Guten Morgen ,

ersteinmal möchte ich euch wissen lassen das ich eigentlich überhaupt keine ahnung von computern habe (sofern es sich nicht um das installieren von spielen handelt) aber ich denke , mit der freundlichen unterstützung euererseits wird sich mein computerverständnis ein wenig aufpeppln lassen.
also dann mal zu meinem problem :

seit dem wochenende ist mein rechner (Win98me) mit dem oben genannten problem befallen , was sich darin äussert das meine internetverbindung völlig ausgebremst ist , und ich nicht mehr als die startseite zu gesicht bekomme.
meine startseite (eigentlich google) ändert sich dann immer in diese easy search site , und dann popt auch noch immer diese cassino site nach längeren abständen auf , die dann auf meinen desktop ein dialer icon erstellt .
auf meinem rechner war zum zeitpunkt des befalls norton prof. 03 installiert das sich sofort mit der nachricht bösartig eingeschaltet hat .
meine suche mit norton nach diesem bösartigen element blieb dann aber ohne erfolg .
was mich jetzt interessieren würde ist die frage mit was sich (bzw. ich) mein rechner infiziert hat , ob ich mich jetzt auf eine deftige telefonrechnung gefasst machen darf ,aber das wichtigste, wie ich meinen rechner wieder sauber bekomme ?

tja ,...fragen über fragen ich hoffe einer von euch kann mir bei meinem problem zur seite stehen ,würde mich wirklich freuen.

debub

Hallo and Welcome im Trojaner Board

Downloaden,Updaten,Scannen --> Adaware und Co.

Temp. Ordner leeren

e Scan download,updaten und im abgesicherten Modus Häkchen wie abgebildet setzen,scanen,Neustart

HijackThis 1.98 downloaden und ein Logfile erstellen,hier posten

...................................................................................

Hintergrund Info über Browser Hijacking

Moin nangie,

find ich echt dufte von dir das du dich so schnell gemeldet hast.leider ergibt sich bei mir nur noch morgens die möglichkeit an einen rechner zu kommen ,da meiner für nen kleinen trip ins www überhaupt nicht mehr in derlage ist.
hab mir vorhin gleich mal cw shreder ,hijackthis und co runtergeladen ,hoffe
das dir die log file weiterhilft (und du mir )

Logfile of HijackThis v1.98.0
Scan saved at 06:38:00, on 15.07.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\SSSSSSSSSSSS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL


dieses logfile enstand nach der behandlung mit cw shreder ,e-scan und co.
scheint auch alles wunderbar geklapt zu haben ,die startseite ändert sich nicht mehr und die anderen probleme sind auch wie weggeblasen ,aber jetzt springt bei mir das internet nicht mehr an . über der taskleiste steht beim login dann immer irgendwas von wegen windows\system\shdoclc.dll\dnserror .
was mich auch noch wundert ist das e-scan von den 42 erkannten nur 30 gelöscht hat .bei den anderen zwölf (pornware) scheint es sich nicht um irgendwelche schädlinge zu handeln aber trotzdem will ich sie nicht mehr auf meinem rechner haben.
ach noch etwas ,wenn du willst kann ich dir auch die logfile vor der behandlung posten ,grad bescheid geben.

hoffentlich kannst du mir aus der patsche helfen nangie,wäre echt super.

DeBub

@DeBub

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe

und poste bitte die Stellen im EScan LOg die er deiner Meinung nach nicht gelöscht hat

Du kannst solange mal die systemwiederherstellung deaktivieren
http://service1.symantec.com/SUPPORT...30807105707924

einen Neustart machen und Sie dann wieder aktivieren.

und lösche die temporären Internetfiles
IE Menu Extras/Internetoptionen/Dateien löschen

Das löscht schon einiges
Gruß paff

Hallo

Zitat:

aber jetzt springt bei mir das internet nicht mehr an

1. Starte mal im abgesicherten Modus ,dann schaust du in den Gerätemanager ob dort irgendwelche Fehler angezeigt werden - falls ja - welche

2. Scandisk im abgesicherten Modus laufen mit - Start - Ausführen - sfc /scannow

Vllt. hat ja noch jemand eine andere/bessere Antwort ?!

