Hallo ins Forum!

Ich hab ein Problem, wobei mir vielleicht jemand helfen kann.

Vorab: Ich hab auf dem PC KEN installiert, deswegen sehe ich alles in der LOG Datei.

Also, alle 5 - 6 Minuten wird eine Verbindung zur Interneseite www2.flingstone.com hergestellt !

Hab schon mehrere Virenscanner und Antspy-Programme installiert, aber kein Programm hat etwas gefunden, bzw. wurde gelöscht.

Kann mir vielleicht bitte jemand helfen?? Was soll ich machen??
Bin echt am verzweifeln.

Gruß
Karsten

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Danke für die schnelle Antwort.

Hier das Log:

Logfile of HijackThis v1.98.2
Scan saved at 12:06:57, on 10.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\msaccess.exe
E:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ZOERNER\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://minisearch.startnow.com/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=785796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=785796
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://198.198.198.101:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://198.198.198.101:3128/ken2000.html
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/ksk-hn/srwso2001.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/stat...d/WDU_1251.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2C5E6C1-19D9-45EB-9D2E-802FFC42086C}: NameServer = 192.168.114.254

Fixe mit HJT (vorher in ein eigenes Verzeichnis entpacken) im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://minisearch.startnow.com/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=785796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=785796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab


Lösche danach die Dateien, falls du nicht DSL benutzt, sichere die cabs vorher.

Sagt dir dieser Link etwas:

https://banking.rwso.de/ksk-hn/srwso2001.cab

Falls nicht, ebenfalls fixen.

Danke für die Antwort.
Nur noch eine Frage:

Wie muss ich denn die cabs sichern??
Und welche Dateien soll ich löschen???

Ja, der letzte Link sagt mir was... ....wenigstens einer.

Sichere sie auf Diskette oder CD, einfach die beiden Cab-Dateien dahin kopieren und dann auf deiner Festplatte löschen. Es geht darum, dass es sich hier wohl um Teile eines Dialers handelt und du, falls du eine erhöhte Telefonrechnung haben solltest, diese als Beweis aufheben solltest. Gilt wie gesagt nur, wenn du Modem/ISDN benutzt.

Sorry, wenn ich nochmals so "blöde" frage.

Welche cab-Dateien denn ??
Ich finde keine.
Oder werden die Cab-Dateien von HJT erstellt??
(Ich kenne HJT noch gar nicht, deswegen..)

Diese beiden Dateien:

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab

falls du sie auf dem Rechner findest, vorher: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Hallo,
hab jetzt alles so gemacht, wie unten beschrieben wurde. Danach Neustart.

ABER:
Das Problem besteht weiterhin. Alle 10 min. wird mit www2.flingstone.com verbunden. Was kann ich noch machen??

@ borgward666

um herauszufinden, ob Malware sich auf Deinem Rechner befindet, lade den eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile das Ergebnis des eScan hier an Board mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein weiteres Hijack This Logfile und poste es.

SD