Startseite lässt sich nicht ändern
 

Ich habe bei meinem IE immer wieder die selbe Startseite "best-search" oder sowas... ich habe mir nun die Beiträge durchgelesen und meinem Computer erstmal im abgesicherten Modus mit eScan durchsuchen lassen, habe auch das Update vorher gemacht, dabei sind 10 Dateien aufgetaucht, aber aber leider das Ergebnis nicht kopiert. Beim Zweiten scannen kam nochmal das:

File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.

File C:\Programme\Winamp\Skins\frame.wsz infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.

File C:\Programme\bellshare\bsupdate.exe infected by "not-a-virus:AdvWare.TotalVelocity.o" Virus. Action Taken: File Renamed.

Kann ich aber nicht wirklich was mit anfangen :heulen:

Wäre toll wenn mir jemand weiterhelfen könnte, bisher hat sich jedenfalls noch nichts verbessert und ich kann damit überhaupt nichts anfangen:

Logfile of HijackThis v1.98.2
Scan saved at 22:57:16, on 30.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=4304101
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=4304101
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=4304101
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASÖRT~1\DASOER~1.DLL
O3 - Toolbar: WEB.DE Toolbar - {92F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDE.DLL
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASÖRT~1\DASOER~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &WEB.DE Toolbar Suche - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDE.DLL/SEARCH.HTML
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://82.196.8.134/tools/FlipsideWe...herControl.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/134465bc...dxIE601_de.cab
O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} (WEB.DE Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketin...SuchLeiste.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\WINDOWS\TEMP\WAS3383.TMP\html\1.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.149.161,194.25.2.129
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\SYSTEM\XPLUGIN.DLL

Danke im vorraus, Jessi ;)

Fixe dies:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=4304101
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=4304101
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=4304101
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...StatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...ireShowdown.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://82.196.8.134/tools/FlipsideW...cherControl.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/134465b...RdxIE601_de.cab
O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} (WEB.DE Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketi...eSuchLeiste.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\WINDOWS\TEMP\WAS3383.TMP\html\1.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\SYSTEM\XPLUGIN.DLL

Sofern noch vorhanden lösche dies:
C:\WINDOWS\SYSTEM\XPLUGIN.DLL

O16-Einträge, die du wirklich brauchst, können jederzeit nachgeladen werden.

Verwende zum Schutz einen anderen Browser: www.firefox-browser.de ist schnell, sicher und kostenlos.

Scanne einmal mit Spybot: www.safer-networking.de
Das Programm ist kostenlos und deutschsprachig.
Update es bevor du scannst.

Hast du kein AntiVirus installiert?
www.free-av.de ist für den privaten Gebrauch kostenlos.

Unbedingt auch

C:\WINDOWS\RUNDLL32.EXE

fixen (eventuell musst du den Prozess vorher im Taskmanager beenden), danach auch die Datei löschen.

Habe alles erledigt, und auch

C:\WINDOWS\RUNDLL32.EXE

gelöscht.

Jetzt kann ich allerdings nicht mehr die Software in der Systemsteuerung verwenden, weil dann eine Fehlermeldung kommt, dass die Datei RUNDLL32.EXE fehlt...

Hm, die "richtige" rundll32.exe befindet sich eigentlich im windows/system32-verzeichnis.

Naja, ich habe durchsucht und auch manuell geschaut, noch eine Datei mit dem Namen gibt es nicht... was kann ich denn tun, ich möchte gerne ein paar Programme deinstallieren *g*

Ich fürchte, ich habe da übersehen, dass du Win98 hast, tut mir sehr leid. :(
Schau mal auf deiner Win98-CD die win98_42.cab an, sollte mit einem Zip-Programm funktionieren, da müsste diese dll drin sein, extrahiere sie nach c:\windows. Ich hoffe, das löst das Problem.

Das ist ja kein Problem, ich bin schon sehr froh, dass mir hier überhaupt so gut geholfen wurde. Die Datei erneuer ich schnell ;)

Danke für eure Hilfe, ich hoffe es ist jetzt alles behoben, sonst werde ich mich wohl nochmal wieder melden müssen :)

Naja, das darf eigentlich nicht passieren, dass ich dir empfehle, Systemdateien zu löschen. Sie ist auf jeden Fall in einem der CAB-files, ich such schon die ganze Zeit nach meiner alten Win98-CD, dann könnte ich sie dir auch schicken. Hast auf jeden Fall was gut. :)

Das ist doch wirklich nich weiter tragisch, ärgerlich ist nur, dass ich meine Win98-CD grad nicht finde. Ich hatte sie neulich noch, aber nun ist sie weg...

Solltest du deine finden, wäre es schön wenn du Bescheid schreibst und es mir schickst, ansonsten rufe ich jemanden an, der sie bestimmt schicken kann...

