habe HJt laufen lassen,was eindeutig auf die searchbar hinwies habe ich entfernt,neu gestarted und die search bar ist wieder da.desweiteren werde ich auf eine Schwulen Seite weitergeleited,teilweisse öffnet sich auch ein neues fenster mit dieser seite.

Logfile of HijackThis v1.98.2
Scan saved at 15:43:54, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\taksmgr.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\systpl.exe
C:\WINNT\system32\Wmplayer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\dtem2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\Run: [Start Upping] taksmgr.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winbvu32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gate Personal Firewall] systpl.exe
O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKLM\..\RunServices: [Gate Personal Firewall] systpl.exe
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Gate Personal Firewall] systpl.exe
O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKCU\..\Run: [Start Upping] taksmgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...5b542647a23d85
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F4F3352-4227-46AC-98A1-7DD6F40693CA}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F4F3352-4227-46AC-98A1-7DD6F40693CA}: NameServer = 217.237.151.161 217.237.151.33


was muss gelöscht werden um endlich ruhe zu haben.

thx

Überprüfe folgende Dateien:
C:\WINNT\system32\Wmplayer.exe
C:\WINNT\system32\mcafeeupdate.exe
C:\WINNT\system32\systpl.exe
C:\WINNT\system32\taksmgr.exe

hier:
http://virusscan.jotti.org/de

Hallo nearperf,
dein Logfile schaut leider gar nicht gut aus. Du hast ziemlich sicher einige Backdoors drauf.
Scanne zur Sicherheit mal mit eScan im abgesicherten Modus gemäß der Anleitung und poste was gefunden wurde.
Stell dich aber schonmal darauf ein.

Zitat:

O4 - HKCU\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe

-> http://es.trendmicro-europe.com/ente...BOT.YN&VSect=O

Zitat:

O4 - HKCU\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe

-> http://www.sophos.de/virusinfo/analy...2agobotbm.html

danke schonmal.werde das ausprobieren.neues OS instalieren wollte ich vermeiden,habe es in den letzten 10 tagen 4 mal neu instaliert.es macht solangsam aber sicher keinen spass mehr.

woher kommt der dreck?habe die sicherheitsupdates und das sp4 daruf,virenscanner ist auch vorhanden.das ist einfach eine sauerei.

Zitat:

danke schonmal.werde das ausprobieren.neues OS instalieren wollte ich vermeiden...

Wenn sich mein Verdacht bestätigt ist es die einzige vernünftige Lösung.

Zitat:

...habe es in den letzten 10 tagen 4 mal neu instaliert.

du musst es eben einmal richtig machen.
Lektüre für die Zukunft -> http://www.mathematik.uni-marburg.de...ompromise.html

gibts denn die anleitungen zum windows sicher zu machen auch in kompaktform für win2000?

habe jetzt escan.bin ich einfach nur zu doof,ich finde bei diesem programm nirgends einen start button.ist die 2003 ?? vollversion.updates sind gemacht worden.

@ nearperf,

lesen können wir nicht für Dich, wir können Dir nur Links posten und Dich bitten, selbsttätig zu lesen.

Zum einen gibt es zum eScan eine Anleitung, die Haui45 Dir bereits zur Verfügung gestellt hat, es ist die Seite, wo Du den eScan runterladen kannst. Lutz hat sich viel Mühe gemacht, klar und eutlich zu erklären, was mit diesem Scan-Programm zu geschehen hat .. also lies. Es ist alles erklärt.

Dann hat Lidius Dich gebeten einige Dateien Deines Systems online zu untersuchen. Wie lautet das Ergebnis der Untersuchung?

Windows sicher einrichten in 15 Schritten: "eine einfache Schritt-für-Schritt-Anleitung, um einen Windows 2000- oder XP-Rechner sicherer einzurichten."

SD

das 4,5 mb escan scheint nur ne demo zu sein.habe nun ein vollwertiges mit dem konnte ich den ganzen müll löschen,beim 2ten durchlauf wurde nix mehr angezeigt.

die frage bezüglich des startbuttons ist zumindest bei der vollversion berechtigt,im hauptfenster steht nicht davon.habs nun rausgefunden,via rechtsklick aufs güne e komme ich zum starten.

bezüglich das ich selbst lesen muss ist mir schon klar nur war dies eine ellenlange anleitung wovon einiges wirklich nicht erwähnt hätte werden müssen.

schaut bitte mal die log file von HJT an,diese sollte nun nicht mehr ganz so schlimm sein.und gott sei dank ist diese schwulen seite auch weg.

Logfile of HijackThis v1.98.2
Scan saved at 19:20:15, on 23.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\bases\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\bases\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\bases\TRAYICOS.EXE
C:\bases\AVPMWrap.EXE
C:\bases\MAILDISP.EXE
C:\WINNT\System32\locator.exe
C:\Dokumente und Einstellungen\grischa\Desktop\hijackthis\HijackThis.exe
C:\bases\MAILSCAN.EXE
C:\bases\SPOOLER.EXE
C:\bases\kavss.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\bases\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\bases\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\bases\AVPMWrap.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' miss

Zitat:

ellenlange anleitung wovon einiges wirklich nicht erwähnt hätte werden müssen.

Ich geh mal davon aus, dass du damit diesen Link meinst. http://www.mathematik.uni-marburg.de...ompromise.html
Was hätte deiner Meinung nach nicht erwähnt werden müssen?

Zitat:

diese sollte nun nicht mehr ganz so schlimm sein

Du säuberst dein System mit einen AV Scanner und vertraust darauf, dass es nun sauber ist?!
Das ist nicht dein Ernst, oder?

ja den einen link meine ich,die sollten gleich zum relevanten kommen,da wird viel zuviel dazugeschrieben.

bin nun mit escan und hjt drüber,ist doch schon besser?das andere habe ich mal nicht gelöscht-steht es gehört zu t-online.

Die Anleitung wurde so geschrieben, damit sie auch auf von jeden User verstanden und nachvollzogen werden kann, egal über welchen Wissensstand sie verfügen. So what?! Was ist daran verwerflich?

Zitat:

bin nun mit escan und hjt drüber,ist doch schon besser?

Nein, du bekämpfst nur die Symptome aber die Ursache bleibt erhalten!