hand-book.com CWS Problem

#1 HI also ich hoffe ihr könnt mir hierbei mal helfen!Seit einiger zeit läuft mein PC im Internet nicht mehr richtig: wenn ich mich zum beispiel bei meiner email adresse anmelden will dauert es ziemelich lange bis die buchstaben die ich eingetippt habe auf dem monitor erscheinen und wenn ich scrollen will ruckelt es ziemlich! ICh habe vor ein paar tagen wein systemcheck gemacht und einen trojaner gefunden dadurch war das problem aber nicht gelöst obwohl ich dachte das es damit zusammen hängt!AUsserdem lädt mein pc die seiten nicht immer richtig wenn ich beispielsweise die URL www.gmx.de eingebe erscheint manchmal das "http://ehttp.cc/?www.gmx.de" und es öffnet sich eine site mit dieser überschrift "The page you have entered has failed to load.
Please try again or use following search favorites:"ICh hoffe ihr könnt mir sagen wie ich dieses Problem loswerde da ich nicht so viel ahnung von PCs habe wärs nett wenn ihr mir das möglichst einfach erklären könntet!! Ich weiss nicht ob ihr die nach folgenden sachen benötigt aber ich füge sie einfach mal hinzu! gehe mit T-DSL und inet explorer 6.0 online!HAbe WIN 98!ICh habe auch schon versucht t-online und explorer neu zu machen hat auch nix gebracht und will nicht formatieren!! und noch die hijackThis file:

Code

Logfile of HijackThis v1.97.7
Scan saved at 21:16:12, on 12.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\3DFX INTERACTIVE\3DFX TOOLS\APPS\3DFXMAN.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\T-Online\BSW3\ONLINE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\T-ONLINE\BSW3\TODUCALC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.430\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hand-book.com/hp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] C:\Programme\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Steam] "f:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
O4 - HKCU\..\RunOnce: [ICQ] F:\ICQ\ICQ.EXE -trayboot
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O19 - User stylesheet: C:\WINDOWS\my.css
O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)

ICh weiss gar nicht was das für ne site ist www.hand-book.com
hoffe ihr heöft mir und danke im vorraus!!

#2 Fixe dies:
O1 - Hosts: 66.118.163.109 auto.search.msn.com

Danach diesen Cleaner herunterladen: http://216.180.233.153/~merijn/files/CWShredder.exe
__________
MfG Ralf
SEO-Spam Hunter

#3 Super der großteil der probleme ist behoben und inet läuft wieder im normalen tempo!DAnke!!Nur die sache mit dem "http://EHTTP.CC/?www.gmx.de" ist noch nicht behoben!!WAs ist dieses "ehhtp" überhaupt ich hatte das vorher noch nie!!Hoffe dass du/ihr das auch noch lösen könnt!!Bis hierher schonmal vielen dank!!
jens

#4 Die "013"er Eintraege musst du noch loeschen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Alles klar jetzt läuft alles wieder vielen dank!!!!

#6 hallo

habe seit einiger zeit probleme mit meinem expl. er startet mit völlig unsinnigen seiten. meistens mit dem kürzel ehttp.cc// vor dem seiten namen.ich weiss leider nicht viel von comp. werde mir aber mühe geben alle ratschläge aus zu führen. ich bedanke mich schon mal bei allen die mir helfen werden.

gruss der sams
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.

#7 Poste mal ein hijackthis log.

#8 was heisst das nun schon wieder, bitte sprecht deutsch mit mir. leider bin ich des engl. nicht ausreichend mächtig. was soll ich tun?


amerika hatte gute presidenten- leider, alle tod.....
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.

#9 Du sollst dich hier schlau lesen! :

www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter

#10 hallo
jetzt bin ich um einiges schlauer, nur existiert bei mir keine 013 auch keinen hinweis auf verdächtige einträge. kann ich davon ausgehen das sich das problem von selbst gelöst hat? oder muss ich doch die notbremse ziehen und format c benutzen? ich scheue mich immer noch davor. möchte mich aber für die hilfe bedanken bei RAMAN.

schöne grüsse sams
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.

#11 Kopiere den Inhalt des Logs in eine Antwort von dir hier hinein, dann koenne wir dir mehr sage.
__________
MfG Ralf
SEO-Spam Hunter

#12 Logfile of HijackThis v1.97.7
Scan saved at 19:34:56, on 03.02.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\WINDOWS\SYSTEM\HPZTSB08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMME\KYE\GENIUS WIRELESS OPTICAL MOUSE\GNETMOUS.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\UPDATE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.841\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://googel.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\KYE\Genius Wireless Optical Mouse\gnetmous.exe
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/


ich hoffe ihr könnt etwas damit anfangen, für mich sind das nur böhmische dörfer. was ist "Rundll32.exe ", braucht man das? es taucht auch in meinem task manager auf.
ist das "O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe" ein win update das permanent läuft. kann man das auch abstellen? es nerft.

schöne grüsse sams
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.

#13 "fix" e bitte das:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = <3Cby-Kbxci1"E<3Yeh-h|xh~yhi-X_A-"lkkdadlyh~"ai"hidy}li#~k-zl~-cby
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe

und schicke die C:\WINDOWS\System\update.exe bitte an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

#14 danke raman, aber ich muß jetzt erstmal fragen was ist "fix" en? wie mache ich das? wo muß ich das ausführen? entschuldige bitte aber ich habe noch nicht sehr viel ahnund von der materie. warum soll ich das (C:\WINDOWS\System\update.exe) versenden?

gruß sams
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.

#15 fixen bedeutet du musst im hijachthis diese einträge anhaken und fixcheck drücken
die datei sollst du aus sicherheitsgründen an die jungs von rokop senden und die checken dann ob da noch was verdächtiges ist mit dieser datei eben

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)