Nach Windowsstart-schwarzer Bildschirm oder Neustart!?

#1 Servus!!

Trotz einiger Anti-Viren und -Würmerprogramme(Antivir(gestern upgedated)),CWShredder,Spyboot,Ad-Aware,Hijackthis, kann ich seit gestern mit windows98 nicht mehr wirklich arbeiten.

Konnte einen Browser Hijcker erfolgreich mit cwshredder löschen, habe aber ebenfalls diesen A.2.Bridge-Befall!?
Hijackthis gibt diese log.Datei aus:


Logfile of HijackThis v1.97.7
Scan saved at 11:47:31, on 24.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISSERV.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\IAMAPP.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\TELEDAT 300 PCI\TDSLSTAT.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\t-online\BSW4\ONLINE.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [T-DSL Status] "C:\PROGRAMME\TELEDAT 300 PCI\TDSLSTAT.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich weiss, daß ich Wissensdefizite in diesem Bereich habe, aber ich wäre wirklich froh, wenn mir jemand helfen könnte......

Vielen Dank
MFG
Euer Bercht

#2 http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp
Zuerst aktualisierst du deinen IE . und machst die WindowsUpdates.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Da es sehr viele Varianten von Bridge gibt,(und das Log scheint sauber) mache einen Onlinescann
http://www.pestscan.com/Scan.asp

Lade e-scann(mwav.exe ), scanne alle Dateien und loesche manuell, was das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp

Dann lade den WebWasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

Poste dann, was gefunden wurde.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Servus!!

Ersteinmal vielen vielen Dank für Eure Tips!!!


Mein Windowssystem läuft nur noch,wenn ich kurz nach dem Start einige Anwendungen beende(hatte irgendeine OSA-Anwendung am Laufen/Office???).

Hatte mir die neuste IE-Version heruntergeladen, aber mit dem Neustarten ist das so ein Problem bei mir......und je öfter ich die RESET-Taste drücken muss, desto problematischer wird das Ganze.
Was könnte ich noch unternehmen, um mein Sytem zu retten????

Euer Bercht!!

ps.:Spyboot hatte bei mir vor dem Problem Einträge gefunden(DSO Exploit/Media Plex/Value Click)....und das immer wieder.
Über DSO hatte ich schon etwas im Netz gefunden, aber was hat es mit den anderen Einträgen auf sich???

MFG

#5 Lade e-scann(mwav.exe ), scanne alle Dateien und loesche manuell, was das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp

Was findet dieses Tool ??
Hole die Anwendungen, die du sonst nur ueber den Taskmanager beendest dauerhaft aus dem Autostart.
---------------------------------------------------------------------
Start<Ausfuehren<msconfig
Systemstart oder so, auf jeden Fall der letzte Reiter...(StartUp in Englisch)
Dort nimmst du das Haeckchen vor den Eintraegen, die raus sollen und startest neu.
Dann sind diese Programme bis zur naechsten Verwendung aus dem Autostart heraus.
MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#6 Danke....

E-scann hat einige Dateien gefunden,würde nur gerne wissen woher??

File C:\WINDOWS\JAVA\mysysinf.exe infected by "TrojanDownloader.Win32.Small.iu" Virus. Action Taken: File Deleted.
File C:\WINDOWS\TEMP\GL_8094.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Desktop\DivXPro503GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\CNOFOTSX\d.dialer2004[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\CNOFOTSX\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\86BHK6ED\cax[1].cab tagged as not-a-virusornWare.Dialer.OnlineDialer. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\61C9SHG3\fullgames[1].exe tagged as not-a-virusornWare.Dialer.Silence.d. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\4XY3K5U3\bridge[1].cab infected by "TrojanSpy.Win32.Briss.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\WL2JO1ER\d.dialer2004[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\A5UPQPA7\d.dialer2004[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.


Ihr seid echt spitze.....

Euer Bercht

#7 Leere die TemporaryInternetFiles und Cookies, unter InternetOptionen,so verschwinden:

File C:\WINDOWS\TEMP\GL_8094.EXE tagged
C:\WINDOWS\Temporary Internet Files\Content.IE5\CNOFOTSX\d.dialer2004[1].htm
C:\WINDOWS\Temporary Internet Files\Content.IE5\CNOFOTSX\MediaTicketsInstaller
C:\WINDOWS\Temporary Internet Files\Content.IE5\86BHK6ED\cax[1].cab
C:\WINDOWS\Temporary Internet Files\Content.IE5\61C9SHG3\fullgames[1].exe
C:\WINDOWS\Temporary Internet Files\Content.IE5\4XY3K5U3\bridge[1].cab
C:\WINDOWS\Temporary Internet Files\Content.IE5\WL2JO1ER\d.dialer2004
C:\WINDOWS\Temporary Internet Files\Content.IE5\A5UPQPA7\d.dialer2004[1].htm

Lade den ClearProg
http://www.clearprog.de/

Dann scannst du noch einmal mit dem e-scann und AdAware(free-version)...vor dem scannen updaten !
http://lavasoft.element5.com/german/support/download/

und suchst die exe zusaetzlich in Windows-Folder und der Registry
Alles loeschen!


Lade den Firefox als Zweitbroweser
http://firebird.stw.uni-duisburg.de/windows.php

Aktualisiere unbedingt deinen IE
http://www.microsoft.com/downloads/search.aspx?displaylang=de&categoryid=6
und mache unter Start<Programme<WindowsUpdate
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit