|
About:blank unter W95 Ich habe mir den hier schon mehrfach erwähnten Trojaner eingefangen, der die Seite about:blank startet einschl. der übrigen Nebenwirkungen. Ich habe auch schon einige Tools von hier und anderen Quellen runtergeladen, aber keiner funktioniert unter W95, gleichgültig ob 95a oder 95b. Die meisten (Hijackthis, spsehjfix, removeaboutblank) verlangen nach MSVBVM60.dll. Dieses Gerät gibt es weder unter w95 noch unter w98. CWShredder verlangt nach shfolder.dll und oleacc.dll, die gibt es unter w98, da funzt es auch, aber was mache ich unter W95. Reinkopieren aus W98 hats nicht gebracht. Gibt es sonst noch jemanden mit einem so alten Windows ? Danke wowi51 |
Lies bitte diese Anleitung zu HijackThis und poste dann das Log. |
Vielen Dank für die superschnelle Reaktion. Ich bin erst heute wieder am befallenen Rechner und hier kommt das Log: Logfile of HijackThis v1.99.1 Scan saved at 21:04:29, on 28.04.05 Platform: Windows 95 B (Win9x 4.00.1111) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\W95\SYSTEM\KERNEL32.DLL C:\W95\SYSTEM\MSGSRV32.EXE C:\W95\SYSTEM\MPREXE.EXE C:\W95\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\W95\SYSTEM\SYSTRAY.EXE C:\W95\RUNDLL32.EXE C:\W95\SYSTEM\PSTORES.EXE C:\W95\SYSTEM\RNAAPP.EXE C:\W95\SYSTEM\tapiexe.exe C:\W95\SYSTEM\DDHELP.EXE C:\W95\WINFILE.EXE E:\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\W95\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\W95\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank N1 - Netscape 4: user_pref("browser.startup.homepage", "www.ebay.de"); (d:\Users\will\prefs.js) O2 - BHO: (no name) - {28D86161-845B-11D9-AB26-50241C85F87D} - C:\W95\SYSTEM\NEHB.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\W95\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [sp] rundll32 C:\W95\TEMP\SE.DLL,DllInstall O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W95\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W95\web\related.htm O13 - WWW. Prefix: http:// O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.search-and-more.com/clk/321.chm::/file.exe O16 - DPF: {0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF} (vciewer control) - http://www.thepaymentcentre.com/build/vciewer.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/DATBoWHc6bgsYHx...::/on-line.exe O18 - Filter: text/html - {28D86160-845B-11D9-AB26-502473C95DE6} - C:\W95\SYSTEM\NEHB.DLL O18 - Filter: text/plain - {28D86160-845B-11D9-AB26-502473C95DE6} - C:\W95\SYSTEM\NEHB.DLL Nochmals vielen Dank ! wowi51 |
|
Woher weißt Du, dass ichs schon versucht habe ? Bricht mit Fehlercode 95 ab ! grüße wowi51 |
Ich bin Hellseher... :crazy: Hast du doch selbst in deinem ersten Post geschrieben.;) Poste mal den genauen Wortlaut der Fehlermeldung. |
Genau läuft folgendes ab: spsehjfix beta9 meldet: Run-time error (52) bad file name or number spsehfix 112 verhungert ohne Fehlermeldung (kann aber noch geschlossen werden, rechner stürzt nicht ab) was nun ? wowi51 |
Hallo wowi51, der Cleaner funktioniert wie Du selbst mittlerweile erfahren musstest nicht unter Win95. Versuchen wir es manuell. Lade Dir hier bitte das Tool Startdreck herunter: http://www.niksoft.at/download/startdreck.htm. Dies soll lt. Hersteller auch unter Win95B laufen. Wenn es funktioniert, poste bitte die Logdatei von Startdreck hier. |
Ich kann schon mal bestätigen, dass startdreck unter W95 läuft, sogar unter 95a. An den kritischen Rechner komme ich erst wieder nächste Woche. Bis dann w. |
