Probleme mit T-Online-Software nach intel32.exe+PSGuard.exe

#0
21.07.2005, 21:18
...neu hier

Beiträge: 7
#1 Erst einmal grüße ich alle hier sehr herzlich, denn ich bin brandneu (*brandheiß, na-gel-neu*) hier im Forum!

Und nun zum Eigentlichen: Nachdem ich mir am Sonntag einen Trojaner namens "intel32.exe" eingefangen und sich darauf auch noch unbemerkt eine Malware namens "PSGuard.exe" installiert und aktiviert hatte, begann ich diese beiden fiesen Programme zu bekämpfen. Dank gütiger Hilfe von Könnern habe ich es gestern letztlich dann geschafft, zumindest dieses Problem zu beheben. Doch es sind Nachwirkungen festzustellen:

Fehlermeldung bei T-Online:
Die Adresse des T-Online "Classic Gate" Servers konnte nicht ermittelt werden (R66, Funktion:519, DNS-Winsock-Fehler:10055). Und zum T-Online-Mailserver kommt auch keine Verbindung zustande (Fehler:0).

Beim Öffnen der discountsurfer.exe kommt mal die sofortige Fehlermeldung

Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen. Wenden Sie sich an den Hersteller ...

Details:

_DISCOUNTSURFER verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 016f:bff88396.
Register:
EAX=c00309c4 CS=016f EIP=bff88396 EFLGS=00010202
EBX=017dffec SS=0177 ESP=014dff04 EBP=014e007c
ECX=00000000 DS=0177 ESI=00000000 FS=35cf
EDX=bff76855 ES=0177 EDI=bff79060 GS=0000
Bytes bei CS:EIP:
53 56 57 8b 75 10 8b 38 33 db 85 f6 75 2d 8d b5
Stapelwerte:

Allerdings funktioniert die Software (discountsurfer.exe) dennoch, wenn ich diese Meldung ignoriere (also nicht wegklicke, sonst schließt (natürlich) das Programm auch). Und selbst diese Fehlermeldung kommt NICHT jedesmal, wenn ich das Programm öffne, aber meist! Ich gebe mal das letzte hijackthis-logfile von gestern Nachmittag an:

Logfile of HijackThis <http://www.majorgeeks.com/download3155.html> v1.99.1
Scan saved at 15:37:22, on 20.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\FPDISP5A.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\EVNTSVC.EXE
C:\PROGRAMME\DAYDISPLAY\DAYDISPLAY.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\FOLDERS\FOLDERS.EXE
C:\PROGRAMME\IFINGER\IFINGER.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = <http://clearsurfing.net/srch.php?qq=%s>
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot <http://www.pctip.ch/downloads/dl/25550.asp> - Search & Destroy\SDHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\PROGRAMME\IFINGER\IFINGERBHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [DayDisplay] C:\PROGRAMME\DAYDISPLAY\DAYDISPLAY.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot <http://www.pctip.ch/downloads/dl/25550.asp> - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [DayDisplay] C:\PROGRAMME\DAYDISPLAY\DAYDISPLAY.EXE
O4 - HKCU\..\RunServices: [SpybotSD TeaTimer] C:\Programme\Spybot <http://www.pctip.ch/downloads/dl/25550.asp> - Search & Destroy\TeaTimer.exe
O4 - Startup: Folders.lnk = C:\Programme\Folders\FOLDERS.EXE
O4 - Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Yahoo! Search - <file:///C:\Programme\Yahoo!\Common/ycsrch.htm>
O8 - Extra context menu item: Yahoo! Dictionary - <file:///C:\Programme\Yahoo!\Common/ycdict.htm>
O8 - Extra context menu item: &Anonymization - C:\WINDOWS\SYSTEM\sys32.htm
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMPANION\MODULES\MESSMOD2\V4\YHEXBMES.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMPANION\MODULES\MESSMOD2\V4\YHEXBMES.DLL
O9 - Extra button: Anonymization.Net - {8B466019-1E6E-4552-A096-7C0A2876E50E} - C:\WINDOWS\SYSTEM\shdocvw.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - <http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab>
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - <http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll>
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - <http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab>

Ich hoffe sehr, daß mir jemand helfen kann. Die von T-Online zum Beispiel haben mich mit einer allgemein gehaltenen Mail abgespeist (die haben sich sicherlich noch nicht einmal die Mühe gemacht, die ganzen mitgesandten Daten und Fakten zu studieren, um eine Lösung des Problems zu finden), die wertlos ist. Ich kann online gehen mit der T-Online-Software, nur das T-Online "Classic Gate" und den Mailserver kann ich nicht erreichen. Irgendetwas muß mit den Parametern geschehen sein, doch weiß ich nicht was. Die Software ist auf dem aktuellsten Stand, es kann also nicht an so etwas liegen, außerdem ist der Zusammenhang zu Sonntag nur allzu offensichtlich ...

