@ CityHunterNRW

wie ich eben sehe, hast Du auch diese Search-Seiten im Browser. Bitte mach zunächst Folgendes:

Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "isapi/redir.dll-TBOARD" und Hinweis auf diesen Thread.

SD

Hallo CityHunterNRW,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\IEBAR.DLL

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de und detections@spybot.info, mit Verweis auf diesen Thread. (Forschungszweck)

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF

Boote in den normalen Modus.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Informiere Dich hier: Trojaner-Info.de zu dem Thema Browser Hijacking. Du findest eine Fülle Tipps und Ratschläge, Hilfstools, Links zu sicheren Browsern u.a. Besuche auch diese Seite: ADS-Aufspürer, lade Dir das Tool runter. Es kann sein, dass Dein Problem damit zu tun hat. Noch ein Hinweis: SpywareBlaster 3.2 schützt verschiedene Browser-Systeme vor Spyware, Adware, Browser Hijackers, Dialern, und anderen unerwünschten Plagegeistern. Ich kenne die Programme selbst und empfehle sie.

Sollte das Ergebnis der Überprüfung der Dateien

C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\IEBAR.DLL

negativ sein, warte bitte das Ergebnis der Untersuchung durch partytime-germany.ice@web.de und detections@spybot.info ab. Schau ab und an mal rein.

SD

danke @Lidius und Shadowdance
werde das heute mittag mal machen und dann heute mittag wieder posten werde es dann mal ausprobieren ...=)und losschicken

aaaalso. bei mir als modem-nutzer (bitte nicht hauen) dauert es immer ein wenig länger.

escan findet bei mir nix ausser eben den gain/gator.

und spybot hat 55 probleme gefunden, die ich - wie empfohlen - beheben lassen habe. spybot hat demnach auch alles erledigt, so dass jetzt eigentlich nix mehr zu protokolieren übrig ist. richtig?

bleibt nur noch das hijack-protokoll. soll ich das nun auch noch einmal neu machen?

gruß,
alexo

@ alexo

Zitat:

Zitat von alexo

und spybot hat 55 probleme gefunden, die ich - wie empfohlen - beheben lassen habe. spybot hat demnach auch alles erledigt, so dass jetzt eigentlich nix mehr zu protokolieren übrig ist. richtig?

falsch: -> sende bitte den Spybot-Report an die oben angegebene Mail-Adresse.

Zitat:

Zitat von alexo

bleibt nur noch das hijack-protokoll. soll ich das nun auch noch einmal neu machen?

ja bitte und poste es hier.

SD

in der tat erkennt spybot nun nichts mehr, macht also auch kein protokoll ("glückwunsch, keine spyware").

escan sagte mir bei erneutem durchlauf:

File C:\_RESTORE\TEMP\A0207731.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207732.CPY tagged as not-a-virus:AdWare.Gain.6041. No Action Taken.
File C:\_RESTORE\TEMP\A0207733.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207734.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2702.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2704.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2716.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2735.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.


was zum teil dem entspricht, was auch antivir mit bds/agent.ay beanstandet hat.


zum abschluss noch mein hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 14:43:21, on 23.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\FPDISP3A.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OFFICEKB.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\MMKEYB.EXE
C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\TRAYMON.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OSD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\MCEXT.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.donots.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Office keyboard utility\1.1\OFFICEKB.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICONS\AOLMIcon.exe
O4 - HKCU\..\Run: [MailCleaner] C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServeOffice\csim\aim.exe (file missing) (HKCU)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Hallo alexo,

Du hast jede Menge Adware auf Deinem Computer, das zeigt auch Dein Logfile. Diese Adware muss gelöscht werden. Das geht folgendermassen:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]. Auf diese Weise kannst Du all diese Dateien von Hand löschen:

Zitat:

File C:\_RESTORE\TEMP\A0207731.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207732.CPY tagged as not-a-virus:AdWare.Gain.6041. No Action Taken.
File C:\_RESTORE\TEMP\A0207733.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\TEMP\A0207734.CPY tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2702.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2704.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2716.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS2735.CAB tagged as not-a-virus:AdWare.Gator. No Action Taken.

fixe mit Hijach This, ebenfalls im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServeOffice\csim\aim.exe (file missing) (HKCU)

und wenn Du diese Einträge nicht kennst/ brauchst, bitte auch fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.donots.de/
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - ht*p://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - ht*p://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - ht*p://sicher.first-e.com/enba/java/jars/firsteinst.cab

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - ht*p://216.249.24.143/code/PWActiveXImgCtl.CAB

boote nun in den normalen Modus.

beende:
GO.EXE"

lösche:
C:\PROGRAMME\GOZILLA\GO.EXE"

aktiviere die Systemwiederherstellung.

Dein IE ist nicht gut konfiguriert. Lies Dich dazu bitte hier ein: IE sicher konfigurieren: www.datenschutzzentrum.de.

Überlege Dir, ob Du auf einen sicheren Browser umsteigen willst und den IE nicht besser nur noch für die Windows Updates verwenden willst:

- Vorbeugende Maßnahmen: www.trojaner-info.de
www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD