So, also nachdem ich die letzten Tage kaum was anderes gemacht habe, als mich mit Viren und Antispyware zu beschäftigen und mein Problem immer noch da ist, poste ich das mal hier:

Ich hab mich rumgetrieben und mir irgendwo diverse Viren, Spyware, Hijacker, CoolWebSearch usw. eingefangen.

Nahezu alles ist mittlerweile gelöscht, aber ein hartnäckiges Problem will einfach nicht verschwinden...

Wenn ich eine Seite besuche, die so aussieht:
http://www.irgendwas.de/redirect.php

dann werde ich weitergeleitet auf:

h**p://63.219.181.7/connect.php?did=od-teen270&secret=1

oder

h**p://66.230.167.104/sout.php?fc=40

VORSICHT, die Dinger sind saugefährlich !!!!
Es werden Dialer, Viren, Trojaner, CWS installiert.

Meine PC-Daten:
Windows 98 mit Updates
IE 6.0. mit Update: SP1, Q837009, Q832894, q313829
Update für Java VM ebenfalls durchgeführt

Programme:
Antivir neueste Version und Update vom 12.05.04
Spywareprogramme ebenfalls mit neuestem Update:
Ad-aware 6.181.
Spybot
CWS-shredder
a²
hijack this 1.97.7

Nachdem das Antivirenprogramm anfangs einige Viren (aber längst nicht alle) gefunden und entfernt hat (die Viren in Archiven in den Temporary Internet Files, für dessen Löschung Antivir zu blöd war, habe ich durch Löschung aller Temporary Internet Files manuell entfernt)
zeigt es aktuell keinen Virenbefall an.
Ad-aware hatte einige hijacker (u. anderes) gefunden, was mit CWS-shredder (und ad-aware) entfernt wurde.
Wenn man jedoch auf obige gefährliche Links weitergeleitet wird, wird teilweise wieder so was installiert neben Dialern, Viren...
Mit Spybot habe ich auch einiges gefunden und gelöscht. a² (hab ich immer als letztes gemacht) hat noch nie was gefunden.

Beim hijack this Logfile war ich anfangs ängstlich, was zu löschen. Mittlerweile hab ich dort soviel gelöscht, so dass der verbliebene File relativ nackt ausssieht:


Logfile of HijackThis v1.97.7
Scan saved at 12:49:44, on 13.05.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O9 - Extra button: All (HKLM)
O9 - Extra 'Tools' menuitem: Close ALL IEx's (HKLM)
O9 - Extra button: Others (HKLM)
O9 - Extra 'Tools' menuitem: Close OTHER IEx's (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...120.0976967593

Anmerkung: Die Einträge unter O9 sind ein Zusatzprogramm zum IE, mit dem man alle Fenster mit einem Klick schließen kann. Das Programm benutze ich seit ca. 1 Jahr und es ist sicher nicht für das aktuelle seit 3 Tagen bestehende Problem verantwortlich.

Nachdem ich viel gelesen habe, habe ich auch mal die IP-Adresse von dem ersten der gefährlichen Links bei google suchen lassen:
63.219.181.7

Dabei stößt man immer wieder auf den Reg-Schlüssel:
CLSID: 02C20140-76F8-4763-83D5-B660107B7A90
Der auf den Virus Moniker32 class hinweist.

Ich hatte diese Schlüssel auch auf der Platte und habe alle Einträge mittels regedit gelöscht.
(mit regedit kenne ich mich mittlerweile auch ein wenig aus)

Wichtig: Das Problem war schon mehrmals temporär gelöst (nachdem ich diverse Einträge im hijack Log file gelöscht habe). Nach ein paar Stunden trat das Problem (die ZwangsWeiterleitung auf die obigen gefährlichen Links aber wieder auf). Ich denke, es bringt nichts, noch mehr im hijack Log file zu löschen, da der Ursprungsvirus sich immer wieder in einen laufenden Prozess einschleicht und dann die Weiterleitung verursacht. Genau diesen „Ursprungsvirus“ muss ich finden und entfernen.

Obwohl ich gestern mit sauberem PC ins Bett ging, wurde ich heute morgen, beim Start ins Internet mit der Meldung von Antivir begrüsst:
Die Datei NHIKAA.dll enthält den Code des Virus:
TR/Startpage.gv
(Antivir konnte den Virus löschen und zeigt jetzt keinen weiteren Befall an, aber das Ursprungsproblem – die Weiterleitung – besteht immer noch)

Noch was:
Bei einer Antivirenprüfung bekomme ich immer wieder die Meldung:
C:\WINDOWS\SYSTEM
IMAGEHLP.DLL
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!

