ich kenn mich ja mit sowas überhaupt net aus,
aber ich hab mal gehijakt


Logfile of HijackThis v1.99.1
Scan saved at 15:52:46, on 05.09.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\WINDOWS.000\SYSTEM\HPZTSB06.EXE
C:\WINDOWS.000\SYSTEM\LAUNCHER.EXE
C:\PROGRAMME\USB DISK\SHWICON.EXE
C:\WINDOWS.000\SYSTEM\MSMSGS.EXE
C:\WINDOWS.000\SYSTEM\INTELL32.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: C:\WINDOWS.000\Q2529711_DISK.DLL - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS.000\Q2529711_DISK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb06.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS.000\SYSTEM\Launcher.exe
O4 - HKLM\..\Run: [ShowIcon_A-Data_USB Disk Series Driver v1.17r025] "C:\Programme\USB Disk\shwicon.exe" -t"A-Data\USB Disk Series Driver v1.17r025"
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS.000\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS.000\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.000\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.000\web\related.htm
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 130.244.127.161,130.244.127.169
O20 - Winlogon Notify: style32 - C:\WINDOWS.000\Q2529711_DISK.DLL

Arbeite zunächst folgendes ab:

http://www.trojaner-board.de/thema/smitfraudfix.html

Desinfiziere danach deine wininet.dll, dazu :

Benenne folgende Datei um:


C:\windows\system\wininet.dll

Dann suche auf deiner Windows-CD folgende Datei:

wininet.dl_

Die kopierst du jetzt in folgenden Ordner:

C:\windows\system

Jetzt ins DOS wechseln und dort folgendes eingeben:

cd C:\windows\system

danach

expand wininet.dl_ wininet.dll (auf das Leerzeichen achten!)

Die eben umbenannte Datei kannst du jetzt löschen.

Hey Cronos und Co.

folgendes. habe den ersten Teil durchgearbeitet (also smitren, adaware, spybot, escan)

hier das neue hijack file:


Logfile of HijackThis v1.99.1
Scan saved at 23:25:02, on 05.09.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\WINDOWS.000\SYSTEM\HPZTSB06.EXE
C:\WINDOWS.000\SYSTEM\LAUNCHER.EXE
C:\PROGRAMME\USB DISK\SHWICON.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: C:\WINDOWS.000\Q2529711_DISK.DLL - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS.000\Q2529711_DISK.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb06.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS.000\SYSTEM\Launcher.exe
O4 - HKLM\..\Run: [ShowIcon_A-Data_USB Disk Series Driver v1.17r025] "C:\Programme\USB Disk\shwicon.exe" -t"A-Data\USB Disk Series Driver v1.17r025"
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 130.244.127.161,130.244.127.169
O20 - Winlogon Notify: style32 - C:\WINDOWS.000\Q2529711_DISK.DLL



SMITREN:


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll INFECTED!!


Das Escan überfordert mich wohl irgendwie. Konnte zwar den scan durchführen, aber als es dann ans Beseitigen der Malware ging hatte ich so meine Probleme.

außerdem ist jetzt noch zusätzlich das AVWIN aufgetaucht.... wollte es mit CWSHredder entfernen, ging aber nicht.

AUßerdem finde ich keine WININET.dll auf dem ganzen Computer, obwohl sie im scan als infiziert aufscheint!!

BITTE UM HILFE

Hallo eisraupe,

hast Du "cronos" Lösungsvorschlag bezüglich der "wininet.dll" ausgeführt?
(Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken).

Zitat:

Das Escan überfordert mich wohl irgendwie. Konnte zwar den scan durchführen, aber als es dann ans Beseitigen der Malware ging hatte ich so meine Probleme.

Poste einfach mit Hilfe der "find.bat" das Ergebnis.

Fixe im abgesicherten Modus bei deaktivierter Systemwiederherstellung:
O20 - Winlogon Notify: style32 - C:\WINDOWS.000\Q2529711_DISK.DLL

.. und lösche die Datei:
C:\WINDOWS.000\Q2529711_DISK.DLL

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Poste das Escan-Logfile (<--find.bat) und ein neues HJT-Logfile

dartus

so, das ist nun einmal meine find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

also ich glaube ja, dass ich den PSGuard jetzt los bin...
hat zumindest den Anschein.....

aber wie gesagt: ich hab jetzt das Problem mit dem AVWin Reboot.
JEdes mal beim Hochfahren kommt dann diese Meldung:

Virenschutz nicht aktuell, um zu Aktualisieren Computer Neustarten
(naja, so ähnlich)

hab es mit dem CWShredder versucht (wie in einem anderen Thread empfohlen) aber ohne Wirkung!