Hallo! Ich bin von StartPage.TR angegriffen worden.. Ich versuche nun seit 12tagen diesen wurm los zuwerden - vergeblich. ich bitte euch mir zu helfen. ich habe miene hijackthis-log gepostet. ich wäre wirklich sehr dankbar für einen rat!

Ich habe inen fremdem ArbeitsPC ohne erlaubnis genutzt und damit dieses Problem verursacht. Der Besitzer hätte große Lust mich zu erwürgen wenn ich's nich bald wieder ans laufen krieg.
Vielen Dank im Vorraus
[CWSShredder, AntiVir, AdWare usw. hab ich schon probiert]
Benutze Win2000 Professional SP4, AMD Athlon, IE6
momentan natürlich opera.

Logfile of HijackThis v1.97.7
Scan saved at 12:39:56, on 12.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINNT\system32\wuauclt.exe
E:\eMule\emule.exe
C:\Programme\Opera7\Opera.exe
C:\WINNT\explorer.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Mehner.MEHNER-F9WWCE4E\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {87B4245E-D3E9-4BC3-8898-9C7C3D526B91} - C:\WINNT\system32\enbjdl.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Svchost] C:\WINNT\svchost.exe 20
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ZBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [Runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [Wininet32] C:\WINNT\wininet32.exe
O4 - Global Startup: adobe gamma loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//pfred01/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe...0/dexDE665.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://info.httpsgateway.com/download/dialer/cax.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DE29CEE-BCE2-4E35-9791-0EB42C5D933E}: NameServer = 217.237.150.97 194.25.2.129

Hallo Tic3000 und Willkommen im Board,

da sind soviele Hijacker und Co, das einem schwindelig wird...

Versuch es mal als erstes mit dem Free eScan Antivirus Toolkit Utility im abgesicherten Modus des Rechners.

Hast Du den CWShredder in der aktuellsten Version (v1.59.0) genommen. Imho sind da ein paar Sachen bei, die dieser entfernen können sollte. Ggf. starte den CWShredder auch einmal im abgesicherten Modus.

Überprüfe außerdem, ob alle wichtigen Patches von Microsoft eingespielt sind.

BTW: Was hat
</font><blockquote>Zitat:</font><hr />E:\eMule\emule.exe </font>[/QUOTE]auf einem Arbeits-Rechner zu suchen??

Und zu guter Letzt: Ein Blick in meine Signatur...

nicht nur hijacker bis zum abwinken, sondern auch einen kleinen browserhelper einen dialer oder mehrere, und ein bissl was an backdoor macht die sache erst richtig besch*.

O4 - HKCU\..\Run: [Runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [Wininet32] C:\WINNT\wininet32.exe

oder was ist das da nettes?

das system ist ziemlich hinüber würd ich mal leider sagen...deshalb spar ich mir auch alle einträge bis auf wenige jetzt rauszunehmen aus dem log. da bleibt unter denen mit C voran nimmer leider nimmer viel über...

gruss
rock

nebenbei wär das so ziemlich der erste log den ich sehe, wo formatieren eine schnellere und sichere lösung sein wird...aber bitte, man könnte es ihn vielen stunden kleinarbeit zuminderst etwas "besser" zum laufen bringen...aber dicht ist dein kasten nimmer!

ich hoff nur das niemand auf deine links herumklickt in den 016er-zeilen.
und die links in den R1 R0 einträgen auch nicht unbedingt klicken!

gruss
rock

[ 12. Juni 2004, 14:09: Beitrag editiert von: rock' ]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MEHNER~2.MEH\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {87B4245E-D3E9-4BC3-8898-9C7C3D526B91} - C:\WINNT\system32\enbjdl.dll

O4 - HKCU\..\Run: [Runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [Wininet32] C:\WINNT\wininet32.exe

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//pfred01/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe...0/dexDE665.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://info.httpsgateway.com/download/dialer/cax.cab

okey, versuchen kann man es ja mal....
also das gehört mal raus! (eintrag moniker 32 weis ich nicht ob das sein sollte, sagt mir nix)

Ordner TEMP leeren temp.internetfiles incl.offlineinhalte löschen bei geschlossenem browser auch!! (windows updaten wenn noch geht)

gruss
rock

edit: und der virenschutz den ihr verwendet hat nicht einmal irrrgendwas gemeldet??

