hab ich alles schon gemacht und da passiert mal gar nix. immer noch ist der scheiss drauf. wat soll ich jetzt machen? hat noch jemand einen guten tipp? lasst mich nicht hängen leute!
Bitte...
Dialer "Free XXX"
-
-
STOPPPPPPP!!!!!! Back, et tut mir ehrlich leid. ICh habe nicht gesehen (peinlich :oops: ) dass es noch eine 2. Seite gibt. Jetzt keinen Kommentar zu dieser Aktion. ICh konnte also deine Anweisungen gar nicht lesen. Es tut mir wirklich ober leid.
Habe alles gemacht wat du gesagt hast. Also: abgesicherter Modus und dann gescannt mit hji... dings. War abe rimmer noch da. Die Starteseite wusste ich nicht, dass sie wichtig ist, sorry. Und dann hab ich das mit dem anderen Scanprogramm gemacht, wat du gesacht hast. Resultate siehst du unten:Logfile of HijackThis v1.97.7
Scan saved at 21:18:18, on 09.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXER0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\PROGRAMME\BYSOFT\FREERAM\FREERAM.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: iFinger (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com…ve/cabs/flash/swflash.cabCWShredder v2.0. scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.System Information:
Windows ME (4.90.3000 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\SYSTEM
AppData folder: C:\WINDOWS\Anwendungsdaten
Username:Hosts file not present
Found Win.ini file: C:\WINDOWS\win.ini (9399 bytes, A)
Found line in Win.ini: load=
Found line in Win.ini: run=
Found System.ini file: C:\WINDOWS\system.ini (2041 bytes, A)
Found line in System.ini: shell=Explorer.exeIch hab alles gemacht wat du gesagt hast und Dir alle Scans reingestellt.
Mit der Startseite ändern hab ich auch versucht. Geht aber nicht, macht sich immer wieder neu (du verstehst schon).
Ich hoffe du hast die Geduld noch nicht ganz verloren. :lol:Ich hoffe du hast noch ein paar Tipps auf Lager
Danke noch mal für deine Geduld, weiss das wirklich zu schätzen, ehrlich!!!!!!!Brauchst du noch welche Infos?
Es ist eine Verknüpfung auf meinem Desktop. Hab ich auch schon zurück verfolgt, lässt sich aber nicht löschen. Brauchst du noch ein paar Infos?
Ich gebe mein bestes ehrlich. Ich gebe mir Mühe... -
Hallo,
laut http://www.hijackthis.de sind folgende Einträge nicht ok.Gehe mal bitte wie folgt vor:
- deaktiviere die Systemwiederherstellung
- Starte im abgesicherten Modus neu
- Gehe auf Start->Einstellungen->Systemsteuerung->Internetoptionen und stelle als Startseite http://www.google.de ein (Starte den Internet Explorer an sich nicht, sonst sind die Einträge gleich wieder da, ok)
- Starte Hijackthis und fixe diese EinträgeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)- Gehe nun in den Ordner C:\PROGRAM FILES\WINDOWS SYNCROAD und bennene die Datei SYNCROAD.EXE in SYNCROAD.EX_E um
Nun müssten wir wahrscheinlich den Bösewicht haben. Starte also den Rechner ganz normal, gehe in den Internet Explorer und es müsste sich http://www.google.de öffnen. Nun schliesse den Internet Explorer und starte ihn erneut. Wenn jetzt immer noch http://www.google.de da steht, dann haben wir es geschafft.
Ansonsten bitte nochmals mit Scan von Hijackthis melden
Gruß
Back -
Also habe allen deinen Anweisungen folgegeleistet! Und der Inetrnet Explorer öffnet sich jetzt zumindest schon mal mit der "about:blank". Schon mal nicht so eine komische Startseite.
Aber in meiner Startleister ist immer noch dieses Programm und auch auf meinem Desktop ist immer noch die Verknüfung! In der Hinsicht hat sich noch nix geändert! Das ist ja schon mal wat. Wir machen Fortschritte
Wat soll ick jetzte machen?
