Hallo,

zunächst einmal: danke, dass es dieses Forum gibt: Ich habe heute schon viel Brauchbares herauslesen können. Aber jetzt komme ich doch nicht so ganz darum herum, zu fragen und Euch um Hilfe zu bitten.

Also, was ist los:
- Ohne es je eingestellt zu haben, öffnet sich bei mir seit heute früh beim Hochfahren automatisch das Fenster "Eigene Dateien"
- Heute früh auch zum ersten Mal beim Öffnen von IE: statt "blank" eine "Search for"-Site

So weit, so schlecht. Nach einiger Lektüre bin ich bei mir auch auf die se.dll Datei gestoßen und hab sie mit Eurem tool entfernt.

Ad-aware und SpyBot fanden trotzdem noch Probleme - zum Teil löschbar, zum Teil hab ich sie nun eigenhändig aus der regedit geworfen.

Außerdem habe ich in der "hosts"-Datei die entsprechenden IPs vermerkt.

Erfolg: Ad-aware und SpyBot finden nichts mehr. Im HJT-Logfile fällt mir nichts auf, was mit verdächtig wäre. Trotzdem öffnet sich "Eigene Dateien" nach dem Hochfahren, und in unregelmäßigen Abständen wählt IE statt der eingegebenen Website lieber eine andere.

Ich kenn mich nicht mehr aus. Kann mir vielleicht wer helfen?
Würde mich freuen.
Gruß,
frosch2000


Logfile of HijackThis v1.99.1
Scan saved at 21:48:50, on 02.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\HP CD-WRITER\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\HP CD-WRITER\MMENU\HPCDTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ... der steht da ...
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [HP CD-Writer] C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EXPLORER.EXE] C:\WINDOWS\EXPLORER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

Das sagt die automatische Auswertung unter:
http://www.hijackthis.de/index.php

MSIE: Internet Explorer v5.50
-> Hoffnungslos veraltet, aktuell ist 6 SP1, unbedingt aktualisieren.

F1 - win.ini: run=hpfsched
-> unbekannt. Hast du einen HP-Drucker?

O4 - HKLM\..\Run: [EXPLORER.EXE] C:\WINDOWS\EXPLORER.EXE
-> vermutlich bösartig:

Zitat:

Variant of the RapidBlaster parasite (in an "explorer" folder in Program Files). It is not recommended you manually uninstall RapidBlaster but use RapidBlaster Killer - see here. Note - this is not the valid Windows Explorer which has the same executable name

Zitat:

Zitat von Sagamore

Das sagt die automatische Auswertung unter:
http://www.hijackthis.de/index.php

MSIE: Internet Explorer v5.50
-> Hoffnungslos veraltet, aktuell ist 6 SP1, unbedingt aktualisieren.

---> Ja, sollte ich endlich mal tun. (Auch wenn ich jetzt nur noch über Firefox surfe).

Zitat:

F1 - win.ini: run=hpfsched
-> unbekannt. Hast du einen HP-Drucker?

---> Ja, ist eine Drucker-Steuer-Datei (Test, ob Patronen leer sind oder nicht)

Zitat:

O4 - HKLM\..\Run: [EXPLORER.EXE] C:\WINDOWS\EXPLORER.EXE
-> vermutlich bösartig:

---> Hab mir den RapidBlaster Killer (V1.61) runtergeladen und ausgeführt: er findet nix.


Hmmmm. Trotzdem vielen Dank.
frosch2000

Dieser "O4 - HKLM\..\Run: [EXPLORER.EXE] C:\WINDOWS\EXPLORER.EXE" Eintrag ist auf jden Fall kein Standard. Du könntest die Datei mal hier checken lassen:

http://virusscan.jotti.org/de/