Hallo,

ich bin wirklich verzweifelt. Habe schon alles mögliche probiert. Ihr seid meine letzte Hoffnung.

Situation:

Der IExplorer wird ständig gestartet (Startseite google). Anfangs kamen dies Popups sporadisch, mittlerweile sobald ich meinen Laptop anschalte.

Ich habe schon diverses probiert:

• Spybot SD Scan
• Aawsepersonal Scan
• Kaspary
• Hijack Log in die automatische Auswertung gegeben => keine Indikation
• Platte komplett formatiert und Windows neu installiert

nichts hat geholfen. Sobald ich den Rechner einschalte, kommen - obwohl nicht mit dem Netz verbunden (!), die Popups.

Das Log sieht nach der Neuinstallation folgendermaßen aus:

(Der Rechner war noch nicht am Netz)

Logfile of HijackThis v1.99.1
Scan saved at 23:12:51, on 02.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\1234\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ich würde mich wirklich freuen wenn mir jemand weiterhelfen könnte!!!

Beste Grüße & vorab vielen Dank für Eure Mühe!!!

PS: Habe in dem gezeigten Fall eine ältere Version von XP aufgespielt - Die ursprüngliche Version war/ist eine media center edition von Toshiba. SP2 ist in zweiterer Version enthalten. Beide Versionen zeigen die gleichen Symptome.

Noch etwas Ewido Scan kann ich leider im moment nicht durchführen. Die ewigen Popups verhinden, dass ich irgendetwas anderes sehe als die aktuelle Startseite.

Formatiere noch einmal, und geh nach der Anleitung im Anleitungs-Forum vor. Achte v.a. darauf, dass vor der ersten Internetverbindung sämtliche Service-Packs und Updates installiert sind!

Gruß
Yopie

Hallo Yopie,

HIIILLLLFEEE !!!!!

ich habe gerade das System komplett formatiert und Windows (Media Center Edition inkl SP2) neu installiert. Wie gehabt ... bevor ich irgend etwas anderes machen kann sind 30 Internet Zugangs Assistenten augegangen... *frustriertsei*

Ich habe für das Problem folgenden Account eingerichtet:

Max_12345@gmx.net

Falls jemand Ideen hat einfach auch direkt an mich.

Mein größtes Problem ist, dass ich den Rechner für meine Arbeit brauche und so momentan ziemlich aufgeschmissen bin.

1000 Dank im Voraus!

Dann mach mal einen eScan (s. Signatur) genau nach Anleitung, und poste die Funde mit der find.bat.

Gruß
Yopie

Hallo Yopie,

hier mein neuer LOG FYI,

Logfile of HijackThis v1.99.1
Scan saved at 03:18:16, on 03.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {F073BDC9-0D67-4ff0-879E-27241C843828} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Desweiteren: Habe das System zwischenzeitlich im sicheren Modus ausgeführt und Mozilla, sowie www.dingens.org software und ein eingeschränktes Konto installiert.

Die Popups sind weg (habe IE aber auch nicht mehr benutzt). Allerdings ist mein DVD/CD Laufwerk nun nicht mehr das was es einmal war. Ich kann keine Files schreiben, obwohl die Treiber installiert sind. Naja das ist zunächst das kleinere Übel.

Den Scan mache ich gleich. Kommt mit meinem nächsten UPDATE.

Lieben Gruß

Hallo Yopie,

noch etwas, e scan habe ich versucht zu installieren. Folge Blue Screen & Norton ist zerschossen.

*no comment* :-)

Beste Grüße

Zitat:

Zitat von *verzweifeltsei*

e scan habe ich versucht zu installieren.

...was du nicht tun solltest: eScan sollte ausgepackt und im on-demand-modus gestartet werden. Anleitung aus Yopie's Signatur hast du wohl gar nicht durchgelesen.

Hallo,

ja gestern wurde es etwas spät und die Aufmerksamkeit ließ etwas nach...

UPDATE

Die Beschreibung könnt Ihr übrigens UPDATEN und ein kurzer Vermerk sollte auch anderen Nachtwandlern helfen das richtige File zu finden.

WinRAR ist übrigens nicht mehr nötig - ich denke es gab ein Update der Seite. Das File auf der Seite ist nun ein vollständiges Setup. Einfach Setup nach download starten und es funtioniert.

Vermerk (Vorschlag): Nach öffnen der Seite (alter Link, Download) Bei EScam (oben rechts) auf Download klicken. Danach öffent sich eine weitere Seite. Nun das File am Ende der Seite herunterlanden. Downgeloadete Setup.exe starten und Update durchführen. Der Rest wie beschrieben.
=> Checkt das aber besser einfach einmal selber - ich kriege keine Aufforderung zur Registrierung mehr. Deshalb ist der Vermerk vielleicht nicht 100% i.O..


Noch etwas

Ich habe gestern bereits den Scan mit der Trial Version durchgeführt (normaler Modus). Hier gab es zunächst keine Warnungen.
Der Scan - wie von Euch beschrieben - im abgesicherten Modus läuft gerade. Ich werde das Ergebnis gleich posten.

Beste Grüße

Hallo,

der Scan ist abgeschlossen. Posten kann ich das Ergebnis irgendwie leider nicht. Die Einstellungen waren wie beschrieben. Die Datei (txt) hat über 3 MB. Wenn ich es in den Browser kopiere stürzt dieser ab. Für einen Anhang ist die Datei zu gross.

Ich weiss nicht, ob ich mich einfach zu dämlich anstelle oder ob es einfach so ist wie es ist ...

