Hallo zusammen!

Ich habe da mal ein Anliegen was meinen Zweit-PC angeht. :-)

PC Daten:

Pentium II 400 MHz
WIN ME, IE 6.00, SP1

Problembeschreibung:

Seit ein paar Tagen komme ich mit dem Mauszeiger im Startmenu nicht mehr höher als 'Beenden'. Also die Ordner 'Suchen', 'Einstellungen' usw sind nicht mehr erreichbar.

Wenn ich mit dem Mauszeiger im Startmenu über '... abmelden' hochfahre erscheint eine Fehlermeldung: Explorer hat in <unbekannt> einen Fehler verursacht. Explorer wird geschlossen. Unter Details steht dann:

EXPLORER verursachte eine allgemeine Schutzverletzung
in Modul <Unbekannt> bei c16f:00000963.
Register:
EAX=00ffffff CS=0457 EIP=00000963 EFLGS=00000206
EBX=0000001f SS=043f ESP=00000040 EBP=00000004
ECX=0000043f DS=1b87 ESI=0060e4c0 FS=0367
EDX=04570934 ES=20a7 EDI=02000070 GS=0000
Bytes bei CS:EIP:
26 89 07 83 c6 02 83 c7 04 66 8b 1e 0f ac d8 01
Stapelwerte:
00000000 854a2c2f 00000000 00000000 00000000 00000000 00000000 00000000 00000000 13971397 00000000 00000b29 08ff046e 00002710 1c1c0003 237f0002

Wähle ich dann 'Schließen' verschwindet mein HG-Bild und alles weitere scheint OK. In einigen Fenstern (z.B. Windows-Explorer) wurden die Buchstaben B und C durch ein # ersetzt. Das ist aber wieder weg nach einem Neustart. Mauzeiger über '... abmelden' hochfahren und alles beginnt von neuem.

Erwähnenswert wäre noch: ab der Fehlermedung ist rechts neben dem Mauszeiger ein schwarzer Balken der alles darunter negativ darstellt. ?!

Bisherige Fehlersuche:

Diverse Neustarts gemacht und über msconfig variiert.
PC ohne system.ini gestartet - der o.g. Fehler tritt nicht mehr auf.

AntiVir 9x - Ad-Aware - Bazooka - Spybot: keine Probleme gefunden

Logfile of HijackThis v1.97.7
Scan saved at 19:55:34, on 05.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAMME\IPSWITCH\WS_FTP PRO\WSBHO2K0.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKCU\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - hxxp://www.flatcast.com/objects/NpFp412.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - hxxp://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - hxxp://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - hxxp://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - hxxp://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = EIFEL
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129,217.237.150.97

So, nun weiss ich nicht weiter. Bitte um Hilfe!

VG, blubbel

@blubbel

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing

Diese Einträge fixen.

Zitat:

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

Net Pumper deinstallieren

Zitat:

O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - h**p://www.flatcast.com/objects/NpFp412.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - h**p://www.1mal1.com/flatcast/NpFv412.dll

FlatCast ist AFAIK P2P-Tool. Wenn ich mich irre - sorry.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

@ Rene-gad
Danke für die Anleitung bisher.

- Einträge in HijackThis gefixt

- NetPumper deinstalliert, Eintrag in HijackThis gefixt

- FlatCast ist die Software für meinen WebRadio-Stream, nichts verändert

- Systemwiederherstellung war bereits deaktiviert

- ClearProg ausgeführt

LOG:

Cache des IE 8464 Dateien 61,47 MB
Kein Netscape-Profile gefunden!
Papierkorb 2 Dateien 3,153 KB
User-Temp-Verzeichnis 103 Dateien 10,59 MB
Ausführen-Einträge im Startmenü 1 Eintrag ------
Dokumente im Start-Menü 425 Einträge 171,8 KB
Datei-Liste bei Öffnen/Speichern 18 Einträge ------
Ordner 'Zuletzt verwendet' 55 Einträge 21,94 KB
Datei Such-Liste 5 Einträge ------
Computer Such-Liste 0 Einträge ------
Netzlaufwerk-Liste 0 Einträge ------
LastKey bei Regedit 0 Einträge ------
Windows-Zwischenablage ---------- ------
Datei-Liste des Media Players 0 Einträge ------
Datei-Liste des RealPlayers 22 Einträge ------
Datei-Liste des Photo Editor 3 0 Einträge ------
Datei-Liste von MS Paint 0 Einträge ------
Datei-Liste des Acrobat Reader 0 Einträge ------
Datei-Liste von WordPad 0 Einträge ------
Suchbegriffe der Google Toolbar 0 Einträge ------
Datei-Liste von WinZip 0 Einträge ------
------------------------------------------------------------------------
Gelöschte Anzahl: 9.095 Einträge/Dateien
Gelöschte Datenmenge: 72,25 MB (75.763.516 Byte)

- eScan im abgesicherten Modus ausgeführt

LOG:

Fri May 06 00:56:05 2005 => ***** Scanning complete. *****
Fri May 06 00:56:05 2005 => Total Objects Scanned: 18230
Fri May 06 00:56:05 2005 => Total Virus(es) Found: 22
Fri May 06 00:56:05 2005 => Total Disinfected Files: 0
Fri May 06 00:56:05 2005 => Total Files Renamed: 0
Fri May 06 00:56:05 2005 => Total Deleted Objects: 0
Fri May 06 00:56:05 2005 => Total Errors: 94
Fri May 06 00:56:05 2005 => Time Elapsed: 01:09:37
Fri May 06 00:56:05 2005 => Virus Database Date: 2005/05/05
Fri May 06 00:56:05 2005 => Virus Database Count: 128422
Fri May 06 00:56:05 2005 => Scan Completed.

