Da bin ich wieder,

nach einigen Verständnisproblemen habe ich jetzt den empfohlenen eScan abgesichert laufen lassen und sieheda, der findet folgendes:

File C:\Windows\Acssun.exe tagged as not-a-virus: Tool Win32.Reboot.No Action Taken.
File C:\Windows\System\richsexuninstall.exe tagged as not-a-virus: PornWare.Dialer.Generic.No ActionTaken. :pfui:
File C:\Windows\Options\Cabs\Ebd.Cab tagged as not-a-virus: Tool DOS.Restart. No action taken
File C:\Windows\Downloaded Program files\sesso.exe infected byTrojan.Win32.Dialer.e Virus Action Taken

Bei den kritischen Fälle habe ich die "Action getakt", ich hoffe, dass mein System jetzt wieder normal läuft, wenn nicht, lasse ich wieder einen Hilfeschrei los :schrei:

und jetzt eine gute N8 :sleepy:

Guten Morgen Korkhase,

die Verständnisprobleme sind momentan eher auf meiner Seite ;). Welche Version des eScan hast Du verwendet? Es gibt nämlich mittlerweile eine Version, die die Viren zwar findet, aber nicht mehr löscht, das muss der User dann manuell machen. Wie gehst Du ins Netz? Dialer sollte man zur Beweissicherung auf Diskette kopieren, falls sich die Telefonrechnung erhöht (www.dialerschutz.de).

Wie hast Du das gemacht? Ich gebe Dir mal sicherheitshalber die brandaktuelle und frisch überarbeitete Information zum Umgang mit der neuen Version des eScan an: Erste Hilfe.

Du solltest vielleicht doch über einen Browserwechsel nachdenken und den IE nur noch für die Updates und Patches verwenden. Näheres dazu in der bereits angegebenen Lektüre ...

SD

Guten Morgen shadwodance,

zu nächtlicher Stunde habe ich mich wirklich unklar ausgedrückt. In den Fällen, in denen no Aktion taken angezeigt wurde, habe ich nichts unternommen.
Den Dialer wollte ich löschen, aber ich habe ihn in dem angegebenen Pfad nicht gefunden, ich habe allerdings nicht feststellen können, dass er jemals aktiv war, vermutlich schlummert er schon lange im System. Können eigentlich Dialer bei DSL-Anschluß funktionieren?

Jetzt muß ich doch erstmal deine "Erste Hilfe" studieren und den richtigen eScan finden, dann melde ich mich wieder.

Vielen Dank

Nein, Dialer können sich bei einer reinen DSL Verbindung nicht einwählen.

Hallo shadowdance und andere Helfer,

jetzt habe ich den escan 4.5.1 durchgeführt. Das Ergebnis sah wie folgt aus:

File C:\Windows\Acssun.exe tagged as not-a-virus: Tool.Win32..Reboot.

File C:\Windwos\Options\Cabs\EBD.CAB tagget as not-a-virus: Tool.DOS.Restart

File C:\Windows\Acssun.exe tagged as not-a-virus: Tool.Win32..Reboot. (dies wird tatsächlich 2 x angezeigt)

File C:\Windows\Downloaded Program Files\sesso.exe infected by "Trojan.Win32.Dialer.e"

File C:\Recycled\DC665.exe tagged as not-a-virus: PornWare.Dialer.Generic.
(das ist ja wohl der Papierkorb, dürfte also erledigt sein)

Alle Meldungen zeigen "No Action Taken", die Trojaner sind also noch auf meinem System und daher meine Bitte an euch um Hilfestellung bei der Beseitigung.

Ins Netz gehe ich immer mit TDSL, so dass Dialer lt. Cidre nichts anstellen können.

Ein neuer hijackthis-Test ist ja wohl erst nach Entfernung der Viren sinnvoll.

