win-eto als Startpage

#1 Guten Abend,
habe auch diesen Mist in der Registry. Es wäre nett wenn auch mir geholfen werden kann. Hier der aktuelle Auszug aus dem hijackthis. Mit Adaware und cwshredder bekommt man ds ja nicht weg! Vielen Dank!

Logfile of HijackThis v1.98.2
Scan saved at 23:46:59, on 15.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BANKING\HBREMIND.EXE
C:\WINDOWS\SYSTEM\R4SREXX0F3.EXE
C:\PROGRAM FILES\E-COLOR\TRUE INTERNET COLOR\TICICON.EXE
C:\PROGRAMME\T-COM\T-COM WLAN MANAGER T-SINUS 154DATA\INSTALLER\WINME\DTUSB11GMONITOR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
D:\DOWNLOAD\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\6KWI9R~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\SYSTEM\R4SREXX0F3.EXE
O4 - Startup: Direct Scan.lnk = C:\WINDOWS\TWAIN_32\A4S2_32\WATCH.exe
O4 - Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINME\DTUSB11GMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Microsoft® JavaScript® Console - {2DCCBAA4-766C-443E-A57A-EE97EF36AE4C} - C:\WINDOWS\SYSTEM\COMDLG32.OCX
O9 - Extra 'Tools' menuitem: JavaScript Console - {2DCCBAA4-766C-443E-A57A-EE97EF36AE4C} - C:\WINDOWS\SYSTEM\COMDLG32.OCX
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {2DCCBAA4-766C-443E-A57A-EE97EF36AE4C} - C:\WINDOWS\SYSTEM\COMDLG32.OCX (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {2DCCBAA4-766C-443E-A57A-EE97EF36AE4C} - C:\WINDOWS\SYSTEM\COMDLG32.OCX (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1
O21 - SSODL: eplrr - {103BDA60-16A0-4311-8B9C-432543FA6070} - C:\WINDOWS\SYSTEM\eplrr0.dll

#2 Hallo@SISSrom

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\6KWI9R~1.DLL
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\SYSTEM\R4SREXX0F3.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Direct Scan.lnk = C:\WINDOWS\TWAIN_32\A4S2_32\WATCH.exe
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O15 - Trusted Zone: *.greg-search.comO16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe e
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O21 - SSODL: eplrr - {103BDA60-16A0-4311-8B9C-432543FA6070} - C:\WINDOWS\SYSTEM\eplrr0.dll

PC neustarten

#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\SYSTEM\eplrr0.dll

wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no"
und fuege das naechste ein

C:\WINDOWS\SYSTEM\6KWI9R~1.DLL

wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no"
und fuege das naechste ein

C:\WINDOWS\SYSTEM\R4SREXX0F3.EXE
Erst beim letzten klickst du "yes" und startest den PC neu.

#loesche auch mit dem HijackThis:
<C:\Recycled\Q678340.exe

#Suche und loesche:
<wintbl32.ex
<ieloader.exe
.............................................................................................

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen

#Windows\Downloaded Programm Files löschen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es .

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

Lade das :
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.

Dann stelle eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @SISSRom

Diese beiden bitte nicht fixen
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

Da Windows ME

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Habe auch win-eto auf meinem PC.
Wer kann mir denn helfen? Bin blutiger Laie!!
Hier der Hijack Log-file:

Logfile of HijackThis v1.97.7
Scan saved at 00:31:31, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NECSSFW\WSWPD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\NECSSFW\WSTIMEB.EXE
C:\PROGRAM FILES\SONNETECH\COLORIFIC\HGCCTL95.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
C:\PROGRAMME\MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PALM\HOTSYNC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
F1 - win.ini: run=C:\NECSSFW\WSWPD.EXE
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.de"); (C:\Programme\Netscape\Users\a_gerhardus\prefs.js)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [Colorific Control Panel] C:\Program Files\Sonnetech\Colorific\hgcctl95.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [fmixe] gybqzxm.exe autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKLM\..\Run: [AWMON] "C:\PROGRAMME\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Reminder] C:\Programme\Money\System\reminder.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
O4 - Startup: ATISched.lnk = C:\ATI\ATIDESK\atisched.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20011004/qtinstall.info.apple.com/qt503/de/win/QuickTimeInstaller.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

#5 Hallo@gerharan

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

Deaktivieren Wiederherstellung
«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [fmixe] gybqzxm.exe autorun
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
C:\Windows\System\ieloader.dll
C:\WINDOWS\SYSTEM\gybqzxm.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.

Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

Deaktiviere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

klicke auf: awn2k3e.exe (escan)

____________________________________________________________________

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
Dann poste das neue Log noch mal (mit dem aktuellen HijackThis)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Liebe Sabina,
erstmal vielen Dank für Deine Meldung.
Ich bin aber leider schon bald stecken geblieben.
Ich habe die Hijack1.99 Beta Version aktiviert.
Nicht verstanden habe ich den 2. Abschnitt mit "Deaktivieren Wiederherstellung"
Ich benutze WIN 98. Hat das was zu bedeuten?
Jedenfalls habe ich ohne diesen Schritt dann in Hijack die von Dir angegebenen Eintrage gelöscht und den PC neugestartet. Beim nächsten Schritt zeigt er mir den Button "Delete a file on reboot" weiß! Läßt sich also nicht bedienen.
Wie gehe ich jetzt weiter vor?

Hier mal ein neuer Logfile, den ich jetzt nach den oben genannten Schritten erstellt habe:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 23:51:37, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NECSSFW\WSWPD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAM FILES\SONNETECH\COLORIFIC\HGCCTL95.EXE
C:\NECSSFW\WSTIMEB.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
C:\PROGRAMME\MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PALM\HOTSYNC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
F1 - win.ini: run=C:\NECSSFW\WSWPD.EXE
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.de"); (C:\Programme\Netscape\Users\a_gerhardus\prefs.js)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [Colorific Control Panel] C:\Program Files\Sonnetech\Colorific\hgcctl95.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AWMON] "C:\PROGRAMME\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Reminder] C:\Programme\Money\System\reminder.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
O4 - Startup: ATISched.lnk = C:\ATI\ATIDESK\atisched.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20011004/qtinstall.info.apple.com/qt503/de/win/QuickTimeInstaller.exe

Was ich dann auch noch nicht verstanden habe:
den Abschnitt der mit "Adding sites" beginnt, was gäbe es dort wie wann zu tun?
Thanks for help
Gruß Andreas

#7 Hallo@gerharan


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKCU\..\Run: [Reminder] C:\Programme\Money\System\reminder.exe
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE

NEUSTARTEN


HDCleaner
Im Cleancenter gibt es einige Möglichkeiten Windows-Einstellungen
und Logdateien direkt zu reinigen. Zum Beispiel den Cache und die
Cookies des Internet Explorers oder die Verlaufs-Ordner (Liste der
zuletzt aufgerufenen Internetseiten und Dokumente).
http://www.rhein-main.net/sixcms/list.php?page=fnp2_news_article&id=1352029

loesche:
C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
C:\WINDOWS\SYSTEM\H28CS5~1.DLL
-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz

Deaktiviere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe (escan)

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Liebe Sabina,
auf die Gefahr hin, daß ich Dir auf den Nerv gehe:
was ist der HDCleaner? was die Killbox?
die rhein-main-page habe ich nicht laden können.
Bis dahin habe ich die Schritte vollzogen.
Danke für die Hilfe.
Gruß Andreas

#9 Hallo@gerharan

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

Deaktiviere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe (escan)

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Guten Morgen!!
Habe alles im Sinne des letzten Eintrags durchgeführt.
Leider ist win-eto immer noch nicht verschwunden.
Kann ich eigentlich auch den ganzen Kram mit e-first löschen? Das war mal ne Bankverbindung.
Beim booten bekomme ich jetzt immer die Meldung "Hgcctl95 Anwendung wird aufgrund...geschlossen" :
HGCCTL95 verursachte einen Fehler durch eine ungültige Seite
in Modul HGCUTIL.DLL bei 016f:10004dc8.
Register:
EAX=002a001e CS=016f EIP=10004dc8 EFLGS=00010246
EBX=006aefce SS=0177 ESP=006aef10 EBP=006aef90
ECX=c1657bd0 DS=0177 ESI=00000000 FS=2a1f
EDX=000243a4 ES=0177 EDI=006af000 GS=0000
Bytes bei CS:EIP:
01 10 ff 15 b0 b2 01 10 b9 ff ff ff ff 2b c0 f2
Stapelwerte:
000243a4 bff288b0 bff3f948 7fcc29f7 00000177 006aefce 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000


Hier der neue Logfile.

