Hallo,
bräuchte dringend Hilfe. Habe mir irgendeinen von diesen CWS eingefangen gehabt. Konnte ihn zwar zwischenzeitlich mit Hijack This eleminieren, aber jetzt komme ich nicht mehr ins Internet. Kriege immer die Meldung Server nicht gefunden.
Hier ist das logfile von Hijack This:
Logfile of HijackThis v1.97.7
Scan saved at 19:49:40, on 25.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\CCPXYSVC.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\PROGRAMME\EBAY\EBAY TOOLBAR\4.2.0.3\EBAYBAND.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\PROGRAMME\EBAY\EBAY TOOLBAR\4.2.0.3\EBAYBAND.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security Professional\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDWARN.EXE
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\RVS\WCOM\SYSTEM\ccui.exe"
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.2.0.3\ebaytbar.exe
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://banking.sparkasse-erlangen.d...ageinstV13.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/act...ActiveData.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30cc98da...dxIE601_de.cab

Ich weis, daß das nicht der aktuelle Hijack This ist, den habe ich mir erst gerade runtergeladen und werde ihn heute abend ausprobieren.

Hallo manta737,

zu Deinem Netzproblem, kann sein, dass es daran liegt:

LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. Downloade bitte entweder LSP-Fix oder WinsockFix.

MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Dein IE ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.lycos.de/search/msie40.html
O4 - Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.2.0.3\ebaytbar.exe

wenn Du diese Seite nicht kennst/brauchst, gleichfalls fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = ht*p://www.arcor.de

O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\PROGRAMME\EBAY\EBAY TOOLBAR\4.2.0.3\EBAYBAND.DLL

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Boote in den normalen Modus.

Beende
ebaytbar.exe
Lösche
C:\Programme\eBay\eBay Toolbar\4.2.0.3\ebaytbar.exe

Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues (aktuelles) Hijack This Logfile und poste es.

SD

Hallo,
erst mal danke für die Antwort.
Auf der Seite von WinsockFix gibt es drei verschiedene zur Auswahl.
Ich kenne mich diesbezüglich gar nicht aus welches ich runterladen muß.

Das mein IE veraltet ist weis ich, aber es war der einzige, den ich auf CD hatte. Nach dem Löschen dieses CWS ging nämlich der IE gar nicht mehr, drum habe ich ihn neu installiert.

Die beiden Einträge unter O9 hatte ich schon mal gefixt, die kommen immer wieder.

Das mit dem eScan ist ein Problem, die Datei ist 4,5 MW groß, die bekomme ich nicht so einfach auf meinen Rechner.

Die Arcor-Seiten sind ok, das ist mein Internetprovider.
Was auch etwas seltsam ist, ist das wenn ich mich einwähle, zeigt mir der Arcor-Butler an, das ich Verbindung habe, aber ich kann keine Seite aufrufen, es kommt immer die Meldung "Server nicht gefunden".

MfG Martina

@manta737
Zitat
Was auch etwas seltsam ist, ist das wenn ich mich einwähle, zeigt mir der Arcor-Butler an, das ich Verbindung habe, aber ich kann keine Seite aufrufen, es kommt immer die Meldung "Server nicht gefunden".

deswegen brauchst du LSP-Fix oder WinsockFix, u.U. brauchst du sogar einen zweiten Rechner zum downloaden

Zitat Shadowdance
LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. Downloade bitte entweder LSP-Fix oder WinsockFix.


beim downloaden kannst du denn ersten nehmen
chaosman

Hallo,
komme leider von diesem Rechner nicht auf die Seite von LSP-Fix und bei WinsockFix krieg ich auch eine Fehlermeldung "Proxy Access Required".
Könnte mir vielleicht jemand eine dieser Dateien zuschicken?

@ manta737,

"WinsockFix.exe" ist zwar 3 mal vorhanden, aber dreimal das Gleiche, probiere einfach aus, welcher Download bei Dir klappt. "Proxy Access Required" bekommst Du wahrscheinlich nur, wenn Du das unterste runterladen willst. Nimm am besten das oberste.

SD

beim ersten und beim dritten kommt "Proxy Access Required" beim zweiten verlangt die Seite ein Passwort. Komme also leider nicht dran.

manta737

versuch mal, ob Du Dir einen anderen Browser runterladen kannst und dann vielleicht noch Browser Hijack Blaster 1.0 und SpywareBlaster, führe die Programme entsprechend der Anweisung aus und schau mal ob Du nun aufs Netz kommst: Vorbeugung

Wie bist Du denn jetzt im Netz?

Auf dem PC auf meiner Arbeit

Wo krieg ich den die beiden Programme?
Passen die auf Diskette, sonst hab ich nämlich Schwierigkeiten die Programme auf meine PC zu Hause zu bekommen.

manta737

@manta737

probier es anders mit
http://www.cexx.org/lspfix.htm

chaosman

versuch mal, ob Du das runterladen kannst. Das machen wir eigentlich nicht, es ist eine Ausnahme: http://www.cexx.org/lspfix.zip . Das andere liegt nicht an Dir, wir haben es ausprobiert und können WinsockFix auch nicht erreichen. Gib Bescheid, ob Dir der Download von hier aus gelingt.

SD

tut mir leid aber da funkt der Web Filter von meiner Firma dazwischen. Ich versuch mal ob ich eines der Programme auf einer anderen Seite finde.

Hallo,
habe auf der Seite von www.softpedia.com die WinsockFix.exe gefunden und runtergeladen.
Ich versuche also heute abend mal, ob die hilft.
Erstmal vielen Dank für eure Hilfe.
Falls es nicht geklappt hat, melde ich mich morgen wieder.

MfG
manta737

Hallo,
wollte mich für eure Hilfe noch bedanken. Mein Internet geht jetzt wieder. Habe bereits einige der Programme installiert, die ihr unter Vorbeugung empfehlt.
Nochmals vielen, vielen Dank.

@ manta737,

gern geschehen. Wenn Du noch Fragen hast, melde Dich.

... und hier noch ein bisschen Lektüre:

- Tipps und Hilfe (alle Seiten beachten): www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de (bei winXP und ME)
- faq.underflow.de

Lieben Gruss
SD