Hab dir noch mal diesen Scan reingestellt den ich im abgesicheren Modus gemacht habe! Brauchst du noch wat? Dann sach bescheid. Noch mal vielen Dank für alles und deine Hilfe. Das ist echt super nett von dir!!!!!Logfile of HijackThis v1.97.7
Scan saved at 18:57:32, on 11.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXEO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\PROGRAMME\BYSOFT\FREERAM\FREERAM.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: iFinger (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com…ve/cabs/flash/swflash.cab -
Hallo,
ich glaub wir haben es.In deiner Startleiste ist noch das Programm?
Deinstalliere es und lösche ggf. noch den Ordner, wo die Exe drin war.Aslo über Start->Einstellungen->Systemsteuerung->Software müsstest du das Programm WINDOWS SYNCROAD deinstallieren können.
Dann schau nochmal nach, ob der ordner C:\PROGRAM FILES\WINDOWS SYNCROAD\ gelöscht wurde, wenn nicht, lösch ihn per Hand.
In den Internetoptionen kannst du jetzt wieder eine Startseite deiner Wahl einschreiben. da steht About:Blank, weil wir den Startseiten-Eintrag mit Hijackthis gelöscht haben.
Damit ist dieses Problem gelöst. Nun zu der Datei, die du nicht löschen kannst.
Was ist das für eine Verknüpfung und wo führt sie hin?
Vorschlag, um die Verknüpfung zu löschen:Starte im abgesicherten Modus und lösch sie da, wenn das geht. Findest du die datei dort nicht auf dem Desktop, so suche den Ordner Desktop über die Suchfunktion von Windows. Dort kannst du dann auch mal probieren die Datei zu löschen. (Schreib dir gleich mal den genauen Pfad von dem Ordner auf z.B.: C:\WINDOWS\Desktop und auch genau, wie die Datei heisst z.B.: ~abcd.LNK ... LNK ist die Dateiendung für eine Verknüpfung)
Geht das auch nicht, dann starte den Rechner neu, drücke wieder F8 bis das Auswahlmenü erscheint und gehe jetzt nicht auf den "abgesicherten Modus", sondern nur "Eingabeaufforderung".
Hier landest du mit grosser Wahrscheinlichkeit auf
C:\ (das ist die Anzeige, wo du dich gerade befindest und ich schreib das nicht extra zu den Befehlen dazu)
Ist das der Fall, dann gib diese Befehle nacheinander ein und beachte jedes Leerzeichen, dass ich in den Befehlen setze, denn im DOS-Modus musst du die Befehle genau schreiben, sont passiert nichts
Ich richte meine Befehle auf das Beispiel "C:\WINDOWS\Desktop\~abcd.LNK" aus.cd windows
cd desktop
del ~abcd.LNK
Jetzt sollte da stehen, dass eine Datei gelöscht wurde. Wenn nicht, dann kommt da eine Fehlermeldung aller: "Dateiname nicht gefunden"
Wie du siehst muss nach jedem Befehl ein Leerzeichen stehen. Also hinter CD und DEL ist ein Leerzeichen und das muss da auch stehen, sonst geht der Befehl nicht.Jetzt noch das Problem, dass du in der Eingabeaufforderung nicht direkt auf C:\ landest. Z.B. du landest auf
C:\Windows\Temp
Dann gib solang den Befehl
cd..
(hier ohne Leerzeichen) ein, bis du auf
C:\
bist
Ich will hoffen, dass du dich entweder mit DOS auskennst oder die Datei im abgesicherten Modus löschen kannst, denn wenn du mit dem DOS nicht klar kommst, kann ich mich kaum noch verständlicher ausdrücken. Ich hab schon versucht es so leicht wie möglich zu erklären :lol:
Gruß
BackPS.: Ick nehm 'n Bier und wenn 'de spendab'l bist, dann jibste mir noch 'ne Zigarette aus, ok.
-
JIPI!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
:lol:
Die Tussi is weg!!!!! Die Verknüpfung und dat Teil in meiner Startleiste ist alles im abgesicherten Modus gelöscht worden und beim normalen Start auch weg!!!!!!
Ich fasse es gar nicht. Is das geil. Allet wieder ok mit meinem PC! Toll!
Vielen Dank und noch mal Respekt für deine Geduld. Ich weiss, dass ich mit PC´s (und nicht nur da) schwer von Begrif bin! Ich kann gar nicht genung danke sagen.
Ick bin richtig froh dat dat Teil wieder jenau so läuft, bevor ick ihn zerstört habe, wa?
Du bist der PC Gott sach ick nur.
DDDDAAAAAANNNNNNNKKKKKKEEEEEEE! -
Jut so, did freut mich. Kann ick also endlich wieda beruhicht schlafn. Supa
-
Achja, noch was. Lass Antivir als Virenprogramm oben, da werden zumindest zusätzlich schon Dialer verhindert, die sich installieren wollen.
Dazu klick mal Antivir an und unter Optionen->Konfigurationsmenü->unerwünschte Programme musst du das Häkchen "kostenverursachende Einwahlprogramm" oder so ähnlich anklicken.Bist du eigentlich aus Berlin oder Umgebung? Ich lese das einwenig raus :lol:
Gruß
Back -
Hallo,
... ich kann/kenne alles :lol:Das hat nichts mit dem abgeischerten Modus zutun. Da hat ein anderes Programm das Bild für MP3's übernommen, das nennt man auch Dateitypenzuordnung. Fast jede Datei, die ausführbar ist, ist einem Programm zugeordnet, sonst wüsste Word nicht, dass es *.doc öffnen soll oder der Acrobat Reader, dass er PDF's öffnen soll.
Welches Programm verwendest du denn für das Abspielen von MP3's?
Wenn es der WinAmp ist, so öffne den und gehe dann auf Optionen -> Einstellungen. Hier klickst du nun auf "Dateitypen" und dann auf "alle auswählen"
Ist es der Windows Media Player bei dir, dann öffne diesen und klicke hier auf "Extras->Optionen" nun such die Karteikarte "Dateiformate" und hier klickst du das Häkchen für MP3 an. Danach einfach OK klicken und schon hast du die wieder das "Media Player Symbol" an deinen MP3s.
Ist es ein anderes Programm, dass du für MP3s verwendest, so schreib einfach welches es ist.
Gruß
Back -
Hallo,
du musst auf das Button / die Schaltfläche "alle auswählen" klicken und dann schliessen. Vorher tut sich da nichtsDanach sollten wieder das Bild vom Winamp da sein.
Gruß
Back -
DA HOCHKLICKEN :lol:
Gruß
Back -
Da ich keine Gedanken lesen oder nicht Hellsehen kann, weiss ich nicht was du verkehrt gemacht hast. Wahrscheinlich garnichts, aber an irgendetwas muss es ja liegen.Es würde mir helfen, wenn ich wüsste wie du kleinen A's so aussehen
Hast du das Setup-Programm vom Winamp noch rumzuliegen??? Wenn nicht, dann gibt es hunderte Seiten, wo man den Winamp in allen Varianten (Version 2, 3 oder 5) downloaden kann. Deinstalliere Winamp überSTART->EINSTELLUNGEN->SYSTEMSTEUERUNG->SOFTWARE
fahre den Rechner einmal herunter. Nun starte ihn wieder und installiere den Winamp wieder. Bei der Installation wird nun auch abgefragt, welche Dateitypen mit dem Winamp verbunden werden sollen und da kannst du MP3 dann einfach mit auswählen. Danach sollte es dann aber wirklich gehen
Gruß
Back -
Hallo,
MP3 ist MP3. Das kannst du natürlich auf einen Stick spielen und unterwegs hören. Das da jetzt ein anderes Bild ist, spielt keine Rolle. Das Bild ist dabei völlig egal .. aber auch sowas von egal :lol: Wenn alles soweit geht und es nur das Bild ist ... dann ist doch alles OKSieht das A denn so aus??
Gruß
Back