Der Tipp mit Norton wg. E-mail war goldrichtig. Die haben einfach die Zugangsdaten (System W98) auf sich selbst abgeändert und drum kam ich nicht mehr rein.
Jetzt gehts wieder. Seltsamerweise hat das bei XP nichts ausgemacht.

Ich hoffe, mir kann geholfen werden.

Besten Dank und Gruß
Korkhase

Lösche die Datei im abgesicherten Modus:
File C:\Windows\Downloaded Program Files\sesso.exe

Danach poste ein neues Log von HijackThis.

Hallo Christian,

obwohl der escan die Datei sesso.exe anzeigt, kann ich sie unter "Downloaded Program files" nicht finden. Dort befinden sich lauter Aktiv-X Programme, von denen mir keines verdächtig vorkommt.
Die Suche nach Dateien und auch in der Registry nach sesso.exe blieb erfolglos.
Ein mir unbekanntes Aktiv-X habe ich gelöscht, dabei habe ich aber wohl die Google-Tool-Bar erwischt, jedenfalls ist die verschwunden.
Weißt du einen Weg, das Versteck von sesso doch noch zu finden?

Hier nun der neue hijackthis

Logfile of HijackThis v1.98.2
Scan saved at 21:30:30, on 07.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Falls Dein Mail-Problem noch nicht gelöst ist ...

Hier dürfte das Problem liegen. Siehe auch meinen früheren Post. Ansonsten ist das Log sauber und ohne konkrete Bedrohung.

MTT

Hallo Korkhase,

"sesso.exe ist verschwunden" ... hast Du die Windows-Funktion "alles anzeigen" eingestellt? eScan gibt Dir den Pfad an. Versuche es noch mal und melde Dich wieder, wenn es nicht klappt mit dem löschen.

MTT hat recht, Dein Logfile ist ok.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack noch diesen Eintrag:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Aktiviere die Systemwiederherstellung wieder, boote in den normalen Modus.

Viel Glück weiterhin. Denk mal über einen Browserwechsel nach, es erhöht die Sicherheit und vermeidet weitere Probleme beim Surfen.

Lektüre:

- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de

SD

@mythinktank

wie ich weiter unten schon geschrieben habe, war dein Tipp mit Norton goldrichtig. Die haben die Einstellungen verändert, jetzt läuft E-mail wieder sauber. :party:

Hallo SD,

wäre jetzt eine Kamera hier, würdest du mich auf dem Schlauch stehend sehen. Ich weiß nicht, wo ich "alles anzeigen" bei Windows 98 eingeben kann, bitte um Nachhilfeunterricht :heulen:
Die 09er Buttons werde ich wie empfohlen, entfernen

Gruß Korkhase

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

hallo Cidre,

jetzt bin ich runter vom Schlauch, allerdings war und ist diese Einstellung aktiviert, daran kann es also nicht liegen, dass ich die Datei nicht gefunden habe, könnte es sein, dass es sich um eine temporäre gehandelt hat, die wirklich nicht mehr da ist?
Was völlig unwichtiges, die Smileys funktionieren bei mir nicht richtig,wie z.B. dieses: :party:
weil ich gern mit dir anstoßen würde, allerdings der Inhalt wäre dann natürlich das mit dir gleichnamige Getränk ;)

Hi Korkhase,
hatte damit auch schonmal Probleme, wenn du dich nen bischen mit dem guten alten DOS auskennst: So kannst du die Datei meist problemlos suchen und löschen/umbenennen/verschieben.

@ Korkhase

zunächst ein Dank an @ Cidre für's entfernen von Schläuchen ;-)
Dann .. darf ich aushelfen? Hier das köstliche kühle Getränk, frisch importiert aus Sachsenhausen ;)
... und dann könntest Du Dir die Freeware-Version von ArchiCrypt.Shredder runterladen und damit auf die Suche nach der versteckten Datei gehen. Es gibt auch sonst noch ein paar brauchbare Funktionen. Schau's Dir mal an.

SD