Computerhilfen.de Logo
Forum
Tipps
News

Hilfe! Dauernd öffnen sich Internet Seiten! Ich glaub der Int. Explorer spinnt!

Hallo! ???
Seit gestern hab ich Streß im Internet!  :P Wenn ich mit dem Internet Explorer mich einlogge, scheint zunächst alles normal! War gestern viel in ebay. Wenn ich Artikel anklicke, verändert sich zum einen die Seite! Die Schrift wird breiter, alles rote wird grün! Klicke ich dann auf ZURÜCK, öffnet sich dauernd eine "about blanck" Seite meist öffnet sich google.com mit irgendwelchen Suchbegriffen! Manchmal sind`s auch Reiseangebote oder sonstiger Müll! Meist halt google!! Wenn ich andere Seiten (nicht ebay) öffne, und auf die Zurück-Taste klicke passiert das gleiche! Ich hab echt keine Ahnung was da los ist! T-online meinte ich soll den T-Online Browser benutzen! Siehe da, da hab ich das Problem nicht! Da wird der Müll anscheinend abgeblockt! Warum nur im Internet-Explorer??  ??? Habe gestern mit Antivir einen Checkup gemacht! Er hat einen Virus beseitigt! Aber das Problem war heute immer noch da! Dann hab ich mich so`n bisschen durchgelesen und den Online-Scanner (F-Secure)wie hier beschrieben mal durchlaufen lassen. Siehe da er wurde auch fündig! Alexa spyware, Possible Browser Jijack attempt, SearchFast spyware, Tracking Cookie spyware, Zango spyware, W32/Smalldoor.GRU VIRUS!!!!  >:(
Bin blond und hab nicht wirklich viel Ahnung von der tieferen Materie eines PC`s !! ::);D
Wer kann mir helfen?!? Sind diese Bedrohungen denn nun auch weg die bei F-Secure aufgetaucht sind? Hab zumindest alle Schritte befolgt und den PC danach neu hochgefahren! Problem mit dem Internet Explorer hab ich trotzdem noch!!  >:(
Hab im TaskMenager einige exe Dateien die mir komisch vorkamen in google mal reingesetzt, aber waren bisher alle harmlos!
Vielleicht weiss ja einer von Euch wie ich die Kiste wieder anständig ans laufen bekomme!Die ist im Internet Explorer voll langsam! Helft mir wie ich denn ganzen Müll runterschmeissen und löschen kann, ich hab da nicht so viel Ahnung!  ::)

Danke auf jedenfall für Eure Hilfe!!!  :-*



Logfile of HijackThis v1.99.1
Scan saved at 00:17:54, on 07.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINNT\System32\HPHipm11.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\PROGRA~1\MICROS~2\OFFICE10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinAce\winace.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/c19hyzNoRO4-YJDdod-D.chm::/on.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C90C5D2-41C2-4F6C-9BE8-CE1FCB7208CD}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINNT\System32\HPHipm11.exe



Antworten zu Hilfe! Dauernd öffnen sich Internet Seiten! Ich glaub der Int. Explorer spinnt!:

Dumm gelaufen !
Die folgenden Datei sollte unbedingt gelöscht werden:
C:\WINNT\system32\ipv6mons.dll
Von der Malware werden Benutzernamen, Passwörter, Kreditkartennummern, etc. ausspähen und weitergeleitet, schwerpunktmäßig Daten von Postbankkunden !

Und dies könnte noch ein Wurm sein:
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/c19hyzNoRO4-YJDdod-D.chm::/o n.exe

Teste die Datei einfach hiermit mit auf Malware.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Beide kostenlose Dienste verbinden bei einen Scan verschiedene Programme der Antivirushersteller. Wird dabei Malware gefunden, dann poste das Ergebnis hier.

Verwende das Programm Killbox um ggf. die o.g. Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Sollte zur Kontrolle auch noch eine Überprüfung mit den kostenlosen Online-Scanner vorgenommen werden. Für einen schnellen Check des kompletten Systems bieten diese Online-Scanner gute Dienste.
Übrigens, alle laufen nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Ewido Online Scanner
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
(Gut bei der Spyware / Adware Erkennung und Beseitigung –
Eventuellen Meldungen von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Erstellen auch ein neues HijackThis-Log und dieses hier zu posten.