File System Found infected by "kazaa Spyware/Adware" Virus. No Action Taken.
File System Found infected by "Claria Spyware/Adware" Virus. No Action Taken.
File C:\WINDOWS\All Users\Anwendungsdaten\SecTaskMan\BJTALBSU.DLL.q_804A002_q infected by "not-a-virus:AdWare.PurityScan.ak" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\CD910F8C.0E5 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\B7B545B8.167 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\80B436AC.26A infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\909195E8.2F1 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\0147001C.22E infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\8ECD51E7.2B5 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\B6D8FF44.327 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\9B793CD5.3A3 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\8AFE692A.27B infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\89FF5B20.30F infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\EB606748.079 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\D3E0F470.10A infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\0190C7BE.122 infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\E842030C.19A infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\42D87981.162 infected by "Trojan-Spy.HTML.Bankfraud.dp" Virus. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\CC698AFC.261 infected by "Trojan-Spy.HTML.Bankfraud.dp" Virus. No Action Taken.
File C:\_RESTORE\TEMP\SSKBHO.0 infected by "not-a-virus:AdWare.SurfSide.c" Virus. No Action Taken.
File C:\_RESTORE\TEMP\SSKCORE.0 infected by "not-a-virus:AdWare.SurfSide.c" Virus. No Action Taken.
File C:\_RESTORE\TEMP\TBEXTN.0 infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. No Action Taken.

Bisher tritt der Fehler immer noch auf. Irgendeine Idee was hier los ist?

VG, Blubbel

@blubbel

Zitat:

FlatCast ist die Software für meinen WebRadio-Stream, nichts verändert

Flatcast arbeitet im P2P-Verfahren: http://www.notterellen.de/flatcast_anweisungen.htm ergo währen der Sitzung ist dein PC eine offene Scheune.

Zitat:

Systemwiederherstellung war bereits deaktiviert

darf ich dir auch nicht glauben?

Zitat:

File C:\_RESTORE\TEMP\SSKBHO.0 infected by "not-a-virus:AdWare.SurfSide.c" Virus. No Action Taken.

C:\_restore ist SWH-Odrner.

Punkt 3 meines Postings wurde ignoriert:

Zitat:

File C:\Programme\AVPersonal\INFECTED\..

Scheinbar warst/bist du mit deiner E-mails sehr unvorsichtig: Bankfraud in verscheidenen Modifikationen beweisen das: http://www.nod32.com/pedia/trojan/phishscam.htm . Bitte alle Passwörter wechseln.

C:\WINDOWS\All Users\Anwendungsdaten\SecTaskMan\BJTALBSU.DLL.q_80 4A002_q im abgesicherten Modus löschen.

Wenn das Problem bestehend bleibt, sollt du die Daten sichern und eine Reparaturinstallation versuchen.

M.E. eine Neuformatierung der Systemplatte wäre sicherer.

PS: Bitte schreibe weiter im Schwarz.

Zitat:

Flatcast arbeitet im P2P-Verfahren: http://www.notterellen.de/flatcast_anweisungen.htm ergo währen der Sitzung ist dein PC eine offene Scheune.

Für Flatcast habe ich Port Forwarding im Router eingestellt, Start/End Port 40123. Außer für Flatcast sind dort nur 3 weitere, einzelne Ports angegeben.

Zitat:

darf ich dir auch nicht glauben?

Warum glaubst Du das nicht? Warum sollte ich was falsches schreiben?
Die Systemwiederherstellung war wirklich bereits deaktiviert.

Zitat:

C:\_restore ist SWH-Odrner.

Da gebe ich Dir vollkommen Recht. Aber SWH ist deaktiviert.

Zitat:

Punkt 3 meines Postings wurde ignoriert

Hatte ich wohl übersehen. Ist jetzt geschehen.

Zitat:

Scheinbar warst/bist du mit deiner E-mails sehr unvorsichtig

Was genau meinst Du damit? Ich habe keiner Anhänge oder dergleichen geöffnet. 99% des Müll wird von Spamihilator direkt entsorgt.

Zitat:

Bitte alle Passwörter wechseln.

Du meinst alle Mail-Passwörter oder wirklich alle auf diesem PC verwendeten?

Zitat:

C:\WINDOWS\..... .....BJTALBSU.DLL.q_80 4A002_q im abgesicherten Modus löschen.

Erledigt, inklusive der .ini-Datei

und: Fehler behoben, also zumindest kann ich wieder das Startmenu komplett erreichen. Wenn ich jetzt nur wüßte, was genau los war?!

Vielen lieben Dank!

Aber was hast Du gegen mein Blau???

@blubbel

Zitat:

Zitat:

Was genau meinst Du damit?

Bankfraud verberitet sich ausschleßlich über E-Mail. S. auch den Link zu NOD-Virendatenbank.

Zitat:

Zitat:

Du meinst alle Mail-Passwörter oder wirklich alle auf diesem PC verwendeten?

Lese mal die Trojaner -Beschreibung .
This is a so-called "phishing scam". It is a counterfeit e-mail message, mass-mailed by various groups of hackers, that deceives gullible users into disclosing credit card numbers, bank account information and various personal details.

Zitat:

Aber was hast Du gegen mein Blau???

Ich kann Blau auf Weiss schlecht lesen .