hei,also habe folgendes problem, haben nen 0190 warner auf der platte, der schlägt immer an wenn ich ins netz gehe und sagt das sich jemand einwählen will, angeblich ist der dialer unter c:win/system und dann die datei dial23.exe. jedaoch find ich diese unter dem ort nicht. spybot usw hat leider auchnicht gebracht, daher schaut euch mal bitte die hijack liste an ob ihr daraus was seht was man löschen sollte

Logfile of HijackThis v1.99.1
Scan saved at 15:51:24, on 07.07.2006
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\CANON\MULTIPASS4\MONITR32.EXE
C:\PROGRAMME\CANON\MULTIPASS4\MPTBOX.EXE
C:\WINDOWS\SYSTEM\PER.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP8.1\WZQKPICK.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\PROGRAMME\OPENOFFICE.ORG 2.0\PROGRAM\SOFFICE.EXE
C:\PROGRAMME\OPENOFFICE.ORG 2.0\PROGRAM\SOFFICE.BIN
C:\WINDOWS\TEMP\BWGO0000F3CC.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;microweb
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\SYSTEM\win32hlp.exe
O4 - HKLM\..\Run: [jvjvr.exe] C:\WINDOWS\SYSTEM\jvjvr.exe
O4 - HKLM\..\Run: [vncdu.exe] C:\WINDOWS\SYSTEM\vncdu.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip8.1\WZQKPICK.EXE
O4 - Startup: Logitech Desktop Messenger Agent.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.116.164,85.255.112.112
O18 - Protocol: offline-8876480 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw00 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw00s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw10 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw10s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw20 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw20s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw30 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw30s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw40 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw40s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw50 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw50s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw60 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw60s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw70 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw70s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw80 - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL
O18 - Protocol: bw80s - {A334DFC3-8B1B-4FB9-BA5B-353253449EE9} - C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BWPLUGPROTOCOL-8876480.DLL

Zitat:

Zitat von cyrix19816

der schlägt immer an wenn ich ins netz gehe und sagt das sich jemand einwählen will

Moin Cyrix,

1. was für eine Internetverbindung hast du denn überhaupt, Einwahl mit 56kb Modem oder per DSL-Modem?

2. Lass außerdem folgende Dateien HIER überprüfen: (das sieht stark nach einem WURM aus!) Poste anschliessend das Ergebnis aller Dateien!

Zitat:

C:\WINDOWS\SYSTEM\PER.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\WINDOWS\SYSTEM\win32hlp.exe

Ich denke du solltest dich schonmal mit Thema "NEUAUFSETZEN des Systems" befassen, da sind recht viele Trojaner im System verteilt. Aber poste trotzdem vorab die Ergebnisse von Virustotal.

Gruß
Daniel

also da es auf arbeit ist kann ich es erst mo testen. ist nur ne 56k verbindung. würde es nicht reichen wenn man die drei dateien löscht???? würde mo gerne mit ergebnissen auf arbeit kommen damit unsere bürokraft weiter arbeiten kann

MOMENT!

Handelt es sich bei dem infizierten Rechner um einen gewerblich genutztes System? Wenn ja, kannst du den Support hier im Forum vergessen!

Nur soviel, mit dem löschen der von mir "vorgeschlagenen" Dateien, wirst du nicht viel erreichen.

Sorry
Daniel

EDIT: Moin Schrulli

Hallo,

Zitat:

Zitat von cyrix19816

also da es auf arbeit ist kann ich es erst mo testen.

Produktivsysteme werden hier auch Aufgrund von Haftungsfragen nicht "behandelt".
Desweiteren hilft Dir sowieso nur ein Neuaufsetzen, gerade bei einem solchem System!
Du hast einen Backdoor, hier im Rechner.

Hallo Sunny

Gruß

Schrulli

nein der rechner wird nur zum online banking und rechnungen schreiben genutz. wenn es noch hilft, es ist alt das system und es ist win98 drauf. und neu aussetzen geht nicht,da es keine möglichkeit gibt die daten zu retten. kann man sich nicht anders helfen?????

Zitat:

Zitat von cyrix19816

kann man sich nicht anders helfen?????

Gelbe Seiten --> "Computer Service" in deiner Stadt suchen --> anrufen --> Termin machen --> da werden sie geholfen!