Hallo! :D
Vielen Dank für die Infos! Hab das jetzt mal alles so der Reihe nach gemacht!
Als erstes hab ich mir die Killbox   8) runtergeladen und diesen ersten Mistkerl dadurch gejagt!!  >:(  Dann hab ich diesen evtl. Virus bei jotti durchgescant:


The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
 

Kann nicht wirklich sagen ob das jetzt gut oder schlecht für mich ist!! Mein Englisch ist grotten schlecht!

Danach hab ich meinen PC noch mal online bei ewido durchleuchten lassen!
Hier das Ergebnis: :o


ewido anti-spyware online scanner
   http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@adopt.euroclick[2].txt
Risk: Medium

Name: TrackingCookie.Quarterserver
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@ads-205.quarterserver[1].txt
Risk: Medium

Name: TrackingCookie.Planetactive
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@ads.planetactive[2].txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@adtech[2].txt
Risk: Medium

Name: TrackingCookie.Adviva
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@adviva[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@as1.falkag[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Cookies\frank schäfer@tribalfusion[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@2o7[2].txt
Risk: Medium

Name: TrackingCookie.Planetactive
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@ads.planetactive[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Bfast
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@bfast[1].txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@cz6.clickzs[1].txt
Risk: Medium

Name: TrackingCookie.Dbbsrv
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@dbbsrv[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@doubleclick[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@komtrack[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@mediaplex[2].txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@questionmarket[2].txt
Risk: Medium

Name: TrackingCookie.Esomniture
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@stats.esomniture[2].txt
Risk: Medium

Name: TrackingCookie.Clickzs
Path: C:\Dokumente und Einstellungen\Frank Schäfer\Lokale Einstellungen\Temp\Cookies\frank schäfer@vip.clickzs[2].txt
Risk: Medium

Name: Adware.Trymedia
Path: C:\Programme\LuxorAR_Setup-dm.exe
Risk: Medium

Name: Trojan.Bambo.Hosts.A
Path: C:\WINNT\system32\drivers\etc\HOSTS.bak
Risk: High

Dieses Schwein von Trojaner hab ich dann gleich noch mal durch die Killbox gescheucht!  >:(

Mein anschließender 2. Scan bei ewido war dann ohne Ergebnis!!!
Hoffe ich hab das jetzt alles soweit richtig gemacht! Und mein PC ist wieder sauber!

Gruß Sandra
(schick den Rest auf der zweiten Antwort da die 10000 Zeichen sonst erreicht sind!!)

Ach ja noch was! Wenn ich bei Computerhilfen.de bin fängt mein PC immer an zu piepen! Warnung !

C.Dokumente und Einstellungen\...\index(2).HTM

Enthält Signatur des HTML Scriptvirus HTML/Explort.Mhtml

Mein Compi fragt dann immer blockieren löschen etc ? Könnt Ihr damit was anfangen?? Das macht er erst seit heute!!!  Soll ich auf löschen gehen??

So zum Abschluss noch meinen Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10:31:01, on 07.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\System32\hphmon04.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINNT\System32\HPHipm11.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\MICROS~2\OFFICE10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\Programme\WinAce\winace.exe
C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/c19hyzNoRO4-YJDdod-D.chm::/on.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C90C5D2-41C2-4F6C-9BE8-CE1FCB7208CD}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINNT\System32\HPHipm11.exe

Hier ich noch mal!!!
Das eifelschaf!!! ;D

Antwort Teil 2

Übrigens: War gerade über dem Internet Explorer im Netz!!!   :D
War wieder alles ganz normal!!  ;D  Keine fremden Seiten und auch keine Seitenänderungen!!! Suuuuuupi!!!!!! ;D;D;D
Schaut bitte trotzdem noch mal meinen hijack durch! Nicht das sich da doch noch son Schwein versteckt hat! ???

Vielen Dank für die super Hilfe!!! Wäre sonst echt aufgeschmissen! Danke auch für die super und einfache Erklärung!! So kann selbst ein Blondchen wie ich so was regeln!!!   :-*  ;D  :-*  ;D
Danke!
Liebe Grüße
Sandra

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Macht doch mal selber ???
Nur so zur Übung ...  ;D
HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Eine Index(2).htm kann nicht von Computerhilfen stammen - wir nutzen eine solche Datei nicht. Undere index-Seite heisst "start.php" oder "start.html" die Foren-Übersicht noch "index.php". Ich würde sie also auf jedenfall löschen!

