Hallo an alle
und ein großes Lob zunächst einmal.
Ich habe bei Google mein Problem eingegeben und bin zu Euch gelangt und bin mir sicher, dass Ihr mir spielend helfen könnt.

Mein PC war jetzt für 3 Wochen in der Reparatur und ich musste das System mit einer Recovery-CD wieder neu aufsetzen. Bin recht stolz gewesen, dass das alles fast problemlos geklappt hat.

Allerdings: wenn ich versuche, das Internet mit der eingestellten URL zu starten, sehe ich ständig - und das in 7-facher Ausführung eine dubiose Seite namens amateur.freegayspace. etc.......

Natürlich ist mein System noch nicht richtig nachgerüstet gewesen, weil auf der Recovery-CD ja der Standard von vor einem Jahr war. Jetzt traue ich mich nicht mehr ins Internet aus Angst, dass die nackten Männer völlig Besitz von meinem PC ergreifen. Habe jetzt den Alternativ-PC genutzt um nach Hilfe zu schreien.

Und: das Programm HijackThis hat auch schon gearbeitet:

Logfile of HijackThis v1.98.2
Scan saved at 18:18:03, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
c:\windows\config\woo2.exe
c:\windows\config\woo2.exe
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\oroe.exe
C:\WINDOWS\System32\svchostes.exe
C:\Dokumente und Einstellungen\Karin\Eigene Dateien\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free-av.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mein-knopfladen.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\oroe.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Ich vertraue ganz stark Eurem Fachwissen und bin auch schon gar nicht mehr so verzweifelt wie vor dem Finden Eurer Seite
in Vorschuss-Dankbarkeit
Karin

Hallo, ojo37,
hier ist einiges zu tun:
Erst mal Dein System updaten. Dann die Systemwiederherstellung deaktivieren (Rechter Mausclick auf Arbeitsplatz, Eigenschaften, Karteikarte Systemwiederherstellung, dort auf deaktivieren)
Dann im abgesicherten Modus folgende einträge fixen:

C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\oroe.exe
C:\WINDOWS\System32\svchostes.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\oroe.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Wenn du den Eintrag nicht kennst, ebenfalls fixen:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mein-knopfladen.de/

Anschließend folgende Dateien löschen:
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\oroe.exe
C:\WINDOWS\System32\svchostes.exe
C:\WINDOWS\web\related.htm

Weiterhin im Anschluß einen
eScan ebenfalls im abgesicherten Modus durchführen und das Ergebnis posten.
Danach wieder normal booten und Systemwiederherstellung aktivieren.
Gruß cacatoa

Vielen, vielen Dank, cacatoa,

ich werd also jetzt mal mein Glück versuchen. Wird schon klappen.
Nur: erst updaten? Soll ich wirklich noch Mal ins Internet BEVOR
ich die Plagegeister unschädlich gemacht habe?

Ansonsten keuchtet mir alles, was Du mir geraten hast, ein!

Liebe Grüße und nochmals 100000 Dank!
Karin

Hallo, ojo37,
No problem, Du gehst ja nur auf die Microsoft-Seite und sonst nirgends mehr hin, bevor Du alles abgearbeitet hast.
Gruß cacatoa
P.S. Wenn du fertig bist, natürlich neues HJT-Logfile posten!

Hi cacatoa,
ich weiß gar nicht, was ich sagen soll!!!!! Ich sag erst einmal DANKE!!!

Man kann das einfach nicht begreifen: Ich hatte nach Ankunft meines heiß vermissten Notebooks Probleme: es war grottenlahm. Ein Anruf beim Support zeigte mir, dass ich das System neu aufsetzen musste.

Recovery-CD von Fujitsu, auf dem Stand von vor einem Jahr. Nach Installation wollte ich ins Internet um alles incl. AV-Virencheck zu aktualisieren. Innerhalb von ein- zwei Minuten habe ich mir mindestens 14 Viren eingefangen??????? Oder kann ich mir die auch anders eingefangen haben?

Muss schon so sein, denn ich hatte die 1. Partition gelöscht und neu formatiert!!! Und jeztzt wurden alle Viren wurden ausschließlich auf C:, der 1. Partition gefunden.

Also ehrlich, da kann man doch wirklich sämtliche Kreativität und allen Glauben verlieren. das ist ja fast wie mit Aids, oder?

Vorerst einmal vielen, vielen Dank, ob's jetzt ausgestanden ist, kann ich noch nicht sagen. Bin aber einfach zu müde, um weiter zu machen - daher verabschiede ich mich jetzt erst einmal und melde mich morgen einfach wieder zurück. Muss das auch erst einmal verdauen, könnt Ihr Euch das vorstellen?