Gruß

Zitat:

Zitat von [Gc]Sunny

Gelbe Seiten --> "Computer Service" in deiner Stadt suchen --> anrufen --> Termin machen --> da werden sie geholfen!

Gruß

Hallo,

Zitat:

Zitat von cyrix19816

nein der rechner wird nur zum online banking und rechnungen schreiben genutz.

denk mal drüber nach:
Ein Trojaner mit Backdoor Funktionalität ist auf dem Rechner, das bedeutet jemand drittes kann Vollzugriff auf den Rechner haben, was wiederrum bedeutet, das diese Person Tastatureingaben aufzeichnen kann, dass man Euch Copyright geschütztes Material auf den Rechner legt, das der Rechner als Mail Relay genutzt wird.
Und ihr macht gewerbliches Online Banking auf dem Rechner?

Gruß

Schrulli

naja eben weil ich weiß das es scjhlecht ist will ich ja wissen was man machen kann um ihn zu beseitigen. nur irgendwie scheint ja keiner helfen zu können, und das system neu aufzusetzten geht wie gesagt nicht

Du hast doch shon eine Antwort bekommen.

Zitat:

Zitat von [Gc]Sunny

Ich denke du solltest dich schonmal mit Thema "NEUAUFSETZEN des Systems" befassen, da sind recht viele Trojaner im System verteilt. Aber poste trotzdem vorab die Ergebnisse von Virustotal.

Gruß
Daniel

ja nur kann man an der jack liste nichts erkennen oder sonst irgerndwie raus bekommen was es für ein wurm ist. den zum dritten mal, eine neu aufsetzung des systems ist nicht möglich

1. Du bekommst hier keine Unterstützung für gewerblich genutzte Systeme. Damit wäre eigentlich schon Ende der Fahnenstange.

2. Dein System ist nicht zu retten, da mit einem Backdoor infiziert. Einen Link hast du ja schon von Schrulli bekommen, hier ein zweiter .
Vergiß Removal-tools, dein System bleibt unsicher.

3.

Zitat:

Zitat von cyrix19816
nein der rechner wird nur zum online banking und rechnungen schreiben genutz.

Ist ein Witz oder? Da kannst du gleich nen neuen Tanblock bei der Bank bestellen und sämtliche Passwörter ändern.

1. ist dochegal, dann hab ich die sachen halt alle zu hause und nicht auf arbeit.

2. so sicher muss es nicht sein, der 0190 warner soll sich nur nicht mehr melden. das banking ist soweit sicher keine angst, da haben wir noch 2-3 programme die siche rmachen.

ich wil ja nur noch wissen, warum find ich die exe datei nicht an der stelle an der er sich versucht einzuwählen????

versteht mich niocht falsch, ich habe gesagt ich kümmere mich drum und ich will die scheiße nur soweit io bekommen das es wieder läuft. der rest ist mir latte

Zitat:

Zitat von cyrix19816

1. ist dochegal, dann hab ich die sachen halt alle zu hause und nicht auf arbeit.

Dann bekommst du den gleichen Rat: Neuaufsetzen...da Backdoor!

Zitat:

Zitat von cyrix19816

2. so sicher muss es nicht sein, der 0190 warner soll sich nur nicht mehr melden. das banking ist soweit sicher keine angst, da haben wir noch 2-3 programme die siche rmachen.

Dann schalte den 0190 Warner aus...Deinstalliere ihn...dann meldet er sich nicht mehr!

Zitat:

Zitat von cyrix19816

ich wil ja nur noch wissen, warum find ich die exe datei nicht an der stelle an der er sich versucht einzuwählen????

Warum? Wenn du diese Löschen tust, kommt sie sowieso wieder! Bei den vielen Hintertüren, die der Backdoor öffnen kann.....

Zitat:

Zitat von cyrix19816

versteht mich niocht falsch, ich habe gesagt ich kümmere mich drum und ich will die scheiße nur soweit io bekommen das es wieder läuft. der rest ist mir latte

Dann setze neu auf! Anders geht es nicht! Das ist ja nicht nur eine Gefahr für Dich...sondern auch die ganzen anderen Millionen User im Netz! Aber das scheint Dich ja nicht zu Interessieren!