hallo zusammmen,

ich hatte gestern folgendes problem:

mein Antivir zeigte gestern abend den oben genannten trojaner an und ich hab ihn dann mit Antivir gelöscht. danach machte ich einen kompletten scan, der aber nichts weiteres fand.

dabei ist folgendes passiert :

es öffnete sich das programm *Unspypc scanner & monitor* und fing an mein system zu scannen. woher es plötzchen kam, kann ich nicht sagen. installiert hatte ich es nicht.

es fand auch viel, aber um die einträge löschen zu können, hätte man sich registrieren müssen - sprich auch zahlen.

ferner bekam ich eine warnung von *microsoft fire wall* von der ich gar nicht wusste, dass ich die habe. ich selber habe zone alarm installiert.

Diese warnte mich vor gefahren und ich hab später auf OK geklickt.

dann zeigte mein zone alarm einen alarm an.


später stellte ich dann fest, dass ich eine fremde toolbar habe, mit den inhalten wie gambling, finance, adult...usw.

diese bekomme ich nicht mehr gelöscht.

beim hochfahren habe ich jetzt folgende probleme:

- der pc hängt sich sofort auf, wenn er hoch gefahren ist.
- die verknüpfungen auf den desktop gehen nicht mehr - entweder passiert nichts oder er hängt sich dann auf.
- im task wird dauert angezeigt welche prozesse nicht reagieren - beim schliessen verliere ioch dann ua den explorer oder taskleiste, sodass ich wieder neustarten muss und alles fängt von vorne an.
- auch sehe ich da vorgänge , die ich noch nie gesehen habe.

die installation von ad aware oder antispybot schweiterte - bekomme immer anschliessen folgende fehlermeldung :

* error reading ilmaining.bitmap to read image...*


jetzt meine frage an euch was kann man am besten tun ?


bzw soll ich am besten gleich neu formatieren - und wie gnau macht man das.
cd und startdiskette ist vorhanden. ich habe W98 - bekäme ich dann noch die nötigen updates wie zb IE6 und so.


da ich so von der technik keine ahnung habe, bitte ich um verständliche antworten.

vielen dank

tigga

hallo,

posre doch mal bitte ein HJT logfile...
anleitung dazu findest du in meiner signatur..

ich hoffe, das ist soweit richtig :


Logfile of HijackThis v1.99.1
Scan saved at 19:10:56, on 02.01.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MSOFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\LOGITECH\VIDEO\FXSVR2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS[1]\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://www.jethomepage.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://www.jethomepage.com/ie/
R3 - URLSearchHook: (no name) - {6B334A4B-98C5-861A-975D-751F798C9E35} - PasswdMon.dll (file missing)
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\TVRSQ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\TVRSQ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [spp] regedit -s C:\WINDOWS\sp.dll
O4 - HKLM\..\Run: [LVCOMSX] c:\windows\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [uio] SYSTRAV.exe
O4 - HKLM\..\Run: [borlandg] atl_helper.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [SDS Doorbell] C:\PROGRAMME\ONLINECALL\ONLINECALL.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\PROGRAMME\LOGITECH\VIDEO\MANIFESTENGINE.EXE boot
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\SYSTEM\IDEMLOG.EXE
O4 - HKCU\..\Run: [FLKPT] iehelper.exe
O4 - HKCU\..\Run: [TemplateDongle] ABCXYZ.exe
O4 - HKCU\..\Run: [JAguAr] xsetup.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOffice\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\MSOffice\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h*tp://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h*tp://a840.g.akamai.net/7/840/537/20011202/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - h*tp://sc.communities.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - h*tp://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h*tp://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h*tp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht*p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Dominoes - h*tp://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pool 2 - h*tp://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Chat - h*tp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Win32 Classes - file://c:\windows\Java\classes\win32ie4.cab




ich hab auch schon mal geschaut, wie man kontrollieren kann, welche EXE gut oder böse ist. - auf ht*p://www.sysinfo.org/startuplist.php?filter=


wie bekomme ich sie denn gelöscht ? und was ist mit anderen einträge, die keine EXE sind, die ich aber trotzdem löschen wil.


und was bedeutet zb das :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/

hallo,

also hier ist eineiges auf dem system was mir etwas komisch erscheint..
ich bitte dich darum Hier
einen onlinescan zu machen und das ergebniss bitte heir zu posten..

habe den scan durch geführt und in

c:/ windows/sp.dll

folgenden trojaner gefunden

trojan.winreg.startpage


weiss jemand jetzt näheres ?

poste bitte den kompletten log von dem onlinescan