IMAGEHLP.DLL kann ich aber nicht so einfach löschen, denn die ist doch notwendig ?
Sollte ich die mal austauschen ? Wenn ja wie und wo ? Mit was kann ich die mal scannen ?

Zum Abschluss noch mal mein momentaner Status: Alle Programme zeigen keinen Befall an, aber die Weiterleitung auf die gefährlichen Seiten besteht nach wie vor.
Damit ich durch die Weiterleitung nicht permanent mit Viren Trojanern und hijackern bombadiert werde, habe ich im IE unter Extras – Internetoptionen – Sicherheit – Eingeschränkte Sites die beiden Seiten eingetragen und dafür die Sicherheitseinstellungen auf Maximum gesetzt.

Wenns geht, möchte ich den PC nicht neuinstallieren und außerdem den Browser beibehalten. (unter Opera tritt das Problem übrigens nicht auf)

Danke für Hilfe

[ 13. Mai 2004, 14:45: Beitrag editiert von: christian37 ]

Hallo Christian und Willkommen im Board,

eigentlich haben 'wir' uns im Moment auf WinXP und Win2000 konzentriert. Aber für Win98 habe ich eben folgendes gefunden:
Lade Dir
hier mal die Datei Win98Fix.zip herunter und entpacke sie in einem Ordner Deiner Wahl (zum schnellen wiederfinden bietet sich imho der Desktop an).
Anschließend starte aus dieem Ordner die Datei who.bat. Nach einiger Zeit sollte die Datei Badfile.txt im gleichen Ordner erstellt sein. Poste bitte mal den Inhalt dieser Datei.

Außerdem schaue bitte mal, was in der Registry in diesem Pfad steht: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

und teil uns das ebenfalls mit.

Nachtrag:
Bitte teile mir via PM oder Mail -nicht offen im Forum sichtbar- den Original-Link hiervon mit:
</font><blockquote>Zitat:</font><hr />Wenn ich eine Seite besuche, die so aussieht:
http://www.irgendwas.de/redirect.php </font>[/QUOTE]

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
Hallo Christian und Willkommen im Board,

eigentlich haben 'wir' uns im Moment auf WinXP und Win2000 konzentriert. Aber für Win98 habe ich eben folgendes gefunden:
</font>[/QUOTE]Hallo Lutz,
Vielen Dank, dass Du mir trotz meines alten Betriebssystems hilfst !


</font><blockquote>Zitat:</font><hr />
Lade Dir
hier mal die Datei Win98Fix.zip herunter und entpacke sie in einem Ordner Deiner Wahl (zum schnellen wiederfinden bietet sich imho der Desktop an).
Anschließend starte aus dieem Ordner die Datei who.bat. Nach einiger Zeit sollte die Datei Badfile.txt im gleichen Ordner erstellt sein. Poste bitte mal den Inhalt dieser Datei.
</font>[/QUOTE]Habe ich erfolgreich gemacht - da steht nichts. Die Datei ist leer.

</font><blockquote>Zitat:</font><hr />
Außerdem schaue bitte mal, was in der Registry in diesem Pfad steht: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

und teil uns das ebenfalls mit.
</font>[/QUOTE]auch hier steht nichts
</font><blockquote>Zitat:</font><hr />
Nachtrag:
Bitte teile mir via PM oder Mail -nicht offen im Forum sichtbar- den Original-Link hiervon mit:
</font><blockquote>Zitat:</font><hr />Wenn ich eine Seite besuche, die so aussieht:
http://www.irgendwas.de/redirect.php </font>[/QUOTE]</font>[/QUOTE]hast PM

Ergänzung zum Starten von who.bat

In der Badfile.txt steht, wie gesagt nichts, aber in dem aufgehenden DOS-Fenster beim Laufen von who.bat steht:

C:\WINDOWS\System\HLP.DLL +++File read error

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System\HLP.DLL +++File read error </font>[/QUOTE]Ich glaube es zwar selber nicht, aber einen Versuch ist es werd. Kannst Du die HLP.DLL im Windows-Explorer sehen (und löschen)?

Wie gesagt, ich gehe davon aus, dass sie versteckt ist. Dann hätte ich noch folgende Idee:
Lade Dir hier das Tool Killbox herunter:
http://download.broadbandmedic.com/VbStuff/KillBox.zip

und versuche, die Datei HLP.DLL wie hier unter Schritt 5 beschrieben zu löschen.
http://www.trojaner-info.de/anleitun...llow_page.html

Win98! Ist doch voll toll! [img]smile.gif[/img]

Starte im Dosmodus und gebe dort
deltree C:\WINDOWS\System\HLP.DLL ein.

