hi zusammen,

ich hab nen fiesen fehler auf nem ME rechner.
Nach dem Windows-Start kommt die Meldung:
'mshta hat in mshtml.dll einen fehler verursacht...'
explorer und iexplorer (erst 5.5, jetzt 6.0) koennen auch nicht gestartet werden, haben auch ein prob mit der mshtml.dll :-(
hab adaware, cwshredder und antivir drueberlaufen lassen -> keine abhilfe.
kann nur im abgesicherten modus mit dem explorer arbeiten, oder wenn ich die mshtml.dll umbenamse, sodass kein zugriff drauf moeglich ist. nachdem ich viele tipps aus div. foren ausprobiert hab und nix funzte, moechte ich hier um hilfe bitten das prob zu fixen.

hier das log-file von hijack this:
----------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 15:23:45, on 26.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\EIGENE DATEIEN\TOOLS\HIJACK-THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://tgp.freecj.com/?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://tgp.freecj.com/?
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\BS3.DLL
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\BSX5.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\BS3.DLL,DllRun
O4 - HKLM\..\Run: [Syscheck] C:\WINDOWS\FONTS\win.hta
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\BSX5.DLL,DllRun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
----------------------------------------

waer super, wenn ihr mir weiterhelfen koenntet!

vielen dank im voraus
caressor

Hallo!

Systemstart im abgesicherten Modus, zuvor Systemwiederherstellung deaktivieren. Dann die folgenden Einträge markieren und Fix checked wählen:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://tgp.freecj.com/?
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h+tp://tgp.freecj.com/?
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\BS3.DLL
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\BSX5.DLL

O4 - HKLM\..\Run: [Syscheck] C:\WINDOWS\FONTS\win.hta
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\BSX5.DLL,DllRun


O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h+tp://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe


Dann neustarten und Browserwechsel!
-> http://mozilla-europe.org/de

hi markus,

danke fuer die schnelle antwort!

ich hab die von dir besagten eintraege mit hilfe von hijack this geloescht, aber das problem ist noch nicht weg :-(
nach dem neustart des rechners kommt jetzt die fehler-meldung:

'fehler beim laden von c:\windows\bs3.dll
die angegebene datei wurde nicht gefunden'

und beim starten des explorers nach wie vor:

'explorer hat in mshtml.dll einen fehler verursacht...'


hier das neue log-listing von hijackthis:
---------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 13:08:47, on 27.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\EIGENE DATEIEN\TOOLS\HIJACK-THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\BS3.DLL,DllRun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
-------------------------------------

faellt dir denn noch ne loesung ein, oder muss ich den rechenknecht nun doch platt machen?

gruss
caressor

O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\BS3.DLL,DllRun

Den Eintrag noch löschen.

Dann damit scannen:
http://www.trojaner-board.de/forum/u...;f=24;t=000001
Updaten zuvor nicht vergessen.

hallo markus,

der ge-updatete eScan hat noch 32(!) viren gefunden und 12 davon geloescht.
aber leider ist der mshtml.dll-fehler immer noch nicht weg. aaaaaaaaahhhhhhrrrrrg!!!!!!

...und noch ein log-listing:
--------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 20:18:11, on 27.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\EIGENE DATEIEN\TOOLS\HIJACK-THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
--------------------------------------------------

ich hoffe, dass du noch nen tipp im petto hast, wenn ja, gib bitte laut!

liebe gruesse
caressor

Poste mal den Bericht von eScan - von Interesse sind die 20 nicht gelöschten Funde.

hi markus,

hier der eScan-bericht der nicht geloeschten funde und errors:
------------------------------------------------
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken.
File C:\Programme\MP3 to WAV Decoder\bs3-m3.exe tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken.
File C:\Programme\Bargain Buddy\bin\apuc.dll tagged as not-a-virus:AdvWare.BargainBuddy.e. No Action Taken.
File C:\Programme\eZula\seng.dll tagged as not-a-virus:AdvWare.EZula.g. No Action Taken.
File C:\Programme\eZula\CHCON.dll tagged as not-a-virus:AdvWare.EZula.g. No Action Taken.
File C:\Programme\Wyns\wyns.dll tagged as not-a-virus:AdvWare.Puper.b. No Action Taken.
File C:\Eigene Dateien\Tools\hijack-this\backup-20040627-130107-700.dll tagged as not-a-virus:AdvWare.BookedSpace.b. No Action Taken.
File C:\Eigene Dateien\Tools\hijack-this\backup-20040627-130107-802.dll tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken.
File C:\T-Online\Browser\Saks.exe tagged as not-a-virus:AdvWare.Puper.b. No Action Taken.