Liebe Grüße,

Micha[/i]
Seitenanfang Seitenende
22.07.2005, 21:37
Member
Avatar Yourhighness

Beiträge: 279
#2 Hi!

Fixe bitte folgendes:

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

NEUSTART

++++++++++++++++++++++++++

Nenne mir mal alle Dateien die auf der linken- bzw. rechten Seite stehen:
http://virus-protect.org/lspfix.html

++++++++++++++++++++++++++

Eventl deinstalliere mal das TCP/IP Protocol und installiere es wieder...
Yourhighness Referenz

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
22.07.2005, 22:00
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo, Yourhigness!

Außerordentlich herzlichen Dank schon mal für Deine Mühe, mir zu helfen. Da ich nicht ganz so bewandert sein dürfte wie Du, würde ich gerne noch wissen, wie ich denn das TCP/IP-Protocoll deinstallieren bzw. wieder installieren kann! Und außerdem noch: Dieses O15 - fixe ich das a) mit dem Programm hijackthis.exe und falls so im abgesicherten Modus? Und den anschließenden Neustart auch wieder im abgesicherten Modus oder ganz normales Hochfahren des PC? Und wie gehe ich da vor (Zitat!):
Nenne mir mal alle Dateien die auf der linken- bzw. rechten Seite stehen:
http://virus-protect.org/lspfix.html
Und was soll ich mit diese Site genau machen: Yourhighness Referenz (http://www.compu-docs.com/winsock9x.htm)?

Sorry für die vielen (Nach)Fragen, aber ich möchte nichts falsch machen.

Ganz lieben Gruß,

der moti :-)
Seitenanfang Seitenende
22.07.2005, 22:11
Member
Avatar Yourhighness

Beiträge: 279
#4 Hi!

1) Ja, mit HJT

2) Da ist ein Link zum laden von lspfix. Installiere es und dann kommt ein bild, wie auf der www Seite. Nenne mir Dateien links und rechts davon

3) Der Link ist für mich --> referenz YOURHIGHNESS falls ich es noch verwenden will.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
22.07.2005, 22:53
...neu hier

Themenstarter

Beiträge: 7
#5 Hi, Yourhighness! :-)

Nun denn: Ich habe getan wie mir "befohlen" (besser: EMpfohlen) und habe nach dem Öffnen des Programms LSP-Fix die folgenden Dateien im Blick:

links:
rnr20.dll
mswsosp.dll
msafd.dll
rsvpsp.dll

rechts: leer

Ich habe lediglich das Programm installiert (auf dem Desktop) und geöffnet. Ist das richtig so oder hätte ich noch irgendetwas Bestimmtes mit dem Programm machen sollen? (kommt mir so leer vor, speziell die rechte Seite, nicht wahr?!)

Also dann: Ich harre gebannt der Dinge, die da noch kommen mögen ... :-)

Lieben Gruß vom Micha (dem alten moti) ;-)
Seitenanfang Seitenende
23.07.2005, 09:11
Member
Avatar Yourhighness

Beiträge: 279
#6 Hi!

Also, das war alles richtig so. Wäre eine ungewollte Datei auf der linken Seite befinden, hätte ich dich gebeten diese auf die rechte Seite zu bringen...

Der Link erklärt wie man das TCP/IP löscht und wieder installiert, ist aber auf Englisch.

Hier eine Deutsche Erklärung von MS:
http://support.microsoft.com/default.aspx?scid=kb;de;d44381

Zitat

http://www2.service.t-online.de/dyn/c/21/82/67/2182676.html

Windows 98/ME:
Klicken Sie bitte in Windows auf "Start / Einstellungen / Systemsteuerung / Netzwerk". Markieren Sie auf dem Reiter "Konfiguration" den Punkt "TCP/IP > DFÜ-Adapter" (sofern vorhanden) und klicken Sie auf <Entfernen>. Falls noch weitere TCP/IP-Bindungen wie "TCP/IP > ..." aufgelistet sind, entfernen Sie bitte auch diese. Klicken Sie anschließend bitte auf <OK> und starten Sie Ihren Rechner neu.

