vielen Danke erstmal, hab jetzt alles installiert und auch schön eine beachtliche menge an viren gekillt ;)

hier mein hijackthis log:Logfile of HijackThis v1.97.7
Scan saved at 22:35:01, on 20.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\EVNTSVC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\SAVE\SAVE.EXE
C:\PROGRAMME\KAZAA\KAZAA.EXE
C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE
C:\PROGRAMME\RAM IDLE\RAMIDLE.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\ICQ\NDETECT.EXE
C:\WINDOWS\SYSTEM\CD_LOAD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\RHINOSOFT.COM\FTP VOYAGER\FVSCHEDULER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.icq.com/coollinks/"); (C:\Programme\Netscape\Users\User00\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Dpi] C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [RAM Idle] C:\Programme\RAM Idle\RAMIdle.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: iMesh.lnk = C:\Programme\PLUS!\THEMES.EXE
O4 - Startup: iMesh Auto Update.lnk = C:\Programme\PLUS!\THEMES.EXE
O4 - Startup: FTP Voyager Scheduler.lnk = C:\Programme\RhinoSoft.com\FTP Voyager\FVScheduler.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Descargas (HKLM)
O12 - Plugin for .asp: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npdsplay.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .dcr: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NP32DSW.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by1fd.bay1.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...59/mcfscan.cab


hab auch da schon ein paar gelöscht. bei den "O4" bin ich mir aber nicht sicher.. kann mir wer helfen???

sorry ist mir zuviel Müll drin :D
steh nicht so auf Kazaa, ICQ und so

aber DAS:
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
ist wohl eindeutig! Warum brauchst Du dazu Hilfe? :D

Mach mal ein komplettes Windows Update (inkl. InternetExplorer)
lade herunter, installiere, update und führe aus:
AdAware
Spybot S&D
Quellen siehe meine Signatur

Benutze Google, das sagt Dir zum Beispiel:
WhenUSave = Adware
aus O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe

Cydoor: Alias: TrojanDownloader.Win32.BHO [Kaspersky]
aus O4 - HKCU\..\Run: [Cydoor] CD_Load.exe

und wohl noch mehr

Also updaten, AdAware und Spybot S&D, dann reden wir weiter...

Hallo Erika!

</font><blockquote>Zitat:</font><hr />Original erstellt von Erika:
vielen Danke erstmal, hab jetzt alles installiert und auch schön eine beachtliche menge an viren gekillt ;) </font>[/QUOTE]Leider lässt sich nicht mal bei einer aktiven Schadsoftware eine sichere Entfernung selbiger gewährleisten - es sei denn, man setzt das System komplett neu auf.


Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Das muss dringend (!) auf den neuesten Stand gebracht werden!


Das ist Adware, die muss raus.

C:\PROGRAMME\SAVE\SAVE.EXE

Das ist eine Quelle für Schadsoftware aller Art:
C:\PROGRAMME\KAZAA\KAZAA.EXE


Weitere Schadsoftware (Dialer, Trojaner, Hijacker):

C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE
C:\WINDOWS\SYSTEM\CD_LOAD.EXE
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [Dpi] C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install


Achtung, wichtig, falls du über ISDN oder Analogmodem ins Internet gehst: Ein Dialer muss dann vor dem Löschen gesichert werden!

Dein System ist insgesamt erheblich verseucht. Ich würde es neu aufsetzen. Auch empfehle ich dringend, nicht mit dem IE zu surfen. Stattdessen:

http://mozilla-europe.org/de/

sorry, dass ich euch so viel mühe mach, aber wie schon beim ersten beitrag gesagt, ich bin nicht so der computerversteher [img]graemlins/dummguck.gif[/img]

um gleich beim thema "viel mühe machen" zu bleiben: wie "sichere" ich einen dialer bevor ich ihn lösch?? und was passiert wenn man das nicht tut?

</font><blockquote>Zitat:</font><hr />Original erstellt von Erika:
sorry, dass ich euch so viel mühe mach, aber wie schon beim ersten beitrag gesagt, ich bin nicht so der computerversteher [img]graemlins/dummguck.gif[/img] </font>[/QUOTE]Nee, schon ok, ich hatte nur dein erstes Posting nicht gelesen! Das habe ich nun nachgeholt:
http://www.trojaner-board.de/forum/u...c;f=6;t=005643

Du hattest dort Recht: das sieht nach einer Menge Arbeit aus. Vor allem die vielen Trojaner machen - ehrlich gesagt - doch besorgt! Am besten wäre her sicher neuaufsetzen. Hast du jemand in deiner Umgebung, der sich mit PC's auskennt und dir ggf. helfen könnte?

</font><blockquote>Zitat:</font><hr />wie "sichere" ich einen dialer bevor ich ihn lösch?? und was passiert wenn man das nicht tut?</font>[/QUOTE]1.) Indem du die jeweilige exe-Datei kopierst und dann in einen Ordner, den du z.B. zuvor unter "Eigene Dateien" selbst erstellt hast, einfügst.

2.) Wenn du ihn nicht sicherst, geht dir ggf. Beweismaterial verloren, und es ist keine Prüfung des Hashwertes und auch kein Vergleich mit der Dialerdatenbank der Regulierungsbehörde für Post und Telekommunikation mehr möglich. Auf diese Weise könnte man leicht feststellen, ob ein Dialer legal ist oder nicht, also ob du eine etwaige Rechnung bezahlen müsstest oder nicht. Wurde der Dialer allerdings leichtfertiger Weise ohne Sicherung gelöscht, geht das nicht mehr.

3.) Wichtig wird das Ganze aber nur, wenn du über ISDN oder Analogmodem im Netz bist. Gib doch dazu bitte noch eine Auskunft!