Mon Jun 28 21:06:57 2004 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC...

Mon Jun 28 21:06:58 2004 => ERROR!!! ScanFile fails for C:\_RESTORE\LOGS\vxdsfp.log

Mon Jun 28 21:06:58 2004 => ERROR!!! ScanFile fails for C:\_RESTORE\LOGS\vxdalt1.log

Mon Jun 28 21:10:50 2004 => ERROR!!! ScanFile fails for C:\Programme\AVPersonal\AVGUARD.LOG
-----------------------------------------------

noch was boeses dabei?

gruesse
roman

hallo markus?
aehm... kam wex eurer umstellung noch keine antwort, oder bist du im urlaub?
gruesse
caressor

Zitat:

Zitat von caressor

hallo markus?
aehm... kam wex eurer umstellung noch keine antwort, oder bist du im urlaub?

Nein, weder noch. Ich schaue hier nur nicht jeden Tag so intensiv herein, außerdem muss ich mich beim neuen Board auch erstmal an die Übersicht gewöhnen. Ferner wurden auch einige Beiträge vom "Plagegeister"-Forum in das HijackThis-Log-Forum verschoben, sodass insegesamt mein Überblick etwas gelitten hat.

Lösch im abgesicherten Modus und unter vorheriger Deaktivierung der Systemwiederherstellung noch alle Dateien, die als "AdvWare" bezeichnet wurden.

hi markus,

schoen, dass du wieder da bist und danke fuer deine hilfe!
leider hat das loeschen der AdvWare-files nichts gebracht
-> immer noch 'explorer hat in mshtml.dll einen fehler verursacht'
muss ich nun den rechner plattmachen, oder gibts noch ne chance fuer den patienten?

liebe gruesse
roman

Hallo!

Schonmal versucht, die mshtml.dll neu zu registrieren?
START - Ausführen - Folgenden Befehl eintippen: regsvr32 mshtml.dll und Rechner neustarten.

Gruß IT-Man!

hallo it-man,

danke fuer den tipp, hat leider wieder nix gebracht :-(
und nu????????

hoffe auf weitere hilfe!

vielen dank im voraus
caressor

Zitat:

Zitat von caressor

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

..als allererster Schritt würde ich den IE updaten (wenn nicht gar darauf verzichten) .
Als zweiterster Schritt - ein Antivirus-Programm installieren.Antivir läuft doch bei dir gar nicht, oder du hast nicht kompletten HJT-Log gepostet!!! Es ist einfach die verbrecherische Leichtsinnigkeit, ohne AV und noch dazu mit ingepatchtem System ins Internet zu gehen! .
Und das System neu zu installieren ist in deinem Fall sehr empfehlenswert.

hi rene-gad,

danke fuer den tipp, aber bitte wie soll ich updaten?
hab den original-iexplorer (5.5) schon durch den 6er ersetzt (hab ich auf ner cd) hat aber nix gebracht.
und: das updaten des iexplorers geht wohl nur online ueber microsoft.de, oder? leider kann ich mit dem problem-rechner nich ins netz, da der pc von nem bekannten is und ich hier bei mir kein isdn-zugang hab.
mich wuerde einfach interessieren, wie der fehler zustande kam, und wie ich das problem wieder beheben kann. es muss doch nen loesungsweg geben und nich nur nen work-around mit nem anderen explorer bzw ersatz-browser.

wenns tatsaechlich keine loesung gibt, mach ich den rechner einfach platt. wenn euch checkern aber noch was dazu einfaellt, moecht ichs gerne so versuchen!

gruss
caressor

p.s.: hab auf dem rechner alles installiert, was malware fernhalten soll (dachte ich bislang): antivir, adaware, cwshredder. alles auf dem neusten stand!