Ich habe mir den hier schon mehrfach erwähnten Trojaner eingefangen, der die Seite about:blank startet einschl. der übrigen Nebenwirkungen. Ich habe auch schon einige Tools von hier und anderen Quellen runtergeladen, aber keiner funktioniert unter W95, gleichgültig ob 95a oder 95b.

Die meisten (Hijackthis, spsehjfix, removeaboutblank) verlangen nach MSVBVM60.dll. Dieses Gerät gibt es weder unter w95 noch unter w98.

CWShredder verlangt nach shfolder.dll und oleacc.dll, die gibt es unter w98, da funzt es auch, aber was mache ich unter W95. Reinkopieren aus W98 hats nicht gebracht.

Gibt es sonst noch jemanden mit einem so alten Windows ?

Danke

wowi51

Lies bitte diese Anleitung zu HijackThis und poste dann das Log.

Vielen Dank für die superschnelle Reaktion. Ich bin erst heute wieder am befallenen Rechner und hier kommt das Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:04:29, on 28.04.05
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\W95\SYSTEM\KERNEL32.DLL
C:\W95\SYSTEM\MSGSRV32.EXE
C:\W95\SYSTEM\MPREXE.EXE
C:\W95\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\W95\SYSTEM\SYSTRAY.EXE
C:\W95\RUNDLL32.EXE
C:\W95\SYSTEM\PSTORES.EXE
C:\W95\SYSTEM\RNAAPP.EXE
C:\W95\SYSTEM\tapiexe.exe
C:\W95\SYSTEM\DDHELP.EXE
C:\W95\WINFILE.EXE
E:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\W95\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\W95\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.ebay.de"); (d:\Users\will\prefs.js)
O2 - BHO: (no name) - {28D86161-845B-11D9-AB26-50241C85F87D} - C:\W95\SYSTEM\NEHB.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\W95\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\W95\TEMP\SE.DLL,DllInstall
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W95\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W95\web\related.htm
O13 - WWW. Prefix: http://
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.search-and-more.com/clk/321.chm::/file.exe
O16 - DPF: {0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF} (vciewer control) - http://www.thepaymentcentre.com/build/vciewer.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/DATBoWHc6bgsYHx...::/on-line.exe
O18 - Filter: text/html - {28D86160-845B-11D9-AB26-502473C95DE6} - C:\W95\SYSTEM\NEHB.DLL
O18 - Filter: text/plain - {28D86160-845B-11D9-AB26-502473C95DE6} - C:\W95\SYSTEM\NEHB.DLL

Nochmals vielen Dank !
wowi51

Hallo,

wende jetzt nochmals den Cleaner an und poste ein neues HJT Log-File.

Woher weißt Du, dass ichs schon versucht habe ?

Bricht mit Fehlercode 95 ab !

grüße

wowi51

Ich bin Hellseher...
Hast du doch selbst in deinem ersten Post geschrieben.

Poste mal den genauen Wortlaut der Fehlermeldung.

Genau läuft folgendes ab:

spsehjfix beta9 meldet: Run-time error (52)

bad file name or number

spsehfix 112 verhungert ohne Fehlermeldung (kann aber noch geschlossen werden, rechner stürzt nicht ab)

was nun ?

wowi51

Hallo wowi51,

der Cleaner funktioniert wie Du selbst mittlerweile erfahren musstest nicht unter Win95.
Versuchen wir es manuell. Lade Dir hier bitte das Tool Startdreck herunter: http://www.niksoft.at/download/startdreck.htm.
Dies soll lt. Hersteller auch unter Win95B laufen. Wenn es funktioniert, poste bitte die Logdatei von Startdreck hier.

Ich kann schon mal bestätigen, dass startdreck unter W95 läuft, sogar unter 95a. An den kritischen Rechner komme ich erst wieder nächste Woche. Bis dann

w.