[ 12. Juni 2004, 14:13: Beitrag editiert von: rock' ]

Zum ersten bitte NICHT auf die Links klicken. sonst gehts euch vielleicht wie mir.

DANKE für die Hilfe!! Ich hab heimlich emule installiert und anderen kram.... halt nachts konnt man den arbeitsrechner gut ausnutzen. dummer fehler.

Ich hab alles gemacht was du mir geraten hast, ausser abgesichert modus. das tue ich jetzt. vorher hier nochmal die aktuelle log. wenn ich mich nicht irre siehts schoin was besser aus. die datei die mich stört liegt im verzeichnis winnt\hosts\startpage.tr

ich melde mich gleich nochmal mit der neuen log. DANKE nochmal. habe hier norton antivirus 2003 allerdings nur mit live update bis zum 31.12.2003 - soll ich nochmal installieren? momentan anti vir personal edition drauf. der findet startpage aber löscht es nicht. der norton hatte vorher mal was gesagt und dann wieder ruhe gegeben als er alles gelöscht hatte. aber war wohl ein irrtum...
DANKE VIELMALS!!!!!!!

Logfile of HijackThis v1.97.7
Scan saved at 14:53:58, on 12.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Mehner.MEHNER-F9WWCE4E\Desktop\NEU\mwav.exe
C:\Dokumente und Einstellungen\Mehner.MEHNER-F9WWCE4E\Desktop\NEU\HijackThis.exe

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ZBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - Global Startup: adobe gamma loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DE29CEE-BCE2-4E35-9791-0EB42C5D933E}: NameServer = 217.237.150.97 194.25.2.129

Es ist mir nicht mehr möglich im Abgesicherten Modus hochzufahren. Kann mir noch jemand helfen?
Antivir findet Startpage im verzeichniss winnt\hosts
wenn ich in google geuscht habe, versucht der IE jede seite auf dem google server zu suchen. also find ich keine mehr

[ 12. Juni 2004, 15:07: Beitrag editiert von: TiC3000 ]

dein log schaut schon viel beser aus...nur hättest du jetzt eine micrsoft startseite haben sollen, wenn du alle weggemacht hast...welche ist denn nun startseite?

wenn norton keine updates mehr bekommt, brauchst du ihn nicht installieren/nochmal wie auch immer...

versuche in den abgesicherten modus dann zu kommen, wenn du vorher den pc normal herunterfährst. also nicht via neustarten und dann...

lass nochmal hier dein system checken:
http://support.f-secure.com/enu/home/ols.shtml

wenn es klappt.

gruss
rock

edit: vielleicht solltest du doch nebenbei beginnen wichtige daten vom pc zu sichern/auf cd/ discette, usw...

Das log schaut zwar schon besser aus ist aber für mich immer noch viel zu lang...
...fast so lang wie meins

und fürn arbeitsrechner naja..

in dem fall würd ich auch sagen das neu aufsetzen eigentlich die beste lösung ist....
ich weiss aber nun nicht wofür genau dieser pc benutzt wird
das muessen dann wohl die besitzer entscheiden was ihnen lieber ist..
neu aufsetzten (vorher natuerlich daten sichern)
oder es so weiter zu probieren

Während ich auf deine Antwort wartete fühlte ich mich untätig. also norton installiert und wieder deinstalliert. zwischendrinn, vorher und nachher immer wieder cws durchlaufen lassen. um zu gucken ob er was zurücksetzt (also ob der hijacker wieder aktiv war) aber nichts.
Im internet explorer kann ich keine seite mer öffnen. als wenn ich keine verbindung hätte.

dann gerade eben hat er wieder reste gefunden und gelöscht.
Ich versuchs wieder mit dem abgesicherten modus....
rechner ist hauptsächlich zur bildbearbeitung gedacht. Mein größtes problem: ENORMER ZEITDRUCK! desswegen erstmal fixen und eventuell in den nächsten Tagen/wochen neu aufspielen.