Liebe Grüße und Gute Nacht an meinen Retter cacato
ohne Dich hätte ich wahrscheinlich das Notebook noch
heute abend aus dem (geschlossenen) Fenster geschmissen
Karin

(eigentlich wollte ich nur Textverarbeitung!!!! )

Hallo an alle!
Wie gefällt Euch denn das?:

Logfile of HijackThis v1.98.2
Scan saved at 16:00:50, on 29.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Karin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099049332201
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F19EEC1-C511-4F74-98FC-B27F271F0850}: NameServer = 217.237.150.33 217.237.151.161

Ich habe vom Rumrätseln die Nase voll gehabt, auf dem Rechner wurden 18 Würmer bzw. Pferde etc. gefunden und zum Teil nur umbenannt. Einige zu löschende Dateien hab ich erst gar nicht gefunden. Daraufhin habe ich alles platt gemacht und bei Null wieder neu begonnen. Mit Löschen der Partition, Formatieren und allen diesen Scherzen. War insoweit kein so großes Problem, weil, wie gesagt, das Notebook in der Reparatur war und daher alle Daten eh gesichert waren und Original-Software vorliegt. Bei der Installation habe ich immer nach jeder Treiberinstallation etc. eine Logfiledatei erstellt, damit ich später auch weiß, welche Dateien welche Log-Einträge generiert haben.

Allerdings hat es jetzt durch die Installation von SP2 doch noch ein Problem gegeben, T-Online konnte mir da auch nicht weiterhelfen: Ich surfe also zurzeit mit einer merkwürdigen Symbolleiste: einmal sehe ich ein Symbol mit zwei kleinen Monitore in der Taskleiste (normal bei einer Verbindung!), direkt daneben ist das gleiche Symbol nochmal, aber diesmal geschmückt mit einem gelben Dreieck, in dem sich ein Ausrufezeichen befindet. "Status: eingeschränkte oder keine Konnektivität".
Die linke Verbindung funktioniert aber astrein und schnell, wie ich's gewöhnt bin. Bei den T-Online-Leuten haben sie nur resignierend gesagt, ich solle mich an Microsoft wenden. Werd ich wohl tun müssen, oder?

So, ich glaube, dass Ihr mit meinem jetzigen Logfile zufrieden sein werdet und bedanke mich nochmals - ganz ausdrücklich bei cacatoa! Ich werde jetzt mal öfter hier reinschauen, denn ich denke, ich kann eine Menge von Euch lernen.

Ganz liebe Grüße und ein schönes Wochenende
Karin

Das Log sieht jedenfalls sauber aus.

Hallo, ojo37,

Zitat:
einmal sehe ich ein Symbol mit zwei kleinen Monitore in der Taskleiste (normal bei einer Verbindung!), direkt daneben ist das gleiche Symbol nochmal, aber diesmal geschmückt mit einem gelben Dreieck, in dem sich ein Ausrufezeichen befindet. "Status: eingeschränkte oder keine Konnektivität".

genau das hatte ich auch schon mal a b e r i c h w e i ß n i c h t m e h r
w i e i c h e s w e g g e b r a c h t h a b e

Ich meine, mich erinnern zu können, daß irgendwie meine Netzwerkverbindungen nicht o.k. waren.
Sorry für dieses Mal

Moin Moin!
Na gut hat sich erübrigt !

und ersmal....

N'abend cacatoa,

hurra!!!!! Ich hab's gelöst!!!!

Unter XP SP2 muss man nach der automatischen Installation dann manuell "nachlegen".

Ich musste meine LAN TCP/IP Nummer manuell eingeben, so etwas Ähnliches hatten die mir auch schon bei T-Online gesagt, als ich den "Vertretungs-PC" eingerichtet habe und ich hatte cleverer Weise die Nummer gleich mal notiert, daher kannte ich die. Und die Subnetzmaske muss auch noch manuell eingetragen werden. Dann scheint die Einstellung der Netzwerkverbindungen zu stimmen.

Kaum hatte ich das nämlich gemacht, verschwand das 2 Symbol (mit der fehlermeldung). Nach dem Neustart musste ich dann auch nicht mehr so lange warten - klar, das System hat gleich alles gefunden, was es gesucht hat.

Ach, ich bin richtig glücklich, dass ich jetzt wohl - vorerst! - keine Sorgen mehr habe. Allerdings habe ich bereits gelesen, dass es bei diversen Programmen auch noch Probleme geben kann. Und morgen müssen davon ne ganze Menge dieser Programme noch auf das Notebook.

Also denn . . . . . . liebe Grüße
Karin