HijackThis v1.99.0
Scan saved at 18:27:35, on 04.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\BROWSER MOUSE\MOUSE32A.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://presets6.real.com/sitesmenu/r...&PT=free&LP=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\MEHRPROGRAMME\ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {27FA01E1-76BE-11D9-94ED-00307278F874} - C:\WINDOWS\SYSTEM\KPNH.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] C:\Programme\Browser MOUSE\R2M.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 704PC LAN\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 704PC LAN\HNetCtrl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/


Vielen Dank im Voraus
schaumermal


*Edit*: Die Mehrfachprozesse vom IE sind mir nicht ganz klar...der IE schließt nicht korrekt, scheint mit CWS/About:blank zusammenzuhängen...

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present und O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present weisen für mich auf einen trojaner hin.
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O2 - BHO: (no name) - {27FA01E1-76BE-11D9-94ED-00307278F874} - C:\WINDOWS\SYSTEM\KPNH.DLL

3.dateien löschen
-lösche die datie kpnh.dll im ordner c:\windows\system
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Erstmal danke, Chris !

Mein Problem ist, dass weder das Updaten von E-Scan noch das Ausführen der mwavscan.com funktioniert ( disconnect beim Update, beim Starten der .com passiert nichts).
Ich habs ehrlich gesagt aufgegeben, eventuell mal ich mit Paint irgendwann nen Grabstein für das Teil und packs dem Rest der Familie als Hintergrundbild drauf

Gründe sind
-hunderte Registry-Reste von veralteten Programmen
-die Funde von Spybot und Ad-aware ( u.a. Back Orifice, Gator, etc..)
-und meine Faulheit, meine Leute für Firefox & Co. zu gewinnen

Danke trotzdem für die Mühe, aber trotz (oder grade wegen) meiner PC-Kenntnisse ist's mir zu blöd, da noch was für zu tun...Format C wäre der richtige Entschluss, aber da sich darauf hier niemand einlassen will, warte ich bis sich der Rechner endgültig verabschiedet oder sie die Schnauze voll haben von CWS, geklauten Passwörtern & Co.

(sorry für den Missbrauch des Forums als Therapie-Aussprech-Zentrums )

Gruß und servus
schaumermal

du hast völlig recht. du musst neuinstallieren. wenn spybot einen back orifice findet, sind für mich alle anderen möglichkeiten erledigt wie bereinigen. da hilft nur neuinstallieren
im gegenteil.. wir befassen uns sehr wohl mit Neuinstallation und lassen uns drauf ein. wir raten jedem mit backdoor neuzuinstallieren. allerdings konnte ich keinen trojaner aus dem log lesen (nur control panel - restrictions present weißt für mich drauf hin)

Tag,

nicht böse sein, das
"Format C wäre der richtige Entschluss, aber da sich darauf hier niemand einlassen will"
bezieht sich auf die Familie, nicht auf die Forenmitglieder

Ich bin auch der festen Überzeugung, das Teil ist am Ende, aber nun gut, wer nicht hören will, muss fühlen

servus
schaumermal