Hallo!
1. Ich habe gestern Festplatte 80 GB komplett formatiert und WinME installiert.
Heute wollte ich normal hochfahren. Nach 1 Min kommt diese Meldung unten rechts Task.
http://img299.imageshack.us/img299/9676/risk2ri.jpg


2. Hier taucht nach dem Hochfahren sofort auf.
http://img347.imageshack.us/img347/4247/wsc7co.jpg

Ich habe gestern nur installiert:
Win ME
Detonator 53.04 vom PC Games DVD
T-DSL Treiber und T-DSL SpeedManager vom T-Online 5.0 CD
Ad-aware & Spybot vom selbstgebrannten CD-RW

Mit Internet Explorer gesurft:
Google.de als Startseite eingestellt
lycos.de wegen Mails abrufen
3DCenter.de
pcgames.de

3. Als ich Google die Suchergebnis eingebe. z.B. 3dcenter.
Google sucht und postet alle Ergebnisse.
Klicke ich nun auf Link von 3dcenter, gelange ich zum XXX-Seite. Drücke ich Zurück-Taste und klicke erneut auf Link, gelange ich normal zum 3dCenter Seite. So passiert immer beim Google.

Ad-aware & Spybot haben Probleme entdeckt und behoben.
Pop-ups Fenster kommen trotzdem. Ich habe schon hijackthis runtergeladen, Log.txt ausgewertet und alle gefixt. Noch Pop-ups vorhanden.

Sorry wegen Rechtschreibung.

Tjo.. als erstes:
Internetverbindung mit XP Firewall schützen, dann Windows Update machen, dann Browser wechseln. prüpfen ob in der hosts datei
C:\WINNT\system32\drivers\etc
oder
C:\Windows\system32\drivers\etc

schau ob da irgendein eintrag (abgesehen von 127.0.0.1 localhost)vorhanden ist, wenn ja löschen.

Virenscanner und Adaware nochmal laufen lassen.

Nie wieder mit IE surfen und niocht Outlook benutzen!

Edit: Sorry.. hab das Windows ME überlesen, damit kenn ich mich nicht aus.. Personal firewall ala Zonealarm wäre was feines, ka. ob es die Windowsfirewall bei ME gibt.. eher nicht.

ggf XP installieren..

mmm...

Poste mal das Log von HijackThis. Ansonsten, hast du einen Router oder gehst du direkt mit dem Rechner über ein Modem ins Internet?

mmm...

Poste mal das Log von HijackThis. Ansonsten, hast du einen Router oder gehst du direkt mit dem Rechner über ein Modem ins Internet?

Hier ist Log:
Logfile of HijackThis v1.99.1
Scan saved at 14:13:43, on 21.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE



Mein Rechner ist mit T-DSL Modem (Foto) (http://web.zdnet.de/mobile/artikel/tkomm/200202/splitterundmodem.jpg) angeschlossen wie im und wähle mit DFÜ-Verbindung ins Internet ein.
Router ist nicht vorhanden.

C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
-> Mit einem Virenscanner prüfen
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
-> Dazugehörigen Startaufruf probehalber entfernen


Die Datei gehört normalerweise zu einer Digicam, eventuell von Kodak. Der Speicherort könnte aber etwas unüblich sein.

Vor dem Rumfummeln mit Hijack-This das Programm in einen eigenen Ordner verschieben damit dei Backup-Funktion genutzt werden kann !!!

Ist der Internet Exploder auf dem aktuellsten Stand ?
-> Windoofsupdate nutzen

Bei Spybot die Möglichkeit zur Impfung benutzen.
Was genau ist mit Ad-Aware/Spybot usw entfernt worden ?
Taucht entferntes bei Neustart wieder auf ?
-> Falls ja dann Systemwiederherstellung deaktivieren und Neustart

mmm...

Jup, bevor du die Datei aber entfernst oder irgendwas anderes mit machst, lad sie mal bei einen/ beiden Seiten hoch und guck nach, ob ein Virenscanner was sagt ...
http://virusscan.jotti.org/
http://www.virustotal.com/flash/virustotal_en.html
Ansonsten muss ich sagen, bin ich von WinME etwas verwirrt. Das wird zu selten eingesetzt, als das ich sagen könnte, was gut und was böse ist (die Verzeichnisstruktur ist anders und die Processe werden durch Updates immer ähnlicher mit XP) ...