Hallo Leute,
ich bin neu hier und zwar weil ich nicht mehr weiss, wo ich schnelle Hilfe für meinen Pc bekommen kann. Ich habe folgende Symptome auf meinem System festgestellt: Wenn ich im Netz unterwegs bin bekomme ich immer 10 unbekannte Favoriten zu meinen schon bestehenden hinzugefügt, meine Startseit wird einfach auf about blank gesetzt, obwohl ich immer wieder die gewünschte einstelle, beim Klick auf Links innerhalb einer Seite werde ich plötzlich auf irgendwelche dubiosen Sites geleitet, obwohl ich die Adressen schon zur Webwasher- Zugriffskontrolle hinzugefügt habe, das Häkchen in der WW-Zugriffskontrolle wird automatisch entfernt und die Adressen welche ich blockieren wollte sind ebenfalls gelöscht. Da für mich die Symptome nach Trojanern aussehen habe ich auch schon HighJackThis installiert und mit der automatischen Logfileauswertung alles ungewöhnliche gefixt, aber ich weiss nicht ob das schon reicht um die Plagegeister zu vernichten.

Also ihr seht, ich habe eine ganze Hand voller immer wiederkehrender Probleme und nicht eine gute Idee, wie ich der Sache Herr werden könnte.
Es wäre sehr Nett, wenn jemand mit ein par entscheidenten Tipps weiterhelfen könnte.

Mein Dank schon jetzt, an den- oder diejenigen, der sich die Mühe macht meinen langen Text bis zu Ende zu lesen.
MfG jannsen :headbang

@jannsen

lade dir Hijackthis hier
mache einen scan in normalen modus.
poste anschließend das logfile per copy and paste hier im board

chaosman

Also das Programm habe ich schon auf dem Pc gehabt und das erstellte Log-File sieht so aus. Aber wie verfahre ich damit?

Danke erstmal und bis bald Jannsen

Logfile of HijackThis v1.98.2
Scan saved at 11:30:09, on 13.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WebWasher\wwasher.exe
F:\programme\oleco\_oleco.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\service.exe
F:\Dokumente\Tools\antivirspam\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\system32\starter.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C0BAE5-925A-4972-B6A7-8CB59B69CFE5}: NameServer = 81.209.208.13 83.133.0.13
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll
O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll
O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll

@ jannsen,

Platform: Windows 2000 SP3 (WinNT 5.00.2195): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINNT\System32\rpcnt4.dll

--> Ergebnis?

Lade Dir SpHjfix.exe runter für diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll

Boote in den VGA Modus, fixe dann mit Hijack This

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: h**p://*.63.219.181.7

O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll
O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll
O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll

beende:
service.exe

lösche:
C:\WINNT\System32\service.exe

boote in den normalen Modus.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

Danke für die Tipps, aber ich habe keine rechte Ahnung. Ich habe die dll überprüfen lassen mit folgendem Ergebniss:
Service load: 0% 100%

File: rpcnt4.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir No viruses found (0.45 seconds taken)
Avast No viruses found (1.65 seconds taken)
BitDefender Trojan.StartPage.FW (0.30 seconds taken)
ClamAV No viruses found (0.28 seconds taken)
Dr.Web Trojan.StartPage.192 (0.43 seconds taken)
F-Prot Antivirus W32/Startpage.EV (0.05 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.fw (0.55 seconds taken)
mks_vir No viruses found (0.18 seconds taken)
NOD32 No viruses found (0.33 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

danach habe ich versucht mit dem Tool SpHjfix.exe zu arbeiten, aber ohne Erfolg. Wenn ich auf desinfizieren geklickt habe hat er gemeldet, dass nix infiziert wäre, komisch oder?
Im VGA modus habe ich die service.exe gelöscht ich brauchte den Prozess aber nicht beenden, da er nicht aktiv war. den eScan habe ich noch nicht durchgeführt, weil ich die ersten Probleme mit HijackThis noch nicht gelöst habe.

Erstmal wieder was zum angucken für euch. Danke das ihr euch die Zeit nehmt für meine Probleme.

Gruß jannsen

Hallo jannsen,

dann fixe bitte die oben angegebenen Dateien im abgesicherten Modus/VGA modus mit Hijack This und lösche die Datei: C:\WINNT\System32\rpcnt4.dll ebenfalls im abgesicherten Modus.

Teile uns dann bitte das Ergebnis des eScan mit.

SD