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 03:15:39, on 03.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\NECSSFW\WSWPD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\NECSSFW\WSTIMEB.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PALM\HOTSYNC.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.addcom.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.addcom.de;<local>
F1 - win.ini: run=C:\NECSSFW\WSWPD.EXE
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.de"); (C:\Programme\Netscape\Users\a_gerhardus\prefs.js)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [Colorific Control Panel] C:\Program Files\Sonnetech\Colorific\hgcctl95.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
O4 - Startup: ATISched.lnk = C:\ATI\ATIDESK\atisched.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20011004/qtinstall.info.apple.com/qt503/de/win/QuickTimeInstaller.exe

Danke für die ganze Mühe
Andreas

#11 Hallo@gerharan

Der Trojaner Krepper ist noch aktiv...wie zuvor:

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\H28CS5~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab

PC neustarten

Loesche:
<C:\WINDOWS\SYSTEM\H28CS5~1.DLL
<C:\WINDOWS\SYSTEM\6Z293G7TXCGTHD.EXE
<C:\WINDOWS\SYSTEM\531JWOMX6JMMT1.EXE

Damit wir sehen, wo er sich alles breitgemacht hat , mache folgendes:
<Das eScan AV Toolkit(Erkennungstool) (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" suchen und draufklicken -->(automatisches Update ueber DOS)
ausführen.
den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

<Öffne [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Liebe Sabina,
mittlerweile, dh. nach dem Scan von gestern Nacht, startet weder MSMoney noch MS Word.
Bei Word-Start z.B. folgende Fehlermeldung:

WINWORD verursachte einen Fehler durch eine ungültige Seite
in Modul <Unbekannt> bei 0000:10004e47.
Register:
EAX=bff50000 CS=016f EIP=10004e47 EFLGS=00010286
EBX=0062d3fe SS=0177 ESP=0062d338 EBP=0062d3e0
ECX=c140f420 DS=0177 ESI=00000000 FS=612f
EDX=bffc9490 ES=0177 EDI=bff50000 GS=0000
Bytes bei CS:EIP:

Stapelwerte:
bff26613 bff50000 bff3f618 0062d3e0 fff4ab83 00000000 0062d3fe 00000000 bff267c2 00000001 83fc1a17 0062d426 0062d3fe bff26b3c 0062d3e0 83fc1a17

Word ist auch aus meinem Programmordner entschwunden.

Was kann ich tun? Den ganzen PC im Müll verklappen?
Ich kann auch keine Programme mehr schließen über die untere Leiste, solange ich noch im Netz bin.
Anscheinend sind bei der ganzen Scannerei ein paar wichtige Sachen flöten gegangen...

Macht es Sinn, erst mal wieder win 98 und das Office 2000 drüberlaufen zu lassen?
mfg Andreas

#13 Hallo@gerharan

Wenn die Viren sich in wichtigen Systemdateien festsetzen und diese dann geloescht werden..kann es dazu kommen (was du beschreibst) Ich kenne mich bei Win98 nicht so gut aus..keine Wiederherstellung moeglich usw. wie bei XP , aber es soll wohl die Moeglichkeit geben, zu reparieren. Allerdings waere eine Neuinstallation nach dem Krepperbefall wohl angebrachter als eine Reparatur ....
.
Das eScan-Tool (mwav.exe) loescht nicht....sondern zeigt nur an, was verseucht ist. Da du nicht scannst, kann ich auch nichts machen . Der Krepper ist nach wie vor aktiv....im Autostart und auch im IE ...und uebermittelt als Startseitentrojaner fleissig alle deine Aktivitaeten (Passworte und so weiter eingeschlossen)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit