Hallo,

ich hoffe ich habe meine Frage hier in dem Bereich richtig gepostet.

Mein Problem:
Wenn ich Online gehe (T-Online / DSL. Windows XP) werden die Zugangsdaten (Benutzernamen und Passwort) durch mir unbekannte Daten ersetzt, so daß ich nicht mehr Online komme. Bzw. meine eigenen korrekten Daten jedesmal bei Neueinwahl neu eingeben muss.

Ich habe meine Computer komplett durchgecheckt und kann absolut nichts finden.

Da ich sehr viele Daten auf meinen PC habe, möchte ich nur ungern Format C machen.

Wer kann mir helfen und mir Tipps geben, wo ich noch suchen kann und woran es liegt.

Danke schön

Renate

das hört sich für mich so an, als hättest du dir irgendwas eingefangen...

Damit dir geholfen werden kann, brauchen wir zunächst mal ein HijackThis-log.

1. erstelle einen Ordner Hijack This irgendwo auf deiner Festplatte (HijackThis muß nicht installiert werden, aber es braucht einen eigenen Ordner, damit es Backups erstellen kann)
2. lad dir HijackThis z.B. hier runter -->
   http://bilder.informationsarchiv.net/Ni ... ckthis.zip
3. speicher die Hijack This.zip, und entpacke sie anschließend in deinen HijackThis-Ordner
4. führe das Programm aus, (einfach Doppelklick auf die EXE),
5. drücke Do a system scan and save a logfile
6. speicher das logfile
7. das gespeicherte logfile öffnet sich automatisch im Text-Editor , markiere alles (mit „Bearbeiten --> alles markieren“ oder über „Strg + A“), und kopiere es (mit „Rechtsklick --> Kopieren“ oder über "Strg + C")
8. schreibe eine Antwort in deinem eigenen Beitrag (klick „post reply“) und füge das komplette logfile in deine Antwort ein (mit „Rechtsklick --> Einfügen“ oder über „Strg + V“), dann können die Experten dir sagen, was Sache ist.

oder lies dir die Anleitung hier mal durch -->
http://yourhighness.eddys-domain.de/hijackthis.html

Hallo,

danke erstmal vorab für die Hilfe. Hier sind nun die Log files:


Logfile of HijackThis v1.99.0
Scan saved at 20:49:57, on 14.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\SIXPACK.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\rewebzdq.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=138770
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=138770
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://207.44.180.87/forums/
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SIXPACK] C:\WINDOWS\System32\SIXPACK.exe /minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [jab] C:\WINDOWS\jab.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [isdusl] C:\WINDOWS\System32\rewebzdq.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)
O9 - Extra 'Tools' menuitem: Block This Page - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .qt: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0921137596
O17 - HKLM\System\CCS\Services\Tcpip\..\{D620E3D1-543A-46A4-8204-C848562C1836}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Also ich als Laie erkenne da keine Dailer oder aussergewöhnliche Proggys die laufen.

Aber die Experten können mir vielleicht helfen?? Wäre prima.

Danke vorab.
Renate

Hallo nochmal,

ich habe gerade die Kiste neu hochgefahren und meine Daten waren noch da - kaum zu glauben.
Dann habe ich es wieder versucht und wieder waren sie da.

Also scheint da nichts "aktiv" auf meinem PC zu sein, oder?
Kommt da einer, während ich Online bin, von aussen und wählt sich da ein? Gibt es sowas?

Im Dienstprogramm habe ich gesehen, daß er sich mit einer 01805 5..... Nummer einzuwählen versucht. Bei DSL ist es aber nur 1 oder keine Nummer.

Danke nochmal für Rückinfo und Grüsse
Renate

Hallo,
wenn du DSL verwendest, dann brauchst du keine Angst vor Dialern zu haben, da DSL keine Wählverbindung ist. Falls du aber noch, vielleicht als Backup oder für den Faxversand ein Modem am (oder im) Rechner hast, dann ist dies gefährlich. Dann kann tatsächlich ein Dialer neben deiner DSL Verbindung noch eine Wählverbindung starten.

Ich empfehle dir, ein ggf. noch vorhandenes Modem im Gerätemanager zu deaktivieren oder den Stecker aus der Dose zu ziehen. Du kannst dann kja bei Bedarf die Verbindung wieder aktivieren.

Hallo Renate,
mir ist ein kleiner Fehler unterlaufen, ich habe dir fälschlicherweise den Link zur Version 1.99.0 gegeben...
bitte lade dir auch noch mal die Version 1.99.1 von hier -->
http://www.chip.de/downloads/c1_downloa ... 3e2ade2990
und erstelle mit der neueren HijackThis-Version ein weiteres logfile, das du dann bitte hier postest...

Hi!

#C:\WINDOWS\System32\SiXPack.exe [Worm.P2P.VB]
<O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize

Mache bitte einen Scan bei:
[url]virusscan.jotti.org/[/url]

Mit der SiXPack.exe Datei.
+++++++++++++++++++++++++

Deaktiviere die Systemwiederherstellung (aktiviere sie nach der Systemreinigung wieder)

++++++++++++++++++++++++++++++++++++++++


Ticke die Kästchen vor folgenden Einträgen und am Schluss wähle "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=138770

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=138770

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=138770

O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll

O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)

O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

O4 - HKLM\..\Run: [isdusl] C:\WINDOWS\System32\rewebzdq.exe

O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe

O9 - Extra button: (no name) - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)

O9 - Extra 'Tools' menuitem: Block This Page - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll (file missing)

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

NEUSTART

+++++++++++++++++++++++++++++

Killbox (bebilderte Anleitung):
http://nikita.eddys-domain.de/killbox.html

*C:\WINDOWS\twaintec.dll
*C:\WINDOWS\System32\Winad2.dll
*C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
*C:\WINDOWS\System32\SysUpd.exe
*C:\WINDOWS\alchem.exe
*C:\WINDOWS\System32\rewebzdq.exe
*C:\WINDOWS\satmat.exe
*c:\eied_s7.cab
*c:\ex.cab
*C:\WINDOWS\System32\vbsys2.dll

NEUSTART

+++++++++++++++++++++++++++

Mache noch einen Escancheck:
http://nikita.eddys-domain.de/escan.html

MfG,