Danke ihr beiden
werd ich gleich mal alles probieren wird etwas dauern.

Zitat:

C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

...die Beiden kenne ich auch nicht.

Zitat:

Zitat von Rene-gad

...die Beiden kenne ich auch nicht.

Das ist Windows ME , da gibts viele Unbekannte


C:\WINDOWS\SYSTEM\NMSSVC.EXE
NIC Management Service - diagnostics program for Intel Pro family network cards

STMGR.exe
Gehört zum "Systemdateischutz"
http://www.rrz.uni-hamburg.de/RRZ/rz...einblicke.html


Gruß paff

gefixt

O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe

gescant (das sind die files die e-scan übrig gelassen hat)

File C:\WINDOWS\TEMP\svchost.exe tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\WINDOWS\Coder\_1-kli-1-0-.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\WINDOWS\cheats.fm[tc4-10003,de,1].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.

File C:\Recycled\NPROTECT\00000071.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\Recycled\NPROTECT\00000076.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\Recycled\NPROTECT\00000079.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\Recycled\NPROTECT\00000083.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\Recycled\NPROTECT\00000260.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

scandisk kam zu keinem ergebnis ,scheint alles auf den ersten blick zu gehen.
ausser mein internet.

danke für eure hilfe.

DeBub

@DeBub

Die ersten 3 Dateien suchen und löschen im Explorer

Dann den Papierkorb löschen

Dann nochmal scannen


Gruß paff

hi paff

danke für deine hilfe werd ich gleich mal probieren

DeBub

moin,

mein rechner scheint jetzt wieder sauber zu sein bis auf die par files die e-scan übrig gelassen hat

e-scan

File C:\_RESTORE\TEMP\A0000043.CPY tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\_RESTORE\TEMP\A0000027.CPY tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\_RESTORE\TEMP\A0000030.CPY tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\_RESTORE\TEMP\A0000033.CPY tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\_RESTORE\TEMP\A0000036.CPY tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

File C:\_RESTORE\TEMP\A0000044.CPY tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\_RESTORE\TEMP\A0000133.CPY tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.

File C:\Recycled\NPROTECT\00000260.EXE tagged as not-a-virus:PornWare.Downloader.Tibsystems. No Action Taken.

mein grössten probleme sind jetzt aber ,das ich immer noch nicht ins internet komme über der taskleiste steht immer noch

res\\C:\Windows\System\shdoclc.Dll\Dnserror.htm

jetzt die frage an euch was hat das zu bedeuten ,und wie bekomme ich die files die e-scan übrig gelassen hat von meinem rechner.

bitte hilfe

DeBub

ach hab ich ganz vergessen in den abgesicherten modus komme ich jetzt auch nicht mehr rein ,wie konnte jetzt das auch noch passieren.

hhhhhhhhhhhhhhhhhhheeeeeeeeeeeeeeeeeeeeellllllllllllllllllllpppppppppppppppp

Zitat:

Zitat von DeBub

ach hab ich ganz vergessen in den abgesicherten modus komme ich jetzt auch nicht mehr rein ,wie konnte jetzt das auch noch passieren.

hhhhhhhhhhhhhhhhhhheeeeeeeeeeeeeeeeeeeeellllllllllllllllllllpppppppppppppppp

Warum kommst du nicht in den abgesicherten Modus
Bitte genaue Fehlerbeschreibung was genau passiert.

WICHTIG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Gruß paff

moin paff

also , bei windows 98me kommt man nur in den abgesicherten modus wenn man bei start,beenden,neustart die strg taste beim bootversuch gedrückt hält und dann den abgesicherten modus auswählt .
bis gestern hat das auch noch funktioniert ,aber jetzt bootet windows nur noch im normalen modus .
am liebsten würde ich die festplatte formatieren und den ganzen shit neu installieren aber das geht wohl nicht so einfach bei me weil es kein starten im dos modus mehr in der beenden option gibt.

durchdreh

DeBub