Hallo,

nach langer Odysee bin ich zum Glück bei Euch gelandet. Was ich hier gelesen habe zu Malware und Trojanern kann ich als unbedarfter Anwender gar nicht glauben. Ich bin ganz schön sauer über so viel Frechheit. Ihr seit meine letzte Hoffnung. Der Seitenaufbau im Internet verläuft wie im Schneckentempo. Ich habe von Microsoft die ME Version auf meinem Laptop.

Folgendes ist pasiert:


1.) Meldung von Spy-boot habe ich schon länger
Fehler während der Überprüfung
Xuron55 (Datei C:\WINDOWS\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

DSO Exploit
Data source exploit
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

2.) Irgendwann kam ich nicht mehr ins Internet. Der IE konnte den Server nicht finden. Nachdem ich alle temporären Internetdatein gelöscht hatte und auf der DOS-Ebene scanreg/fix einegegeben hatte kam ich zwar wieder ins Internet, aber jetzt brauche ich die fünf bis sechsfache Zeit zum surfen.

3.) Spyboot und Kaspersky haben ansonsten nichts gefunden.

4) Alle paar Sekunden geht der Lüfter von meinem Laptop an.

Hijack hat folgendes ausgespuckt; ich wäre Euch wahnsinnig dankbar, wenn jemand da mal drauf schauen könnte und mir Bescheid geben könnte. Vielen Dank jetzt schon mal bei Allen:

Logfile of HijackThis v1.99.1
Scan saved at 19:35:00, on 06.01.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\SSC SERVICE UTILITY\SSC_SERV.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE
C:\WINDOWS\SAMSUNG\COMSMMGR\SSMMGR.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\QBROWSE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.surfsaturn.de/homepage/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexmosaic.com/cgi/raw.cgi?c=3&id=5000&site=exit
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sexmosaic.com/searchhelp.html?5000
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sexmosaic.com/searchhelp.html?5000
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sexmosaic.com/searchhelp.html?5000
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sexmosaic.com/searchhelp.html?5000
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\PROGRAMME\EBAY\EBAY TOOLBAR2\EBAYTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QBROWSE] "C:\Progra~1\uniwill\qbrowse\qbrowse.exe"
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [SSC Service Utility] C:\PROGRAMME\SSC SERVICE UTILITY\SSC_SERV.EXE /s
O4 - HKLM\..\Run: [kis] "C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE"
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [AVP] "C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE -r"
O4 - Startup: Qbrowse.lnk = ?
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: &eBay Search - res://C:\PROGRAMME\EBAY\EBAY TOOLBAR2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\SCIEPLUGIN.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.surfsaturn.de/homepage/
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/de/win/QuickTimeInstaller.exe

Lade auf jeden Fall erstmal diese Datei bei Virustotal hoch:
C:\WINDOWS\SYSTEM\HIDSERV.EXE
Edit: Oder liege ich da falsch?
Edit2: OK dann brauchst sie nicht hochladen!

Link zu Virustotal:http://www.virustotal.com/en/indexf.html

Zitat:

Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Du solltest mal die Windowsupdateseite besuchen. Auch wenn du den IE nicht benutzen solltest, wäre es ratsamer, den ebenfalls zu aktualisieren.
Ich würde dir zum Einsatz von alternativen Browsern wie Firefox oder Opera raten und den IE zu meiden.

C:\WINDOWS\QBROWSE.EXE

Diese Datei wertest du mal bei Virustotal aus und postest das Ergebnis inkl. Angaben zu Dateigröße und Prüfsummen (md5, sha1).

Zitat:

C:\PROGRAMME\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE

Eine PFW ist unter Windows ME absolut unnötig, außer der Datei- und Druckerfreigabe läuft dort kein Netzwerkdienst. Wenn du diesen über die Netzwerkeigenschaften beendest bzw entfernst, muss nichts mehr überwacht/gefiltert werden, ergo die PFW hat keine Aufgabe mehr.
Und nebenbei bemerkt sind Security Suiten echte Systembremsen.

Zitat:

Zitat von dani2112

Lade auf jeden Fall erstmal diese Datei bei Virustotal hoch:
C:\WINDOWS\SYSTEM\HIDSERV.EXE
Edit: Oder liege ich da falsch?

Link zu Virustotal:http://www.virustotal.com/en/indexf.html

hidserv.exe dürfte legitim sein.