Habe jetzt meine T-Online Software, meinen DSL Treiber und den T-Online-Internet-Explorer (neu)wieder installiert. Nichts. Ich kann weiterhin nur mit Opera websites betrachten. ich habe alle service packs vom internet explorer 6 deinstalliert und probiert ihn neu zu installieren. aber irgendwie sind da immer noch aktuellere dateien als in der originalinstallation desswegen macht ers nicht. unter systemsteuerung software hab ich ihn "repariert" ....nischts!

Ich kann auf den online virenscan von kaspersky nicht zugreifen da nur mit IE ab 5.5. Beim micrsoft update siehts genauso aus.

Gibt es nicht einfach die Möglichkeit von 6.0 auf 5.5 zu "downgraden" ?
Ich habe jetzt mehrmals gelesen das der IE 5.5 die sicherheitslücke durch die startpage angreift noch nicht hat.

Auf http://www.trojaner-board.de/forum/u...=005538#000006 sagt BeatFreak er habe alles mit "Anti Virus Tool von Micro Word" gelöscht. Ich konnte "Micro World" finden, kostenpflichtig allerdings.

Ich weiss wirklich nicht weiter. Sitze jetzt seit heute morgen 7.30uhr hier dran und gestern schon den ganzen abend. [img]graemlins/heulen.gif[/img]

Ich wäre euch wirklich dankbar wenn ihr's nochmal versucht. Hijackthislog hängt vorsichtshalber auch mal dran. leiber zu oft als zu selten [img]graemlins/koch.gif[/img]

Logfile of HijackThis v1.97.7
Scan saved at 18:49:36, on 12.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Mehner.MEHNER-F9WWCE4E\Desktop\NEU\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: adobe gamma loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DE29CEE-BCE2-4E35-9791-0EB42C5D933E}: NameServer = 217.237.150.97 194.25.2.129

In der ganzen Zeit hättest Du den Rechner locker neu aufgesetzt. Bevor Du Dir eine weitere Nacht um die Ohren schlägst, solltest Du genau das tun.


</font><blockquote>Zitat:</font><hr />Ich kann auf den online virenscan von kaspersky nicht zugreifen da nur mit IE ab 5.5.</font>[/QUOTE]Das ist definitv falsch. Das funktioniert auch mit Opera, Mozilla, Firefox, usw.

</font><blockquote>Zitat:</font><hr /> Anti Virus Tool von Micro Word </font>[/QUOTE]Das ist genau das Tool, welches ich um 13:15 Uhr genannt habe. Hast Du das nun schon eingesetzt oder nicht?

Dem Log ist jetzt nicht mehr zu entnehmen, was für das Verhalten Deines Rechners vernatwortlich ist. Mit HijackThis kann man viel erkennen, aber es ist keine 'eierlegende Wollmilchsau'.
Jeder der gestarteten Prozesse kann -obwohl einen harmlosen Namen habend- in Wirklichkeit ein infizierter Prozess sein. Also, mach die Kiste am besten sofort neu. Das ist in diesem Fall wesentlich schneller und nervenschonender, als weitere 12 Stunden Flickwerk zu betreiben.

</font><blockquote>Zitat:</font><hr />Habe jetzt meine T-Online Software, meinen DSL Treiber und den T-Online-Internet-Explorer (neu)wieder installiert. Nichts. </font>[/QUOTE]Das wird Dir auch nichts bringen, solange das eigentliche Übel nicht behoben ist.

bei kaspersky wird wohl gemeint sein IE ab version 5.5...weil es noch einige gibt anscheinend die mit älteren modellen heruschwirren...abgesehen davon kannst du dort nur daten bis max. 1MB prüfen lassen...

bist du mit dem rechner hier im forum, auf dem das passiert?

dann solltets du wenigstens den onlinescan, (geht der mit anderen browser?) versuchen.

gruss
rock

RAV, Dr.WEB und Ikarus Wien nehmen alle Browser für onlinechecks! (zuminderst sollte es so sein)
http://www.ravantivirus.com/scan/
gruss
rock