Gruß
Martin

Hallo,
enthält die Signatur des HTML-Scriptvirus "HTML Exploid.Mhtml

So sieht die Meldung von Antivir aus,wenn man hier auf einen Beitrag antworten will.Beliebig reproduzierbar.
Antivir mit den neuesten Signaturen.

C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
Wie nun ? Frank oder Sandra ?.....
Dein Hijackthis steht falsch.Es muß nach C :Hijackthis/...
Du hast es im Temporärordner ,wenn du da was löscht und es falsch war ist eine Wiederherstellun unmöglich.Also vorsicht !
Such e und lade dir "Adaware personal" "Spybot Search &Destroy" "Ewido Security Suite" nimm es von den jeweiligen Originalseiten.Lasse alle drei Updaten.Gehe in den "abgesicherten Modus"(beim Compi anschalten F8 gedrückt halten)Lasse nacheinander alle drei Proggis laufen,lösche was immer angezeigt wird.
Berichte was gefunden wurde.Danach gehts weiter....
Sir Reklov

Hi Sandra,
fixe noch mit HijackThis diese Einträge:
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing)

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/c19hyzNoRO4-YJDdod-D.chm::/o n.exe

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

Als nächstes müsste unbedingt der Internet Explorer aktualisiert werden.
Aufgrund von Sicherheitslücken könnte er für die aktuellen Infektionen Mitverantwortlich sein.

Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner:
http://www.ccleaner.com/ccdownload.asp

Ändere unbedingt auch alle Passwörter auf dem PC und im Internet !
Zur Kontrolle scanne den PC erneut mit dem Online Scanner von F-Secure.


Tipp:
Verwende anstelle des Internet Explorer am besten den kostenlosen Browser Firefox:
http://www.chip.de/downloads/c1_downloads_13012430.html
Er schneller, komfortabler und im jeden Fall auch Sicherer !

hallöchen!
Also, hab die beiden Einträge mit HijackThis gefixt, hab mit ccleaner alles aufgeräumt, den Ordner HijackThis hab ich an den richtigen Ort gestellt (übrigens ist Frank mein Mann). Mit den drei Updates im gesicherten Modus komm ich nicht klar! Keine Ahnung ob ich das richtige gefunden habe und wie das alles geht! (doch blond) Das piepen ist nach wie vor! Auch wenn ich`s lösche, kommt es beim nächsten mal wieder! Weis nicht was das ist!HijackThis incl Auswertung hab ich auch gemacht! Danke für den Tipp! Zum Abschluß hab ich den F-secure noch mal laufen lassen! Er hat wieder 5 malware gefunden und immer noch diesen Virus W32/Smalldoor.GRU
Hier das Ergebnis:

Result: 5 malware found
Tracking Cookie (spyware)
System (Disinfected)
System
System
W32/Smalldoor.GRU (virus)
C:\PROGRAMME\RNGINTERSTITIAL.DLL (Submitted)
C:\PROGRAMME\REAL\REALGAMES\RNGINTERSTITIAL.DLL (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 16164
System: 3727
Not scanned: 3
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 4
Submitted: 2
Files not scanned:
C:\PAGEFILE.SYS
C:\WINNT\SYSTEM32\CONFIG\DEFAULT
C:\DOKUMENTE UND EINSTELLUNGEN\FRANK SCHäFER\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\OUTLOOK\OUTLOOK.PST

Ewido Online-Scan hat diesmal nicht geklappt! ??
Mein Compi bzw. Internet Explorer ist weiterhin OK! Aber wie bekomm ich diesen Virus weg?? Was macht der vorallem??

Danke weiterhin für Eure Hilfe!
Gruß
Sandra


Logfile of HijackThis v1.99.1
Scan saved at 16:46:30, on 07.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINNT\System32\HPHipm11.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\MICROS~2\OFFICE10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\Programme\WinAce\winace.exe
C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162904392984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C90C5D2-41C2-4F6C-9BE8-CE1FCB7208CD}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINNT\System32\HPHipm11.exe

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sieht alles OK aus , werte mal selber aus :
HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

Danach:
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan machen
& ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung AUS / AN
Rechtsklick auf Arbeitsplatz
Eigenschaften
Systemwiederherstellung
Deaktivieren anhaken
Fertig :
Haken wieder RAUS !!

