Guten Morgen, Manuel_M ... ausgeschlafen?

was mit dem eScan auf Deinem System passiert sein könnte, weiss ich auch nicht, denn Dein System ist verseucht. Es kann sein, dass Du einen Virus auf dem System hast, der AV-Programme zerstört.

===>Wichtig: bitte Reihenfolge beachten<===

Ich gebe Dir unter anderen eine Anleitung, was Du fixen musst, vielleicht kommen wir dann weiter.

===>1<===

Arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "couldnotfind.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===>2<===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===>3<===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===>4<===

Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. (Hinweis von Haui45 Gestern, 22:53 #4)

===>5<===

überprüfe mit dem online-scan von Kaspersky:

D:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\winnt\system32\rk.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===>6<===

Boote in den abgesicherten Modus und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.couldnotfind.com/search_...ccount_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.couldnotfind.com/search_...ccount_id=78091
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINNT\Downloaded Program Files\rundlg32.dll

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...392b259014bd70e

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - ht*p://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - ht*p://www.jessy.nu/de/webinstall.cab

Dialer bitte auf Diskette/CD vor dem fixen sichern (Dialer-Hinweis)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - ht*p://www.advnt01.com/dialer/ger_nopop.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - ht*p://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - ht*ps://img.web.de/v/mail/mms/activ...upload_1111.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - ht*p://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - ht*p://www.pixaco.de/static/download/iedropupload.cab

Boote in den normalen Modus.

===>7<===

Mit LSP-Fix oder WinsockFix löschen:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

===>8<===

Geh bitte auf diese Seite: eScan, scrolle ganz runter und schau mal nach, ob die Zusatz-Signaturen, von denen dort die Rede ist, auch für Deine Version des KAV geeignet sind. Update bitte den KAV, sonst nützt er nichts.

Scanne damit Deinen Rechner.

===>9<===

Lass uns das Ergebnis der Online-Scan-Überprüfung und des Scans mit KAV wissen. (Vergiss nicht die Daten/Spybot-Report - Adressaten beachten! - abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD

@ Manuel_M,

sollte das alles nicht funktionieren, hab ich noch eine Idee. Lade TrojanCheck runter. Führe das Programm auf Deinem Computer aus. Klicke TrojanCheck an, so dass Du das grosse Fenster des Programms vor Dir auf dem Bildschirm hast. Hier siehst Du nun oben drei Tasten, eine davon lautet "Autostarts". Wenn Du darauf klickst, erscheint ein neues Fensterchen, rechts unten im Bild siehst Du "Report". Klick auf "Report". Nun erscheint ein noch größeres Fenster mit dem Report. Du kannst ihn schließen oder speichern. Speichere ihn bitte ab, als "trojancheck_mm.txt". Gib diesen "trojancheck_mm.txt" hier ins Forum. Kann sein, dass Du dazu mehrere Postings nötig hast.

Wir bekommen damit eine Einsicht in (nur als Beispiel):

Registry - Standardeinträge
Registry - Shell Spawning
Registry - Active Setup
Registry - Virtuelle Gerätetreiber (VxD)
Registry - ICQ Net
Autostart - Standardeinträge
INI Dateien
Batch und Text Dateien
EXPLORER.EXE in C:\

... auf diese Weise müßten wir eigentlich Trojaner erkennen können, wenn sie sich denn auf Deinem System befinden. MIt TrojanCheck lassen sich Registry-Einträge löschen. Das solltest Du aber besser nur auf Anweisung machen .. kann sein, dass sonst nichts mehr geht ..

Lieben Gruss
SD

Danke für die Unterstützung .
Ich bin noch auf der Arbeit aber heute Abend werde ich die Schritte ausführen und hoffentlich mein System bereinigen.

@ Manuel_M

ok, melde Dich wieder .. mit dem/den Befund(en).

SD

Habe Trojancheck ausgeführt.

---> BITTE an die Kollegen, schaut Euch das mal an. Könnt Ihr etwas erkennen? Wenn ich es mache, dauert es Stunden, dazu bin ich darin zu ungeübt.

SD

Hallo ich habe euch den Spybot-Report zugeschickt. Was soll ich nun machen?