Fehlermeldung: no modem found, Internetverbindung unterbrochen

#0
07.05.2004, 09:48
Member

Beiträge: 12
#1 Hallo!

Seit 3 Tagen bekomme ich in regelmäßigen Abständen (ca. 15min) die Fehlermeldung: no modem found
Die Fehlermeldung kommt unabhängig davon, ob ich online bin oder nicht.
Bin ich online und Die Meldung kommt, ist die Verbindung weg, aber ich kann mich sofort wieder einloggen.

Betriebssystem: XP
I-Net: T-DSL/externes Modem

Also die Kabel und Anschlüsse sind ok, das hab ich überprüft.
Nun kam mir der Gedanke, das es wohl irgend ein Program sein muss was dahinter steckt, wegen der Regelmäßigkeit des Problems. Also PC auf Dialer geprüft und diese entfernt. Die Netzwerkverbindungen sind auch ok, aber das Problem bleibt bestehen.

Ich wäre für einige gute Tips sehr dankbar, denn mir fällt nichts mehr ein.
Seitenanfang Seitenende
07.05.2004, 10:24
Moderator
Avatar joschi

Beiträge: 6466
#2 Evtl. mal das Modem tuschen (Freund, Bekannter) oder die Treiber für deine Netzwerkkarten neu installieren.
Gehe mal auf Arbeitsplatz=>r.Maus=>Verwalten=>Ereignisanzeige=>System(auch unter Anwendung schauen) und lese Dir die Fehlermeldungen durch, die mit deinem Problem zusammenhängen könnten.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.05.2004, 11:11
Member

Themenstarter

Beiträge: 12
#3 Modem tauschen fällt leider aus. Ich kenne keinen außer mir, der sich mit t-offline rumplagt.

In der Ereignisanzeige steht bei den zutreffenden Zeiten folgendes:


Remote Access "Die Verbindung mit TOSW-international-Settings, hergestellt durch den Benutzer "001168...............@t-online.de" unter Verwendung des Geräts, "PPPoE7-0" wurde getrennt.


Das ist für mich leider wenig aussagekräftig.


Irgendwie bin ich mir fast sicher, das dort irgendein Program läuft, was alle 15min das Modem anspricht und die Verbindung kappt. Nur welches das ist, finde ich nicht heraus.

Würde das etwas helfen, wenn ich hier die laufenden Prozesse mal hinschreibe. Mir sagen diese Prozesse nicht aus, aber vieleicht dir/euch.

Der Task-Manager zeigt auch etwas seltsames unter Netzwerk an. Wenn ich offline bin, dann steht dort:

LAN-Verbindung------Netzwerkauslastung 0%------Übertragungsrate 10MBit/s------in Betrieb-

Wenn ich online bin, dann läuft die oben genannte genau wie die hier:

WAN(PPP/Slip)Interface------Netzwerkauslastung 0%----------Übertragungsrate10MBit-----Verbindung hergestellt.


irgendwie sehe ich nicht mehr durch.
Dieser Beitrag wurde am 07.05.2004 um 11:51 Uhr von Cocci editiert.
Seitenanfang Seitenende
07.05.2004, 16:09
Moderator
Avatar joschi

Beiträge: 6466
#4 Oftmals liegt man mit der eigenen Eingebung nicht falsch.
Poste mal ein Hijack-Log. Das listet alle laufenden Prozesse auf.
Näheres dazu unter:Spyware & Browser Hijacker Support Forum
Poste bitte das komplette Log. Keine Auszüge.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.05.2004, 16:17
Member

Themenstarter

Beiträge: 12
#5 Verdammte Axt, das ist ne Menge Text.


Logfile of HijackThis v1.97.7
Scan saved at 16:16:25, on 07.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System\system.exe
C:\WINDOWS\system32\winproc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\mshta.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Andre\Eigene Dateien\tools-system\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=cr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://4-counter.com/?a=2&b=cr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.master-search.com/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=cr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.easysearch.cc/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.easysearch.cc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmeup.com/search.php?aid=1057
R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\PROGRA~1\Wyns\wyns.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\system32\winproc32.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00002/chm.chm::/files/initial.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B6A078B-21F0-45AD-BB09-3A20520334F9}: NameServer = 217.237.150.225 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
Seitenanfang Seitenende
07.05.2004, 16:40
Moderator
Avatar joschi

Beiträge: 6466
#6 Jede Menge los ;) .....

Zitat

O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\system32\winproc32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
---------------------------------------------
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=cr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://4-counter.com/?a=2&b=cr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.master-search.com/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=cr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.easysearch.cc/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.easysearch.cc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmeup.com/search.php?aid=1057
R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll
Die hier aufgezählten Einträge anhaken und "fix checked"-Button drücken.
Suche Dir das CWS-Tool und lasse es mal laufen. CWShredder.exe
http://www.spywareinfo.com/~merijn/downloads.html
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.05.2004, 17:00
Member

Themenstarter

Beiträge: 12
#7 Ok hab die markierten gelöscht und CWShredder.exe durchlaufen gelassen, dort kam dann dieser Report.

CWShredder v1.57.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Andre\Anwendungsdaten
Username: Andre

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL
Infected data: http://4-counter.com/?a=2&b=cr
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL
Infected data: http://4-counter.com/?a=2&b=cr
Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (25 bytes, R)
CWS.Winproc32 Registry value: HKCU\..\Run [Windows Internet Protocol] C:\WINDOWS\system32\winproc32.exe
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found CWS.Mupdate file: C:\WINDOWS\sys.reg (1509 bytes, A)
Found CWS.Smartsearch.2 file: c:\x.exe (2560 bytes, A)
Found CWS.Winproc32 file: C:\WINDOWS\system32\winproc32.exe (6114 bytes, A, running)
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (598 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (265 bytes, A)

- END OF REPORT -


Was fang ich jetzt damit an?