Klicken Sie bitte in Windows auf "Start / Einstellungen / Systemsteuerung / Netzwerk" und klicken Sie auf dem Reiter "Konfiguration" auf <Hinzufügen>.
Im folgenden Fenster markieren Sie bitte "Protokoll" und klicken auf <Hinzufügen'>. Im Fenster "Netzwerkprotokoll auswählen" wählen Sie unter "Hersteller" bitte "Microsoft" aus und anschließend unter "Netzwerkprotokoll" "TCP/IP". Bestätigen Sie jetzt bitte mit <OK>, schließen Sie die "Systemsteuerung" und starten Sie Ihren Rechner ein weiteres Mal neu.
MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 23.07.2005 um 09:15 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
23.07.2005, 12:29
...neu hier

Themenstarter

Beiträge: 7
#7 Hallo, Yourhighness!

Ich danke Dir nochmals sehr herzlich für Deine konkrete Hilfe. Ich werde dann mal die TCP/IP de- bzw. reinstallieren. Ich hoffe sehr, daß sich dann die Probleme behoben haben werden.

Tausend Dank und liebe Grüße,

Micha :-)
Seitenanfang Seitenende
23.07.2005, 21:02
Member
Avatar Yourhighness

Beiträge: 279
#8

Zitat

Von moti_special
Datum Heute, 19:03
An Yourhighness
Betreff Ich verzweifle ...
Optionen Antworten || Zitatantwort || Weiterleiten || Löschen
Hallo, Yourhighness!

Leider hat sich nach all den Versuchen und der Plackerei letztlich NICHTS verändert an meinen Problemen. :-(

Kannst Du mir nicht doch noch helfen (oder kennst Du nicht jemanden, der mindestens soviel Ahnung von solchen Dingen hat wie Du?)? Und nochmal zur Info: Ich habe Win98 (Dein Tip mit T-Online letztens (siehe weiter oben in Deinen Beiträgen an mich!) hat für mich leider nicht die Bedeutung, da ich die T-Online-Version 3.021 (und NICHT 5.*) habe.

Fehlermeldung beim discountsurfer beim sofortigen Öffnen der Software (bei der Initialisierung!):

_DISCOUNTSURFER verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 016f:bff98adb.
Register:
EAX=00000001 CS=016f EIP=bff98adb EFLGS=00010246
EBX=00000010 SS=0177 ESP=017dff88 EBP=017dffcc
ECX=392071e0 DS=0177 ESI=0066080c FS=1977
EDX=816b6bd8 ES=0177 EDI=00557740 GS=0000
Bytes bei CS:EIP:
89 b4 8a 90 00 00 00 5f 5e 5b c2 04 00 56 a1 e0
Stapelwerte:
816b6bd8 816c0418 81699920 bff87caa 816c0418 00000008 bff88f1a 816b6bd8 00000008 81699920 00000007 017dffa4 017dfdb8 ffffffff bffc05b4 bff79050

Trotzdem kann ich durch bloßes Ignorieren (also NICHTSTUN!) dennoch ganz normal surfen! Nur stört diese Fehlermeldung halt sehr.

Und zu T-Online noch:

Fehlermeldung bei T-Online:
Die Adresse des T-Online "Classic Gate" Servers konnte nicht ermittelt werden (R66, Funktion:519, DNS-Winsock-Fehler:10055). Und zum T-Online-Mailserver kommt auch keine Verbindung zustande (Fehler:0).
Hi! Also ich habe folgendes gefunden:

Zitat

Fehlerbeschreibung
R 66 Classic Zugang funktioniert nicht T-DSL/TOSW 3.0

Bei der Einwahl zu T-Online Classic erscheint die Meldung: Die Adresse des T-Online "Classic Gate" Servers konnte nicht ermittelt werden (R 66, Funktion 780, DNS-Winsock-Fehler: 1100X (variabel)

Prüfen und korrigieren Sie bei Intranet Betrieb die Angabe des SOCKS-Firewallnamens oder des DNS-Servers in den "Netzwerk-" und dann "TCP-Protokoll-Eigenschaften".
Wiederholen Sie die Anwahl.

Bei der Einwahl über eine bestehende Verbindung auf den CEPT-Port wird dieser Fehler ausgelöst.