Diesen Scanner ' Free eScan Antivirus Toolkit Utility' kannst Du auch noch einmal im abgesicherten Modus von Windows ( [F8]-Taste beim booten gedrückt halten ) über Deinen Rechner 'jagen'.

http://www.mwti.net/antivirus/free_utilities.asp

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Win98! Ist doch voll toll! [img]smile.gif[/img]

Starte im Dosmodus und gebe dort
deltree C:\WINDOWS\System\HLP.DLL ein. </font>[/QUOTE]Ich finde WIN98 auch voll toll [img]smile.gif[/img]
Bewahrt mich unter anderem vor allen neuen Viren wie z.B. Sasser, die nur für 2000 und XP geschrieben werden !

Leider bin ich der totale DAU was DOS angeht und ein Freund von mir, der das kann, ist erst morgen wieder da.

Ich habe mal alles gemacht, was Lutz gepostet hat

Wenn ich dann zum Schluss mit dem Killbox.exe Programm auf "Process and Reboot" gehe, kommt die Meldung:
Run-time error "52"
Bad file name or number

Nochmal zu dem DOS Vorschlag:

Soll ich vielleicht im Menue Start - Programme die MS Dos Eingabeaufforderung öffnen ?
Da steht dann
C:\Windows&gt;
und dann das eingeben, was Du, raman, schreibst ?


EDIT: jetzt mache ich mal das mit dem Antivirus KIT, was Lutz als letztes geschrieben hat....

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Win98! Ist doch voll toll! [img]smile.gif[/img]

Starte im Dosmodus und gebe dort
deltree C:\WINDOWS\System\HLP.DLL ein. </font>[/QUOTE]Da waren sie wieder, meine beiden Probleme:
Der Wald und die Bäume...

Aber warum einfach, wenn es auch kompliziert geht...

</font><blockquote>Zitat:</font><hr />Nochmal zu dem DOS Vorschlag:</font>[/QUOTE]Start -&gt; Beenden -&gt; Im MS-DOS Modus neu starten

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
Diesen Scanner ' Free eScan Antivirus Toolkit Utility' kannst Du auch noch einmal im abgesicherten Modus von Windows ( [F8]-Taste beim booten gedrückt halten ) über Deinen Rechner 'jagen'.

http://www.mwti.net/antivirus/free_utilities.asp </font>[/QUOTE]also ich hab jetzt erstmal obiges gemacht und dabei kam unter Virus Logfiles das heraus:

File C:\WINDOWS\Anwendungsdaten\winig\winig32.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken.
File C:\WINDOWS\Anwendungsdaten\winig\msiesh.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Harnig.g" Virus. Action Taken: File Deleted.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Harnig.g" Virus. Action Taken: File Deleted.


jetzt versuche ich mal die DOS Geschichte...

Ergebnis der DOS Operation:

-&gt; hat wohl funktioniert

es kam die Meldung:
C:\WINDOWS\System\HLP.DLL wird gelöscht...

C:\WINDOWS

Nach dem Neustart von Windows bekam ich einmalig die Fehlermeldung: Fehler beim Starten von
C:\WINDOWS\System\HLP.DLL
Datei konnte nicht gefunden werden oder so ähnlich.

Genau das wollten wir doch [img]smile.gif[/img]


Habe gerade mal ausprobiert, ob jetzt mein ursprüngliches Problem (diese blöde Weiterleitung auf die Dialer-Virus-Sexseiten) weg ist und Oh Wunder:

Im Moment ist es weg !!

war es der Harnig - Virus oder doch die
C:\WINDOWS\System\HLP.DLL ???

allerdings warten wir mal ein paar Stunden bzw. ein paar Reboots ab. Bisher war das Problem ja immer nur temporär weg.

Ich muss übrigens noch "beichten", dass ich das Antiviren kit von oben nur im normalen Modus habe laufen lassen. Abgesichert hat irgendwie nicht geklappt.

Das war die DLL, Kaspersky nennt ihn Backdoor.Agent.ac. Das andere ist Spyware und darum solltest du dich hier auch einmal durcharbeiten:
http://www.rokop-security.de/main/article.php?sid=703

</font><blockquote>Zitat:</font><hr />Nach dem Neustart von Windows bekam ich einmalig die Fehlermeldung: Fehler beim Starten von
C:\WINDOWS\System\HLP.DLL
Datei konnte nicht gefunden werden oder so ähnlich. </font>[/QUOTE]Es scheint noch einen Eintrag in der Registry zu dieser Datei zu geben. Du könntest noch die Registry durchsuchen lassen, ob die Datei HLP.DLL von irgendeinem Schlüssel aufgerufen wird. Wenn ja, teile uns bitte mit, welche(r) Schlüssel das ist (sind).