So, hier ist jetzt das Logfile von Stardreck:

StartDreck (build 2.1.7 public stable) - 2005-05-09 @ 19:44:41 (GMT +02:00)
Platform: Windows 95 (Win 4.0.1111 B)
Internet Explorer: 5.50.4134.0600
Logged in as will at WILL

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*AVGCtrl="C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
*SystemTray=SysTray.Exe
*sp=rundll32 C:\W95\TEMP\SE.DLL,DllInstall
»RunOnce
»RunServices
»RunServicesOnce
**nuj=rundll32 C:\W95\WININBT.BAK,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\W95\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*NetscapeMarkup=E:\PROGRA~1\NETSCAPE\COMMUN~1\PROGRAM\NETSCAPE.EXE "%1"
+.html
*NetscapeMarkup=E:\PROGRA~1\NETSCAPE\COMMUN~1\PROGRAM\NETSCAPE.EXE "%1"
+.js
*JSFile=C:\W95\WScript.exe "%1" %*
+.jse
*JSEFile=C:\W95\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe %1
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\W95\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\W95\WScript.exe "%1" %*
+.vbe
*VBEFile=C:\W95\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\W95\WScript.exe "%1" %*
+.wsf
*WSFFile=C:\W95\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7}
`InprocServer32=c:\programme\google\googletoolbar1.dll
»Files
»Autostart Folders
»Current User
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\W95\wininit.bak
*C:\W95\dosstart.bat
»System/Drivers
»Running Processes
+FFCEBFF1=C:\W95\SYSTEM\KERNEL32.DLL
+FFFF501D=C:\W95\SYSTEM\MSGSRV32.EXE
+FFFF6391=C:\W95\SYSTEM\MPREXE.EXE
+FFFFC285=C:\W95\EXPLORER.EXE
+FFFFC55D=C:\W95\RUNDLL32.EXE
+FFFF9171=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
+FFF84D61=C:\W95\SYSTEM\SYSTRAY.EXE
+FFF85DDD=C:\W95\RUNDLL32.EXE
+FFF97795=C:\W95\SYSTEM\RNAAPP.EXE
+FFF91505=C:\W95\SYSTEM\tapiexe.exe
+FFF81CC1=D:\AUTOSTARTMANAGER\STARTDR\STARTD~1.EXE
»NT Services
»Application specific

Vielen dank im voraus !

wowi51

Ich denke, hier haben wir den Übeltäter:

Zitat:

**nuj=rundll32 C:\W95\WININBT.BAK,DllGetClassObject

Bist Du im Moment an besagtem Rechner, bzw. hast Zugriff darauf?

Da bin ich wieder. ja, ich bin jetzt am Rechner.

Soll ich die entsprechende Zeile mit startdreck disabeln oder löschen ? Oder die entsprechende Datei wininbt löschen/verschieben/umbenennen ?

grüße

w.will

Zitat:

Zitat von wowi51

...Oder die entsprechende Datei wininbt löschen/verschieben/umbenennen ?

Ich fürchte, dies wird nicht so ohne weiteres möglich sein.
Versuche es bitte einmal mit Killbox
Entpacke dieses Tool und starte die killbox.exe In das weisse Feld bitte C:\W95\WININBT.BAK eintragen "end Exporer Shell..." anhaken und das weisse Kreuz auf rotem Kreis drücken und das ganze mit Ja bestätigen.

Funktioniert dies auch nicht, musst Du versuchen, die Datei zunächst umzubenennen.

Kopiere bitte alles zwischen ---cut--- in Notepad (oder wie immer das unter Win95 heißen mag ) und speichere die Datei in c:\win95 mit dem Namen test25.bat. Dann fahre den Rechner im MS-dosmodus herunter. Du solltest dann am Dosprompt landen. Sieht ungefähr so aus:

C:\>

dort test25 eingeben und ENTER drücken, dann den Rechner neu starten. Vermutl. erhätlst Du jetzt eine Fehlermeldung. Diese bitte hier posten. Schau dann im neu erstellten Ordner nach, ob die Datei WinimBT.xxx dort vorhanden ist. Wenn ja, kannst Du diese löschen. Poste anschließend bitte ein neu erstelltes Log von HijackThis, damit wir die restlichen Schritte durchgehen können...

---cut---
md c:\test25
ren C:\W95\WININBT.BAK WININBT.xxx
copy C:\WINDOWS\SYSTJM.xxx c:\test25\
---cut---

Hallo, habe inzwischen schon experimentiert und etwas Erfolg gehabt.

Das Löschen und Umbenennen hat zwar geklappt, die Datei wurde auch beim Hochfahren nicht mehr gefunden aber gebessert hat sich nichts. Dann habe ich ich das Tool sp....109 nochmal runtergeladen und gestartet und jetzt ohne Fehlermeldung. Und alles ist gut. Windows hat dann noch Se.dll gesucht und nicht gefunden, die Zeile habe ich dann disabled und jetzt läufts schon einen Tag fehlerfrei.

Habe aber trotzdem den letzten Tipp mal kopiert. wer weiß...

vielen dank

w.will