Vereinzelt tritt der Fehler auf wenn Frontpage inklusive Personal Webserver oder die Internetverbindungsfreigabe von Win 98 installiert ist. Um in diesen Fällen den Fehler zu beheben gibt es derzeit 2 Möglichkeiten:

a;) Der Netzwerkkarte darf die IP-Adresse 192.168.0.1 nicht vergeben sein, ggf. ändern unter "Systemsteuerung/Netzwerk/TCP/IP Netzwerkkarte" z.B. 192.168.1.1

b;) Frontpage, Personal Webserver oder die Internetverbindungsfreigabe deinstallieren und vor der Neuinstallation der Netzwerkkarte eine feste IP-Adresse vergeben.

Sollte keine Lösung zutreffen, gibt es nur die Möglichkeit den Rechner zu formatieren und entsprechendes Programm oder Windowserweiterung nicht mehr zu installieren.

Quelle: http://www.erbze.de/dsl/r_fehlerbeschreibung.htm
Ausserdem würde ich mal dieses Discountsurfer deinstallieren und neuinstallieren, da es ja den Fehler verursacht!

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
23.07.2005, 21:52
...neu hier

Themenstarter

Beiträge: 7
#9 Hallo, Yourhighness!

Lieben Dank für Deinen Eintrag.

Nein, leider hilft mir das mit T-Online nicht (siehe MEINE Fehlermeldung zum Vergleich!). Und auch den discountsurfer haber ich schon mehr als dreimal de- und wieder installiert. Das hat am Problem nichts geändert. Inzwischen habe ich die T-Online-Software zum x-ten Male reinstalliert und beim letzten Mal habe ich sogar - in meiner Verzweiflung - beim Setup der Software neuere Dateien durch ältere ersetzen lassen (keine Ahnung, welche es waren), die auf der CD-ROM waren - ohne Wirkung. Ich ahne nichts Gutes ...

Kennst Du niemanden, der mir vielleicht noch helfen könnte?! Ich bin fertig mit den Nerven, wo ich doch UNBEDINGT das T-Online "Classic Gate" benötige, um Bankgeschäfte zu erledigen.

Trotzdem nochmals lieben Dank,

Micha
Seitenanfang Seitenende
23.07.2005, 22:47
Member
Avatar Yourhighness

Beiträge: 279
#10 Sorry, aber mir gehen die Ideen aus. Ich kenne leider die Software nicht...

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
23.07.2005, 23:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Wie haben die"Könnern"das Problem mit PSguard gelöst?
__________
MfG Argus
Seitenanfang Seitenende
24.07.2005, 00:10
...neu hier

Themenstarter

Beiträge: 7
#12 Hallo, Yourhighness!

Ich danke Dir trotzdem wirklich sehr für Deine Mühe. Ich verzweifle auch und muß schauen, ob ich jemanden finden kann, der mir entscheidend weiterhelfen kann.

Hallo, Arnold!

Mir haben Leute Tips für Programme gegeben, mit denen man eben solche Spyware, Malware und Trojaner aufspüren und beseitigen kann. Ich selbst war durch Unachtsamkeit so doof und habe sogar im ersten "Moment" das "Programm" (PSGuard.exe) auch noch "bedient"! Wahrscheinlich deshalb sind mir nun diese riesigen Probleme entstanden, die ich kaum noch beheben kann. Hätte ich einen Brenner (oder zumindest einen USB-Anschluß) - ich könnte relativ schmerzarm einfach komplett neuinstallieren (also alles), aber so ... :-(

Gruß,

Micha
Seitenanfang Seitenende
24.07.2005, 09:16
Member
Avatar Yourhighness

Beiträge: 279
#13 Morgen!

Das einzige, was mir jetzt am frühen Morgen einfällt, was wir noch machen können um zu sehen, ob deine Freunde das alles wegbekommen haben, wäre der Escancheck: http://virus-protect.org/escan.html. Vll hab ich ja was übersehen und Arnold fällt noch wat ein.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
24.07.2005, 14:14
...neu hier

Themenstarter

Beiträge: 7
#14 Guten Tag, Yourhighness!

Sehr freundlich von Dir, weiter an mich zu denken. Ich checke mal ab, was es mit diesem Programm auf sich hat und werde mich dann wieder melden.

Liebe Grüße,

Micha
Seitenanfang Seitenende