Hi,
habe 2 kleine Probleme. Nr. 1 nennt sich "Clickspring". Ad-Aware findet 2 Einträge und kann diese auch Löschen aber sobald man Online geht kommt ein fenster "MediaTickets Uninstaller" (möchten sie den Media... deinstallieren ja/nein) und egal ob man ja, nein oder gar nix klickt schmiert danach die internetverbindung total ab und die Dateien sind wieder da und sobald man die Einträge wieder über Ad-Aware löscht funzt es wieder! Also wie werde ich die bloss los?

Nr. 2 ist ein HiJack problem welches ich mit HiJack nicht beheben kann, und zwar öffnet sich sobald die onlineverbindung steht der IE (den ich nicht nutze) mit ***.ringingtone.net/html. Kann mir vllt. auch da jmd. sagen wie man es beseitigen kann?

Danke!!!

Hallo,

poste bitte ein HijackThis-Logfile mittels copy&paste.

@DiabloGT
poste ein HJT logfile
direktdownload
anleitung

Haui45 war mal wieder schneller
chaosman

Ok, poste ihn morgen. Ist nämlich der PC von ner Bekannten wo ich morgen erst wieder hin kann. Bis dahin!

So, hier dann mal der HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:11:09, on 13.04.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\servises.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardClnt.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\System32\zmnyoa.exe
C:\WINNT\System32\Samsungs.exe
C:\ringtunes.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINNT\System32\scvchost.exe
C:\WINNT\System32\zvctoonlmh.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Nortons AV SYSTEM] scvchost.exe
O4 - HKLM\..\Run: [Windows Compliant] zmnyoa.exe
O4 - HKLM\..\Run: [Windows_Protect] zvctoonlmh.exe
O4 - HKLM\..\Run: [Samsung] Samsungs.exe
O4 - HKLM\..\Run: [REGRUN] C:\ringtunes.exe
O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\RunServices: [Nortons AV SYSTEM] scvchost.exe
O4 - HKLM\..\RunServices: [Windows Compliant] zmnyoa.exe
O4 - HKLM\..\RunServices: [Windows_Protect] zvctoonlmh.exe
O4 - HKLM\..\RunServices: [Samsung] Samsungs.exe
O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe
O4 - HKCU\..\Run: [Nortons AV SYSTEM] scvchost.exe
O4 - HKCU\..\Run: [Windows Compliant] zmnyoa.exe
O4 - HKCU\..\Run: [Windows_Protect] zvctoonlmh.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINNT\system32\servises.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\System32\SCardClnt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Deine Bekannte hat weitaus größere Probleme!

u.a. befinden sich die folgenden Schädlinge im System:
http://castlecops.com/startuplist-7518.html
http://castlecops.com/startuplist-7535.html
http://www.sophos.com/virusinfo/analyses/w32rbotir.html

=> Als einzig vernünftige Lösung bleibt ihr nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".

Weitere Infos:
www.sicher-ins-netz.info
http://cert.uni-stuttgart.de/doc/netsec/bots.php

btw: wundern muss sich deine Bekannte bei ihrem System wirklich nicht. Für Win 2000 gibt es mittlerweile das SP4!
www.windowsupdate.com existiert wirklich, es ist nicht nur ein Gerücht

Sie hatte XP drauf und das war total verseucht, und dann habe ich ihr gesagt das ich es ihr neu aufspielen werde, aber dann hat sie es so nen noob machen lassen......das ergebnis seht ihr hier!
Na ja, auf jeden fall vielen dank. Ist echt cool das hier einem immer so schnell geholfen wird. Werde dann mal wieder Windows installieren!!!!

Aber bitte spiele alle Updates vor der ersten Internetverbindung ein, sonst schaut das System nach wenigen Minuten wieder so (oder so ähnlich) aus.

hab auch probleme mit clickspring

so alle 10 minuten kommt antivir mit einer reihe von trojanern, dann kommt eine meldung vom internet explorer (den ich schon lange deaktiviert habe) und sagt mir "You have to click YES to continue". ich kann dann nur auf ok drücken und die trojanermeldungen kommen munter wieder.
hier is meine logfile von hijack, hoffe ihr könnt mir helfen!

Logfile of HijackThis v1.99.1
Scan saved at 19:45:49, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\msncheck32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\WINFRW.EXE
C:\programme\valve\steam\steam.exe
C:\WINDOWS\System32\msncheck32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\hdao.exe
C:\WINDOWS\System32\w?nword.exe
C:\Programme\Yahoo!\Messenger\YPAGER.EXE
C:\Programme\Windows Media Player\wmplayer.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
c:\windows\rlss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ZipGenius 5\zipgenius.exe
C:\DOKUME~1\Chrissi\LOKALE~1\Temp\ZGTemp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/...//www.yahoo.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0D2D90A7-8D10-CB0E-E03C-3CD91866408A} - C:\DOKUME~1\Chrissi\ANWEND~1\holespam\roam keep.exe
O2 - BHO: (no name) - {B16D9E72-0F9E-521B-E6D8-50C0CF975C9C} - C:\WINDOWS\System32\leobsnda.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows DLL 32-BIT] msncheck32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\WINFRW.EXE
O4 - HKLM\..\RunServices: [Microsoft Windows DLL 32-BIT] msncheck32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Heck plus] C:\DOKUME~1\Chrissi\ANWEND~1\COMPCR~1\proctest.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL 32-BIT] msncheck32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Laon] C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\hdao.exe
O4 - HKCU\..\Run: [Jlfeeg] C:\WINDOWS\System32\w?nword.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c6.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTick...cab?refid=3655
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


würd mich freuen wenn ihr postet, aber bitte in einer sprache, die ein laie auch versteht

@ZS4
dein system ist verseucht.
du kannst es noch mit escan
versuchen.
bereite dich mal geistig auf ein Neuaufsetzen vom system vor.
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2
sry

chaosman

danke für den tipp, aber gibt es villeicht noch ne andere möglichkeit?