Bitte um kurze Hilfestellung ....

Wenn gewünscht kann ich das File ggf. an eine Mail Adresse senden...

LG

Hallo,

Zitat:

Zitat von Anleitung

[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.

Zitat:

Zitat von Anleitung

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Grüße Wildone

Hallo,

der Kommentar in der im Forum eingestellten Anleitung ist klar.

Es gibt jedoch nur einen mwav.exe Datei und keine Zip-Datei zum Download. Bitte geht auf die Seite und versichert Euch selber!!

FYI

1. Der Link: On-Demand-Scanner in der Anleitung ist tot.

2. Klick auf Download in der Anleitung => führt nach Registrerung zu http://www.mwti.net/products/mwav/mwav.asp

Auf dieser Seite:

Rechsklich auf den Download save target würde zu savefro.asp führen.
Daher Linksklick auf den Download => neue Seite

Am unteren Ende sind 3 Mirrows.
Rechs oder Linksklick laden mwav.exe

Beste Grüsse

Zitat:

Zitat von *verzweifeltsei*

WinRAR ist übrigens nicht mehr nötig - ich denke es gab ein Update der Seite. Das File auf der Seite ist nun ein vollständiges Setup. Einfach Setup nach download starten und es funtioniert.

Das war imho schon immer so. Es gibt aber (wiederum imho) Gründe, warum diese Datei trotzdem entpackt werden soll! Das geht, man muss es nur machen. Und dafür ist ein Packprogramme (WinRar, 7Zip, mit dem Total Commander gehts auch) nötig. Deswegen stehs so in der Anleitung!

Trotzdem danke fürs Mitdenken (auch wenns falsch gedacht war).

Gruß
Yopie

Hallo,

habe den eScan ausgeführt.

Ergebnis:

3 Fehler, keine infizierte oder verdächtige Datei.

- 2 Fehler beziehen sich auf das Scannen der AWE Spybot Software.
- Ein Fehler entsteht, da C:/pagefile.sys nicht gescannt werden kann.

Ich habe keine weitere Idee, was ich noch machen könnte.

Beste Grüße

Hallo,

habe gerade in einer Verzweiflungstat das System versucht neu aufzusetzen. Das Problem mit den Popups ist nach dem ersten hochfahren immernoch da. *heul*

Nachdem ich den Rechner starte (keine Internetverbindung) versucht Windows wie verrückt eine Verbindung über den IE herzustellen. Einzig und alleine der Sichere Modus erlaubt mir den PC zu steuern.

Beste Grüße

Hallo,

hier noch ein paar weitere Infos, ich weiß nicht ob sie helfen:

hier die Logs nach Ausführen von datfindbat. Ich konnte das Programm leider nur im Abgesicherten Modus ausführen. Die vollständigen Logs kann ich auf Nachfrage zur Verfügung stellen. Hier die Logs für die letzten Monate.

System:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\WINDOWS

04.07.2006 00:24 316.978 ntbtlog.txt
04.07.2006 00:23 2.048 bootstat.dat
04.07.2006 00:17 78.357 WindowsUpdate.log
04.07.2006 00:17 6.500 SchedLgU.Txt
04.07.2006 00:11 587.231 setupapi.log
04.07.2006 00:10 0 0.log
03.07.2006 23:44 2.209 OEWABLog.txt
03.07.2006 23:44 30.063 wmsetup.log
03.07.2006 23:43 5.252 DPINST.LOG
03.07.2006 23:41 1.321.910 setuplog.txt
03.07.2006 23:41 369.892 setupact.log
03.07.2006 23:40 9.620 regopt.log
03.07.2006 23:39 163.632 tsoc.log
03.07.2006 23:39 4.541 sessmgr.setup.log
03.07.2006 23:39 402.767 iis6.log
03.07.2006 23:39 641 DtcInstall.log
03.07.2006 23:34 231 system.ini

System 32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\WINDOWS\system32

04.07.2006 00:14 380.684 perfh009.dat
04.07.2006 00:14 53.098 perfc009.dat
04.07.2006 00:14 391.518 perfh007.dat
04.07.2006 00:14 63.930 perfc007.dat
04.07.2006 00:14 897.672 PerfStringBackup.INI
04.07.2006 00:10 45.378 nvapps.xml
03.07.2006 23:43 308 results.txt
03.07.2006 23:42 1.158 wpa.dbl
03.07.2006 23:41 389 $winnt$.inf
04.04.2006 08:08 333 $ncsp$.inf

sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\

04.07.2006 00:27 0 sys.txt
04.07.2006 00:27 8.775 system.txt
04.07.2006 00:27 136 systemtemp.txt
04.07.2006 00:25 102.287 system32.txt
04.07.2006 00:23 1.610.612.736 pagefile.sys
03.07.2006 23:41 209 boot.ini
04.04.2006 17:56 282 SWSTAMP.TXT
17.03.2006 14:02 0 AUTOEXEC.BAT
17.03.2006 14:02 0 IO.SYS
17.03.2006 14:02 0 MSDOS.SYS
17.03.2006 14:02 0 CONFIG.SYS
10.08.2004 15:00 4.952 bootfont.bin
10.08.2004 15:00 251.184 ntldr
10.08.2004 15:00 47.564 NTDETECT.COM
14 Datei(en) 1.611.028.125 Bytes
0 Verzeichnis(se), 127.968.018.432 Bytes frei

Temp => leer, wie es nach dem ausführen von Clean Up sein soll


Lieben Gruß