« Letzte Änderung: 07.11.06, 17:05:38 von HCK »

Hallo,
die drei von mir genannten Programme,sollst du dir runterladen,installieren und dann updaten.Das alles bitte bevor du in den abgesicherten Modus wechselst.
Nimm in der Auswahl nur den "Abgesicherten Modus",nichts anderes bitte.Dann machst du mit allen drei Programmen einen Fullscan/Komplettuntersuchung.Im abgesicherten Modus liegt beim anmelden unter Umständen ein Administrator.Nutze diesen.Geschickterweise solltest du die drei Programme in C:installieren.Sie finden sich dann im abgesicherten Modus leichter.Dort sind sie aber in jedem Fall... ;D
Weiter vorgehen ,wie oben beschrieben.Den Scriptvirus hast du auch noch immer...Als weiteres Programm kannst du auch den Antivir im abgesicherten Modus ebenfalls laufen lassen.Auch diesem vorher im Normalmodus,wie die anderen Drei,das neuste Update spendieren.
Also Installieren-updaten-abges.Modus-nacheinander laufen lassen-löschen-

berichten.. ;D
Noch Fragen,Hauser ? 8)
Sir Reklov

Sandra,
dies ist wirklich WICHTIG, bitte führe demnächst das Windows Update aus!
„Als nächstes müsste unbedingt der Internet Explorer aktualisiert werden.
Aufgrund von Sicherheitslücken könnte er für die aktuellen Infektionen Mitverantwortlich sein.“

Auch die Meldung von AntiVir unter “HTML/Exploit.Mhtml“ ist ein deutlicher Hinweis, dass der PC nicht auf den aktuellen Stand ist
und somit leichte Beute von Malware ist, die nicht gepachte Sicherheitslücken von Windows gnadenlos ausnützt.   

Gehe dazu auf
http://windowsupdate.microsoft.com/
und folge den Anweisungen.

Das Original Java von Sun sollte ebenfalls umgehend eingespielt werden, selbst Microsoft empfiehlt das dringend:
http://www.computerbase.de/downloads/software/browser/java_runtime_environment/
(siehe unter, Java Runtime Environment 5.0 Update 9)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Aus dem F-Secure Protokoll sind nur diese Einträge wirklich interessant:
C:\PROGRAMME\RNGINTERSTITIAL.DLL
C:\PROGRAMME\REAL\REALGAMES\RNGINTERSTITIAL.DLL
Die beiden Dateien sind sehr verdächtig!
Teste die Dateien einfach hiermit mit auf Malware, versuche es noch mal mit den beiden Diensten.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/
Wird dabei Malware gefunden, dann poste das Ergebnis hier.
Achtung!
Bei der Malware Meldung von F-Secure könnte sich durchaus um einen Fehlalarm handeln,
also bitte die Dateien nicht einfach löschen.

Die 3 anderen Funde von F-Secure in der Registry von Windows dürften keine Gefahr darstellen,
da es hier wohl nur Reste von bereits entfernter Malware handelt.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Wie sieht es mit den beiden OnlineScanner von Panda und Bitdefender aus.
Poste bitte auch mal die Scanergebnisse von denen hier.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Ein Scan mit Spybot ist noch eine gute Empfehlung, aber die Bedienung ist mehr für erfahrene User ausgelegt.
Ad-Aware überfordert den normalen PC Anwender schnell und Ewido “Offline“ wird kaum ein anderes Ergebnis zu Tage fördern als sein Bruder der OnlineScanner.
Schaden werden Sie aber auch nicht. Grundsätzlich ist der Tipp, einen Scan im abgesicherten Modus vorzunehmen, sehr empfehlenswert.
Vorschlag, scannt mit AntiVir (zuvor ist ein Update auszuführen) Spybot im abgesicherten Modus euren PC.   

