Trojaner-Board - ziemlich verzweifelt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ziemlich verzweifelt (https://www.trojaner-board.de/7354-ziemlich-verzweifelt.html)

ziemlich verzweifelt

Hab mir irgendetwas Uebles auf meinem Rechner eingefangen:

Vor zwei Tage war zuerst meine Startseite ausgetauscht gegen eine Seite mit der Addresse 4bf65.ilxt.info. Ausserdem erschienen wechselnde pop-ups mit Meldungen wie "Ihr Rechner ist mit spyware infiziert". Ansonsten ging aber noch alles.

Gestern liess sich dann aber der IE nicht oeffnen. Als ich im Windows-Eplorer schauen wollte, was da los ist, liess sich der auch nicht oeffnen und der Rechner ist abgestuerzt.

Bei einem neuen Versuch liess sich immerhin word oeffnen. Ueber word hab ich dann alle cookies und temporaeren Dateien geloescht. Danach liess sich immerhin der IE wieder oeffnen, allerdings wieder mit dem urspruenglichen Schadensbild. Eine Defragmentierung hab ich dann auch noch durchgefuehrt mit dem Windows explorer, der dann wieder ging.

Heute morgen ging aber wieder gar nichts. (Ausser word und dem real one player)

Was ich an technische Angaben machen kann: Sicherheitssoftware hab ich in meiner Naivitaet ueberhaupt nicht installiert :headbang: Das Betriebsprogramm ist Windows 98.

Was kann man da machen?

Bitte helft mir!

Danke,

A.

Option 1: System total neu aufsetzen, ordentlich gemacht und kein Hardwareproblem vorhanden garantiert dir es ein sauberes, funktionierendes System.

Option 2: Software nachträglich installieren welche die Übeltäter versucht zu entfernen. Manchmal mehr aufwand wie Opt1 und führt auch nicht immer zum Ziel.
Auf die schnelle und jetzt am WE kannst Du ja mal die für private Anwendungen kostenlose Antivirensoftware Antivir-PE herunterladen und installieren => http://www.free-av.de/ (updaten) und durchlaufen lassen.
Darüber hinaus die Tools Spybot S&D und AdAware herunterladen, installieren, updaten und durchlaufen lassen.
Danach kannst Du auch noch mit HiJackThis einen kleinen Test machen.
Dort => http://www.hijackthis.de kannst Du es herunterladen und anschließend eine automatische Logfileauswertung vornehmen. (Ist zwar nicht 100%ig, aber dies sind "wir" auch nicht)

Hi!

Vielen Dank fuer die schnelle Antwort. Wuerde mir die Antiviren-Software ja gerne runterladen. Aber das Problem ist, dass ich ja gar nicht mehr ins Internet komme, da sich der Internet Explorer nicht oeffnen laesst.
Ich klicke das Icon IE an und schon ist die Kiste abgestuerzt und laesst sich nur noch manuell ausschalten. (?)

Koennen Viren das verursachen oder handelt es sich um ein anderes Problem?

Leider immer noch ziemlich ratlos, A.

Zitat:

Zitat von Anna

Koennen Viren das verursachen

möglich

Zitat:

Zitat von Anna

oder handelt es sich um ein anderes Problem?

auch möglich

wie hast du denn diese Beiträge schreiben können?
Kommst Du an einen PC mit CD-Brenner?

Ohne weitere Informationen ist das natürlich schwer, aber vielleicht kannst du ja mal wenigstens über msconfig oder den taskmanager die Prozesse auslesen und hier schreiben, die bei dir laufen. Wenn du neu bootest, müsstest du danach erst mal alles außer explorer und systrey per taskmanager beenden können. das würde dann evtl einige "normale" Programme betreffen, die du laufen hast, aber das wäre ja wurscht, wenn man auch ein paar potentielle Schädlinge eliminiert. Also mal bis auf die beiden alles beenden und dann mal versuchen, eine internetverbindung aufzubauen. Ist aber nur ein Schuss isn Blaue, besser wäre es, du könntest irgendwe das erwähnte Hijackthis da zum laufen bringen.

Hi!

Nachdem ich zuerst nur im inet-cafe um die Ecke ins Netz konnte, ging es dann vorhin doch wieder ueber meinen Rechner. Hab mir dann das Antivir-Programm runtergeladen, das dann auch einen Schaedling ausfindig gemacht und geloescht hat. Im Moment scheint wieder alles zu laufen. Muchas gracias!

Zur Info der AntiVir-Report:

05.09.2004 17:35:04: AntiVir Guard 9x 6.27.0.4 (c) 1999-2004 H+BEDV Datentechnik GmbH
05.09.2004 17:35:05: AntiVir Guard 9x wurde gestartet.
05.09.2004 17:47:44: Die Datei "C:\WINDOWS\SYSTEM\MSDOH.DLL" ist infiziert mit dem Virus "TR/Dldr.Startpage"
05.09.2004 17:48:34: Die Datei wurde gel”scht.
05.09.2004 17:48:34: Der Zugriff wird nicht erlaubt.

Poste bitte trotzdem ein log von Hijackthis:

http://www.trojaner-board.de/51130-a...ijackthis.html

Im Log steht aber "Der Zugriff wird nicht erlaubt."?

Hier das frisch erstellte Hijackthis-Log. Kann damit selbst nicht viel anfangen. Waere fuer Ratschlaege dankbar - auch wenn der Rechner jetzt schon besser denn je zu laufen scheint.

gar nicht mehr verzweifelt, A. :party:

Logfile of HijackThis v1.98.2
Scan saved at 21.56, on 04-09-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\MIXERBAR.EXE
C:\WINDOWS\9X8START.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\IRXFER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\IOMEGA\TOOLS\IMGICON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\QUICKZIP\QUICKZIP.EXE
C:\WINDOWS\TEMP\QZTEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.europa.eu.int/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)
O2 - BHO: (no name) - {6B6C2F21-FAE0-11D8-9E8B-0002AFB8D32B} - C:\WINDOWS\SYSTEM\MSDOH.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [EctivaMixer] C:\WINDOWS\MIXERBAR.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] 9x8start.exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [AudioHQ] C:\PROGRAM FILES\CREATIVE\SBLIVE\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Iomega Watch.lnk = C:\Programme\Iomega\Tools\IOWATCH.EXE
O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Startup: Refresh.lnk = C:\Programme\Iomega\Tools\REFRESH.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.comundo.de/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = vipernet
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1,217.8.168.244
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O18 - Filter: text/html - {6B6C2F20-FAE0-11D8-9E8B-0002C0F476B0} - C:\WINDOWS\SYSTEM\MSDOH.DLL
O18 - Filter: text/plain - {6B6C2F20-FAE0-11D8-9E8B-0002C0F476B0} - C:\WINDOWS\SYSTEM\MSDOH.DLL

Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.europa.eu.int/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)
O2 - BHO: (no name) - {6B6C2F21-FAE0-11D8-9E8B-0002AFB8D32B} - C:\WINDOWS\SYSTEM\MSDOH.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.comundo.de/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O18 - Filter: text/html - {6B6C2F20-FAE0-11D8-9E8B-0002C0F476B0} - C:\WINDOWS\SYSTEM\MSDOH.DLL
O18 - Filter: text/plain - {6B6C2F20-FAE0-11D8-9E8B-0002C0F476B0} - C:\WINDOWS\SYSTEM\MSDOH.DLL

- mit eScan im abgesicherten Modus scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Danach IE 6 min. SP1 installieren
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Außerdem würde ich auch kazaa runterschmeißen, das enthält Ad- und Spyware, wenn schon, dann lieber Kazaa-Lite nehmen.