So, hier ist jetzt das Logfile von Stardreck: StartDreck (build 2.1.7 public stable) - 2005-05-09 @ 19:44:41 (GMT +02:00) Platform: Windows 95 (Win 4.0.1111 B) Internet Explorer: 5.50.4134.0600 Logged in as will at WILL »Registry »Run Keys »Current User »Run »RunOnce »Default User »Run »RunOnce »Local Machine »Run *AVGCtrl="C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min *SystemTray=SysTray.Exe *sp=rundll32 C:\W95\TEMP\SE.DLL,DllInstall »RunOnce »RunServices »RunServicesOnce **nuj=rundll32 C:\W95\WININBT.BAK,DllGetClassObject »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.exe *exefile="%1" %* +.hta *htafile=C:\W95\SYSTEM\MSHTA.EXE "%1" %* +.htm *NetscapeMarkup=E:\PROGRA~1\NETSCAPE\COMMUN~1\PROGRAM\NETSCAPE.EXE "%1" +.html *NetscapeMarkup=E:\PROGRA~1\NETSCAPE\COMMUN~1\PROGRAM\NETSCAPE.EXE "%1" +.js *JSFile=C:\W95\WScript.exe "%1" %* +.jse *JSEFile=C:\W95\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe %1 +.scr *scrfile="%1" /S +.txt *txtfile=C:\W95\NOTEPAD.EXE %1 +.vbs *VBSFile=C:\W95\WScript.exe "%1" %* +.vbe *VBEFile=C:\W95\WScript.exe "%1" %* +.wsh *WSHFile=C:\W95\WScript.exe "%1" %* +.wsf *WSFFile=C:\W95\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Browser Helper Objects (LM) *Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7} `InprocServer32=c:\programme\google\googletoolbar1.dll »Files »Autostart Folders »Current User »Default User »Local Machine »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=Explorer.exe »Text Files *C:\msdos.sys *C:\config.sys *C:\autoexec.bat *C:\W95\wininit.bak *C:\W95\dosstart.bat »System/Drivers »Running Processes +FFCEBFF1=C:\W95\SYSTEM\KERNEL32.DLL +FFFF501D=C:\W95\SYSTEM\MSGSRV32.EXE +FFFF6391=C:\W95\SYSTEM\MPREXE.EXE +FFFFC285=C:\W95\EXPLORER.EXE +FFFFC55D=C:\W95\RUNDLL32.EXE +FFFF9171=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE +FFF84D61=C:\W95\SYSTEM\SYSTRAY.EXE +FFF85DDD=C:\W95\RUNDLL32.EXE +FFF97795=C:\W95\SYSTEM\RNAAPP.EXE +FFF91505=C:\W95\SYSTEM\tapiexe.exe +FFF81CC1=D:\AUTOSTARTMANAGER\STARTDR\STARTD~1.EXE »NT Services »Application specific Vielen dank im voraus ! wowi51 |
Ich denke, hier haben wir den Übeltäter: Zitat:
|
Da bin ich wieder. ja, ich bin jetzt am Rechner. Soll ich die entsprechende Zeile mit startdreck disabeln oder löschen ? Oder die entsprechende Datei wininbt löschen/verschieben/umbenennen ? grüße w.will |
Zitat:
Versuche es bitte einmal mit Killbox Entpacke dieses Tool und starte die killbox.exe In das weisse Feld bitte C:\W95\WININBT.BAK eintragen "end Exporer Shell..." anhaken und das weisse Kreuz auf rotem Kreis drücken und das ganze mit Ja bestätigen. Funktioniert dies auch nicht, musst Du versuchen, die Datei zunächst umzubenennen. Kopiere bitte alles zwischen ---cut--- in Notepad (oder wie immer das unter Win95 heißen mag ;) ) und speichere die Datei in c:\win95 mit dem Namen test25.bat. Dann fahre den Rechner im MS-dosmodus herunter. Du solltest dann am Dosprompt landen. Sieht ungefähr so aus: C:\> dort test25 eingeben und ENTER drücken, dann den Rechner neu starten. Vermutl. erhätlst Du jetzt eine Fehlermeldung. Diese bitte hier posten. Schau dann im neu erstellten Ordner nach, ob die Datei WinimBT.xxx dort vorhanden ist. Wenn ja, kannst Du diese löschen. Poste anschließend bitte ein neu erstelltes Log von HijackThis, damit wir die restlichen Schritte durchgehen können... ---cut--- md c:\test25 ren C:\W95\WININBT.BAK WININBT.xxx copy C:\WINDOWS\SYSTJM.xxx c:\test25\ ---cut--- |
Hallo, habe inzwischen schon experimentiert und etwas Erfolg gehabt. Das Löschen und Umbenennen hat zwar geklappt, die Datei wurde auch beim Hochfahren nicht mehr gefunden aber gebessert hat sich nichts. Dann habe ich ich das Tool sp....109 nochmal runtergeladen und gestartet und jetzt ohne Fehlermeldung. Und alles ist gut. Windows hat dann noch Se.dll gesucht und nicht gefunden, die Zeile habe ich dann disabled und jetzt läufts schon einen Tag fehlerfrei. Habe aber trotzdem den letzten Tipp mal kopiert. wer weiß... vielen dank w.will |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:12 Uhr. |
Copyright ©2000-2024, Trojaner-Board