Zu Harnig_G habe ich nicht wirklich etwas gefunden. Scheint noch recht 'frisch' zu sein.

</font><blockquote>Zitat:</font><hr /> File C:\WINDOWS\Anwendungsdaten\winig\winig32.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken.
File C:\WINDOWS\Anwendungsdaten\winig\msiesh.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken. </font>[/QUOTE]Kannst Du winig zuordnen? Mir sagt das so nichts.

Hallo Ihr Beiden,

nochmals ganz herzlichen Dank für die Hilfe ! Nachdem ich nun eine Weile den PC aus hatte (und Fernsehen geschaut habe), geht nun immer noch alles einwandfrei [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
</font><blockquote>Zitat:</font><hr />Nach dem Neustart von Windows bekam ich einmalig die Fehlermeldung: Fehler beim Starten von
C:\WINDOWS\System\HLP.DLL
Datei konnte nicht gefunden werden oder so ähnlich. </font>[/QUOTE]Es scheint noch einen Eintrag in der Registry zu dieser Datei zu geben. Du könntest noch die Registry durchsuchen lassen, ob die Datei HLP.DLL von irgendeinem Schlüssel aufgerufen wird. Wenn ja, teile uns bitte mit, welche(r) Schlüssel das ist (sind).</font>[/QUOTE]Ich habe mal hlp.dll als Suchbegriff bei regedit eingegeben, aber konkret dazu findet er nichts.
Allerdings existieren noch einige Einträge zu IMAGEHLP.DLL
Ich hatte ja in meinem Eröffnungsposting schon mal etwas darüber gepostet. Nämlich das Antivir immer Probleme beim Öffnen dieser Datei hatte:
</font><blockquote>Zitat:</font><hr />
Bei einer Antivirenprüfung bekomme ich immer wieder die Meldung:
C:\WINDOWS\SYSTEM
IMAGEHLP.DLL
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
</font>[/QUOTE]Diese Meldung erhalte ich übrigens jetzt nicht mehr [img]smile.gif[/img]

ansonsten:
</font><blockquote>Zitat:</font><hr />
</font><blockquote>Zitat:</font><hr /> File C:\WINDOWS\Anwendungsdaten\winig\winig32.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken.
File C:\WINDOWS\Anwendungsdaten\winig\msiesh.dll tagged as not-a-virus:AdvWare.WinShow.b. No Action Taken. </font>[/QUOTE]Kannst Du winig zuordnen? Mir sagt das so nichts. </font>[/QUOTE]Das sagt mir auch überhaupt nichts. Ich habe einen Ordner
C:\WINDOWS\Anwendungsdaten\winig
und da stehen nur diese beiden dll drin. Sonst nichts. Die kann ich wohl löschen ?
Kaspersky meldet die mir auch nach erneuter Prüfung immer wieder...


</font><blockquote>Zitat:</font><hr />Zu Harnig_G habe ich nicht wirklich etwas gefunden. Scheint noch recht 'frisch' zu sein.</font>[/QUOTE]Deshalb hat ihn Antivir wohl auch nicht gefunden ?
Da war das Antivirentool von kaspersky besser. Gibt es dazu eigentlich Updates ?
(habe da keinen Button gefunden - nur ein Buy eScan [img]smile.gif[/img] )


</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Das war die DLL, Kaspersky nennt ihn Backdoor.Agent.ac. Das andere ist Spyware und darum solltest du dich hier auch einmal durcharbeiten:
http://www.rokop-security.de/main/article.php?sid=703 </font>[/QUOTE]Ja, habe mir schon gedacht, dass es so ein ganz übles Backdoor Ding ist.
Die von Dir verlinkte Seite kenne ich schon und ist sehr gut ; hatte mir u.a. von dort diverse Infos über Spyware besorgt (steht ja auch in meinem ersten Post, dass ich diverse Antispyware-Programme mittlerweile auf dem Rechner habe).
Es war dann mehr oder weniger Zufall in welchem Forum ich mein Problem poste [img]smile.gif[/img]
Beim "googeln" stößt man ja so auf einige Boards...

[ 14. Mai 2004, 00:58: Beitrag editiert von: christian37 ]