HouseCall, Trend Micros kostenloser Online-Virenscanner, ist für euch noch ein guter Tipp:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

Hallo Leute!
Also, habe gestern angefangen mit den ganzen Updates und Downloads!! Zuerst mal die vom Internet Explorer und von Microsoft! Danach hab ich Spybot S & D, AVG und Adaware runtergeladen plus alle Aktualisierungen auch von Avira!!! Dann bin ich in den gesicherten Modus! (Übrigens läßt sich bei mir nicht die Systemwiederherstellung deaktivieren, ist hier nicht vorgesehen! Dann hab ich alle Scans durchgeführt!
Spybot:
07.11.2006 21:39:33 - ##### check started #####
07.11.2006 21:39:33 - ### Version: 1.4
07.11.2006 21:39:33 - ### Date: 07.11.2006 21:39:33
07.11.2006 21:39:34 - ##### checking bots #####
07.11.2006 21:41:19 - found: Bearshare Class ID
07.11.2006 21:41:19 - found: Bearshare Interface
07.11.2006 21:41:19 - found: Bearshare Root class
07.11.2006 21:41:19 - found: Bearshare Root class
07.11.2006 21:41:19 - found: Bearshare Class ID
07.11.2006 21:41:19 - found: Bearshare Type library
07.11.2006 21:41:19 - found: Bearshare Einstellungen
07.11.2006 21:41:20 - found: MyWay.MyBar Class ID
07.11.2006 21:41:29 - found: Alexa Related  Verknüpfung
07.11.2006 21:43:13 - found: WebTrends live Verfolgender Cookie (Internet Explorer: Frank Schäfer)
07.11.2006 21:43:13 - found: Tradedoubler Verfolgender Cookie (Internet Explorer: Frank Schäfer)
07.11.2006 21:43:13 - found: MediaPlex Verfolgender Cookie (Internet Explorer: Frank Schäfer)
07.11.2006 21:43:13 - found: DoubleClick Verfolgender Cookie (Internet Explorer: Frank Schäfer)
07.11.2006 21:43:15 - ##### check finished #####

AVG:
Tracking cookie.lvwbox       risiko mittel
Tracking cookie.Tfag         risiko mittel

Avira:

C: Dokumente und Einstellungen\Frank Schäfer\Temporary internet files\content.\E5\ZVPBV9SW\index[1].php

Hab alles soweit gelöscht bzw. entfernen lassen! Danach war der Scan von Spybot sauber!

Der HijackThis war auch OK! Zeigt für Microsoft keine Bedenken an!

Logfile of HijackThis v1.99.1
Scan saved at 12:57:13, on 08.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINNT\System32\hphmon04.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\HPHipm11.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\OFFICE10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\HPZSTC05.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\Programme\WinAce\winace.exe
C:\DOKUME~1\FRANKS~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162904392984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C90C5D2-41C2-4F6C-9BE8-CE1FCB7208CD}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINNT\System32\HPHipm11.exe

Das Piepen ist aber immer noch bei Computerhifen.de !! Werde heute Abend noch mal alle Scans laufen lassen um zu sehen, was da wieder los ist im Compi!

Vielleicht habt Ihr ja noch ne Idee wie ich meine Lücken schließen kann und das ganze Zeug loswerde!
Vielen Dank und liebe Grüße
Bis später
Sandra

“Übrigens lässt sich bei mir nicht die Systemwiederherstellung deaktivieren, ist hier nicht vorgesehen!“
Richtig, unter Windows 2000 gibt’s es keine Systemwiederherstellung.

Installiere zunächst noch das empfohlene Java von Sun,
ebenso den Browser von Firefox !

Kannst du das “Piepen“ genauer beschreiben ?
Dies muss nicht unbedingt eine Malwareinfektion sein!

Wie ist hier der Stand:
C:\PROGRAMME\RNGINTERSTITIAL.DLL
C:\PROGRAMME\REAL\REALGAMES\RNGINTERSTITIAL.DLL
Die beiden Dateien sind sehr verdächtig!
Teste die Dateien einfach hiermit mit auf Malware, versuche es noch mal mit den beiden Diensten.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/


Wiederhole heute Abend die Scan´s mit den Online Scanner von F-Secure, Panda und zusätzlich noch HouseCall von Trend Micros

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

« Brauche Hilfe wegen VirusBeim Öffnen meines Outlooks öffnen sich automatisch Inet-Seiten. »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!