Hallo, liebe Forumleser & PC Wizards,

ich habe folgendes PROBLEM und bitte euch dringend um Tips/ Hilfe:

Mein Internet Explorer ist einem HIJACK zum Opfer gefallen.

(a) Die Startseite wird automatisch alle 20min mit http://easy-search.biz überschrieben.

(b) Der Internet Explorer wählt sich selbst (unaufgefordert) ein und öffnet eine Casino website, die einen Dialler installiert (bereits wieder beseitigt).

(c) Die meisten Internetseiten öffnen überhaupt nicht oder erst beim 3. Versuch (wenn "Refresh" od. URL in neues Fenster kopiert)

(d) Seiten öffnen extrem langsam und 90% der Fotos/ Bilder öffnen nicht (nur "Bild"-Symbol angezeigt)

***

Ich habe mittlerweile folgendes versucht/ ausgeführt:
(alle Programme in aktueller Version)

- Temporäre Internet Files mit Winsweep 3.34 gelöscht
= scheinbar erfolgreich

- Viruscheck mit AntiVir 9x
= keine Viren gefunden

- Spyware bereinigt mit:
- CWShredder = erfolgreich (mehrere Einträge bereinigt)
- Ad-aware 6.0 = erfolgreich (mehrere Einträge unter Quarantäne gestellt)
- Spybot Search & Destroy = mehrere Einträge bereinigt, jedoch wiederkehrend: Xer0x & DSO Exploit & Alexa Related

- Internet Explorer Startseite mit Spybot S&D vor Veränderung geschützt/ festgeschieben
= erfolglos

- SpywareBlaster angewendet
= vor weiteren Spyware-Angriffen geschützt(?)

- Internet Explorer Repair Tool angewendet
= scheinbar keine Änderung

- Internet Explorer Version 6 (IE6) runtergeladen und installiert
= erfolgreich aber keine Verbesserung

- Hijacker Reparatur mit SpHjFix
= Programm läuft scheinbar nicht: "Stealth-String not found -> Programm terminated"

- Hijacker Reparatur mit HijackThis
= alle Einträge mit Verweis auf http://easy-search.biz gelöscht/ repariert
= Problem besteht weiterhin

Trotzdem weiterhin erfolglos: IE wählt sich weiterhin selbst ein und überschreibt Startseite.
(Am Beitragende ein aktuelles Log von HijackThis)

***

Ich bin mir außerdem nicht sicher, ob alle der folgenden 12 Anwendungen, die im Hintergrund laufen (sichtbar im Task Manager) erforderlich sind bzw. Spyware behaftet sein könnten:

- Explorer
- internat
- Em_exec
- Loadqm
- Systray
- Qttask
- Instantaccess
- Antiptaxx
- Avgctrl
- Rnaapp
- Runwin32
- Wininet32

Runwin32 & Wininet32 scheinen neu (?) zu sein.

***

Tausend Dank im Voraus Grüsse (hoffnungsvoll), a-lil-lost

***

Hier das aktuelle Log von HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 00:00:07, on 05/07/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\WSMONITOR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
D:\PROGRAMME\MICROSOFT OFFICE\WORD2000\OFFICE\WINWORD.EXE
D:\SECURITY\DOWNLOADS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.iol.ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SECURITY\ANTISP~1\SPYBOT\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [InstantAccess] D:\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKCU\..\Run: [TClockEx] D:\DOWNLOADS\TCLOCK\TCLOCKEX\TCLOCKEX.EXE
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Word2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/UK/install.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab

a-lil-lost

Then Open IE -->tools -->options -->connections, and untick use a proxy server. (the runwin32.exe uses a proxy server)


fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

neustarten


# Antivirus muss so eingestellt sein, dass der Guard unten links im Taskmanager erschein. also unter 04 .(ein aufgespannter Regenschirm)
http://www.free-av.de/

Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Start<Scann


#Lade mwav.exe ...30 Tage free und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Loesche mit ClearProg die TemporaryInternetFiles und Cookies
Lade die neuste Version...
http://www.shtools.de/downloads.php

#Surfe mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

#Lade den Sygate Firewall, falls du noch keinen Firewall hast
http://smb.sygate.com/products/spf_standard.htm

#Stelle unter <InternetOptionen< und im Firefox eine neue Startseite ein und poste das Log noch mal.


MfG
Nikita

Herzlichen Dank für die superschnelle Antwort, werde ich heute Abend alles ausführen Neues Log folgt dann morgen. Thanks a mil....

Nikita, du bist Retter in der Not! [neues Log am Ende]

Hab gestern deine Instruktionen ausgeführt, der IE sieht jetzt OK aus, habe jedoch noch nicht versucht mich ins Netz zu wählen (nur zur Sicherheit, falls doch noch was übriggeblieben ist). Runwin32 & Wininet32 sind vom TaskManager verschwunden.

Sollte ich ab jetzt (trotz Bereinigung) immer Firefox als Browser benutzen? Ich habe die Favoriten/ Einstellungen vom IE in den Firefox kopiert, hoffe dabei sind keine "bugs" hinübergewandert (falls überhaupt noch welche übrig waren).

Letzte Frage: Sollte ich die Sygate Firewall anmelden & bleibt die Benutzung kostenlos?

Hier das aktuelle Log von HijackThis (bitte noch mal prüfen)
Tausend Dank! MfG, a-lil-lost [not so lost anymore ]

Logfile of HijackThis v1.98.0
Scan saved at 08:27:49, on 06/07/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
D:\SECURITY\FIREWALL SYGATE\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\SECURITY\DOWNLOADS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.iol.ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SECURITY\ANTISP~1\SPYBOT\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [InstantAccess] D:\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SmcService] D:\SECURITY\FIREWA~2\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SmcService] D:\SECURITY\FIREWALL SYGATE\SMC.EXE
O4 - HKCU\..\Run: [TClockEx] D:\DOWNLOADS\TCLOCK\TCLOCKEX\TCLOCKEX.EXE
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Word2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/UK/install.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab

Das Log ist sauber...Glueckwunsch
Bei Sygate muss man sich bestimmt anmelden, aber nur die Sygate Pro-Version ist kostenpflichtig.
Ich hoffe, ich habe dir den Link fuer die kostenlose Version gepostet....


#Surfe immer mit dem Firefox...es ist sicherer.
MfG
Nikita

Thanks a million, nikita!

Hatte mich mit dem Problem 2 Wochen rumgeschlagen & kann endlich aufatmen... Nochmal herzlichen Dank!

Gruß, not-lost-anymore