--------------------------------------
Nachtrag
--------------------------------------


Hab nochwas entdeckt, was mich vor neue Probleme stellt.

Unter Einstellungen---->Software hab ich ein Program entdeckt, welches "Instand Access" heißt. Das ist doch sicher ein Dialer oder?

Wollte es dann geich deinstallieren, aber es funzt nicht, denn sobald ich auf entfernen klicke, springt der INet-Explorer an.
Leider funktioniert die Suchfuktion meines PC´s auch nicht (fährt sich fest) und somit werde ich dieses "Instand Access" nicht los. Vieleicht ist dieses Program der Grund für die oben beschriebenen Probleme.

Ich bitte um Ratschläge.

mfg Cocci


-------------------------------
Nachtrag 2.
------------------------------

Ich habe mal das Fenster in dem die Fehlermeldung steht nicht geschlossen und nach weiteren 15 Minuten kam diese Meldung: "already running!!!" Wenn ich nun beide Fenster nicht schließe, dann kommt weiterhin alle 15Minuten die Meldung "already running!!!" Die I-Net Verbindung wird dann auch nicht mehr unterbrochen.

Was ist hier nur los?
Dieser Beitrag wurde am 08.05.2004 um 11:40 Uhr von Cocci editiert.
Seitenanfang Seitenende
08.05.2004, 14:34
Moderator
Avatar joschi

Beiträge: 6466
#8 Poste bitte mal dein aktuelles Log !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.05.2004, 14:53
Member

Themenstarter

Beiträge: 12
#9 Logfile of HijackThis v1.97.7
Scan saved at 14:51:09, on 08.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System\system.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Andre\Eigene Dateien\tools-system\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmeup.com/search.php?aid=1057
R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\PROGRA~1\Wyns\wyns.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe



mir ist noch was aufgefallen.

wenn ich das erste fenster offen lasse, dann habe ich bei den laufenden prozessen ein mal folgende exe: windial32.exe
lass ich das zweite fenster auch offen (erscheint 15 min später) hab ich diese exe zwei mal. also hab ich die exe bei windows gesucht und gelöscht. nur leider taucht sie immer wieder von allein auf und das problem ist nicht behoben.
eine weitere verdächtige exe ist wininet32.exe, bin mir aber nicht sicher ob ich die löschen soll. google sagt mir da auch nichts gescheites. spybot hab ich jetzt schon mehrmals drüber gelassen, aber es hilft nichts.
Seitenanfang Seitenende
08.05.2004, 15:06
Member
Avatar Dafra

Beiträge: 1122
#10 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmeup.com/search.php?aid=1057
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmeup.com/search.php?aid=1057
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmeup.com/search.php?aid=1057
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmeup.com/search.php?aid=1057
R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\PROGRA~1\Wyns\wyns.dll
O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe

Besorg dir mal einen Virenscanner ( www.free-av.de )
MFG
DAFRA
Seitenanfang Seitenende
08.05.2004, 15:10
Member

Themenstarter

Beiträge: 12
#11 Danke für den Tip, aber seit zwei Tagen tue ich fast nichts anderes mehr als alle möglichern Virenscanner und Spyscanner über mein Maschinchen laufen zu lassen. ;-)
Seitenanfang Seitenende
08.05.2004, 15:21
Moderator
Avatar joschi

Beiträge: 6466
#12 Führe mal aus, was ich am 07.05.2004, 16:40 geschrieben habe. (anhaken+fixen)
Zusätzlich noch:
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/

Anschließend : http://board.protecus.de/t9373.htm lesen und Schritte durchführen.
Reboot und noch ein Log posten. Wie schauts eigentlich mit nem Virenscanner aus ?? Keiner an Board ? www.freeav.de
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.05.2004, 16:38
Member

Themenstarter

Beiträge: 12
#13 Ok hab alles ausgeführt und mich gleich mal ein bissl mit der Hijack Anleitung befasst.

2 Einträge sind für mich auffällig im log.

O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess


Sind diese 2 Einträge sauber oder nicht? Vor allem dieser Instand Access ist doch seltsam. Der befindet sich auch bei mir in der Task-Leiste und unter Systemseuerung-Software auch. Lässt sich dort aber nicht löschen.
Seitenanfang Seitenende
08.05.2004, 17:54
Moderator
Avatar joschi

Beiträge: 6466
#14 Du musst schon lesen, was ich schreibe...:
siehe => 07.05.2004, 16:40
Ich zähle keine Vermutungen auf, sondern Einträge, die Du definitiv entfernen kannst.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.05.2004, 17:59
Member

Themenstarter

Beiträge: 12
#15 Das habe ich getan, ich habe genau das ausgeführt was du am 7.5 16.40 geschrieben hast. Anscließend hab ich alles getan, was http://board.protecus.de/t9373.htm dort steht.

Danach hab ich selbst nochmal Hijack ausgeführt und dann die Einträge gefunden, die ich gepostet habe.

PS. Wenn ich windial32.exe aus dem windows Ordner manuell lösche ist das Problem übrigens verschwunden, bis ich den Rechner neu starte und ins I-Net gehe, dann kommt die Meldung "no modem found" wieder und windial32.exe ist wieder im Ordner. Keine Ahnung ob das irgendwie weiter hilft.
Dieser Beitrag wurde am 08.05.2004 um 18:06 Uhr von Cocci editiert.
Seitenanfang Seitenende