Oh, ich hab sie gefunden :)

Aber natürlich finde ich die Datei nicht :(

Kannst du denn die Inhalte der cab-files sehen? Mit Winzip s.Bsp sollte das gehen.

Die Inhalte sehe ich, ja.
Aber was genau davon brauche ich denn dann ?

Irgendwo müsste die Datei, die du brauchst, aufgeführt sein, die "rundll32.exe".

Du könntest es auch mal mit dem SFC-Tool versuchen:

"Gestartet werden kann die Systemdateiprüfung über die Systeminformation oder direkt mit Eingabe von 'C:\WINDOWS\SYSTEM\SFC.EXE'. Vor Prüfungsstart müssen aber unter Start / Einstellungen noch die Optionen 'Geänderte Dateien suchen' und 'Gelöschte Dateien suchen' ausgewählt werden, sonst findet die Prüfung nichts."

Im optimalen Fall sollte das Programm die fehlende Datei finden und von der CD nachinstallieren.

Ok, Datei wiederhergestellt und es funktioniert auch wieder alles. Danke !!! :)

Puh, da bin ich mindestens so froh wie du. :)

Dafür fehlt jetzt die Datei MSVBVM60.DLL, ohne die ich den hjt nicht starten kann :confused:

Oh man, das ist schon nicht mehr schön heute

Hm, das ist eine Visual Basic-Runtime. Versuchs mal hier:

http://www.vb-fun.de/vb/komponenten/...ente0041.shtml

Müsste dann ins windows/system verzeichnis IMO.

Ok, das ist auch erledigt, jetzt reichts aber auch für heute, danke für deine Hilfe ;)

Eine Frage habe ich noch:

Wie kann ich es ändern, dass bei einem Neustart immer rechts neben der Uhr alle Programmsymbole geladen werden ?

Ich fürchte, da muss ich passen, vielleicht kannst du das über Rechtsklick/Eigenschaften der Taskleiste einstellen? Willst du die Symbole links neben der Uhr?

Hihi, ne auch nich links, sondern ganz weg, aber das ist egal, werde ich mich andermal mit befassen...

Hallo Experten ;)

Kurze Vorgeschichte:
seit Zwei Tagen habe ich einen Trojaner im System ...
zumindestens wurde mir das von Programmen wie SPYBOT, ANTIVIR und dergleichen die ich zu Hauf downgeloadet und installiert habe mitgeteilt.
ok, sowie ich es jetzt schon in diversen Foren gelesen habe, sind ja wirklich eine Menge Leute von derselben Art des Problems betroffen ... ewig das Gleiche -> Problem gefunden, gelöscht und sofort wieder da :mad:

dann heute mein nächstes Maleur:
ich lese in diesem Forum den Beitrag von Jess, lese den Tipp doch die rundll32.exe datei zu löschen und lass mich sogleich auch darauf ein in der Hoffnung die Lösung gefunden zu haben. erfolgreich gelöscht lese ich dann weiter: kann systemsteuerung/software nicht mehr aufrufen weil "rundll32.exe" fehlt. Danke ich hätte mich schlagen können ... war ja auch extrem blöd von mir vorzeitig zu handeln.

und jetzt hab ich folgendes beieinander:
1)mir fehlt "rundll32.exe" und winME cd hab ich auch keine!
2)trotz der anhäufung div. programme (spybot, cwshredder, antivir, startpage guard ...) die laufend empfohlen werden, habe ich kein wirksames programm welches trojaner endgültigt löscht.

noch nie zuvor habe ich in einem forum gepostet, maximal durchgelesen und was abgeschaut wenn not war.
aber jetzt weiss ich auchnicht mehr weiter und bitte dringendst um hilfe!

vielen dank, David

Huhu David,

lies mal deine privaten Nachrichten und antworte mir ! Danke ;)

Welcher Trojaner wird bei dir denn angezeigt? Hast du denn den Papierkorb schon gelöscht, vielleicht ist die Datei dort noch drin?
Versuche mal dies hier:

http://www.trojaner-board.de/42731-escan-anleitung.html

Dass du keine CD mit Betriebssytem hast, ist natürlich sehr schlecht und sollte schnellstens behoben werden.
Poste auch mal ein HJT-Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

Bitte um Aufklärung bezüglich hjt-log!
:confused:

Steht in dem zweiten Link. Den text aus dem Log dann hier herein kopieren.

kann hjt.zip nicht entpacken weil RUNDLL32.EXE fehlt!!!!!! :kloppen: :koch:

Brauche unbedingt Rundll32.exe!!!
Kann mir jemand per Mail schicken???? BITTE, DRINGEND!!!!

Mir fällt grad ein, hast du die Datei die ich geschickt habe umbenannt ?
Hast du "(1)" aus dem Namen genommen ?