Internet Explorer startet automatischThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
29.11.2004, 11:38
Member
Beiträge: 12 |
||
|
||
29.11.2004, 11:57
Moderator
Beiträge: 7805 |
#2
Du hast dir da einen der "haesslichen" Sorte eingefangen. Bevor wir da alles wild mache, weisst du, wo du dir diesen Hijacker eingefangen hast?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.11.2004, 12:18
Member
Themenstarter Beiträge: 12 |
||
|
||
29.11.2004, 12:23
Moderator
Beiträge: 7805 |
#4
Ich muss mal sehen, wie ich das am besten erklaeren kann. Lies dir mal inzwischen das durch!
http://www.rokop-security.de/board/index.php?showtopic=5990&hl= __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.11.2004, 12:56
Member
Themenstarter Beiträge: 12 |
#5
Hmm, sehr interessant.
Ms4Hd_look gibt bei mir folgendes wieder: An Ms4Hd_look by IMM (v0.001) ---------------------------------------- Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Return code was 0XC0000034 ---------------------------------------- Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files Return code was 0XC0000034 ---------------------------------------- Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes Return code was 0XC0000034 ---------------------------------------- Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys Return code was 0XC0000034 ---------------------------------------- Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues Return code was 0XC0000034 -- MfG Inge |
|
|
||
29.11.2004, 16:33
Moderator
Beiträge: 7805 |
#6
Ja, inzwischen weiss ich etwas mehr. Du solltest folgende Dateien auf deinem Rechner im abgesicherten Modus findeen koennen:
(FOLDER) C:\WINDOWS\system32 (+)(FILE) clfmon.exe = 12:41 29.11.04 23552 bytes (+)(FILE) getdns.exe = 12:42 29.11.04 6656 bytes (+)(FILE) netcfg.dll = 12:45 29.11.04 11264 bytes (+)(FILE) netssh.exe = 12:41 29.11.04 14380 bytes (+)(FILE) odbcfg32.dll = 12:41 29.11.04 10752 bytes (+)(FILE) p2pserv.dll = 12:42 29.11.04 27648 bytes (+)(FILE) rsn.exe = 12:42 29.11.04 16896 bytes (+)(FILE) syspack.dll = 12:45 29.11.04 14848 bytes Diese solltest du per Hand oder mit Hilfe von Killbox umbenennen oder loeschen. Diese Eintraege auch bitte aus der REgistrierung entfernen: (+)(REG KEY) HKEY_USERS\S-1-5-21-1220945662-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7 (+)(REG KEY) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7 und folgendes fixen: O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll O4 - HKLM\..\RunOnce: [netssh.exe] netssh.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe Alles das in einer "Sitzung" im abgesicherten Modus und dan neu starten. Das Problem ist, das der Rechner ein Geschaeftlich genutzter zu sein scheint. Das bedeutet das du es lieber nicht machen solltest, sondern jemand, der den PC sowieso wartet. Ich weiss leider nicht, wie das bei euch gehandhabt wird. Sowieso alles auf eigene Gefahr, gewaehrleistung uebernehme ich keine! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.11.2004, 10:45
Member
Themenstarter Beiträge: 12 |
#7
Hallo Ralf,
ich warte den PC .... von daher kein Problem. Habe die Schritte ausgeführt und bin symptomfrei. Super! Hier mein aktuelles Log: Logfile of HijackThis v1.98.2 Scan saved at 10:41:16, on 30.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\nslsvice.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\cusrvc.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft Analysis Services\Bin\msmdsrv.exe C:\Programme\Novell\ZENworks\nalntsrv.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\uphclean\uphclean.exe C:\Programme\Novell\ZENworks\wm.exe C:\Programme\Novell\ZENworks\WMRUNDLL.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\dpmw32.exe C:\WINDOWS\System32\NWTRAY.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Real Alternative\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Novell\ZENworks\NALDESK.EXE C:\WINDOWS\system32\ndpsrv3.exe C:\Programme\notes\NLNOTES.EXE C:\Programme\notes\ntaskldr.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Spy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.eurode.nordsee.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.eurode.nordsee.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Nordsee R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.138.0.20:8081 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.136.*;10.137.*;10.138.*;172.*;*.euroat.nordsee.net;*.eurode.nordsee.net;*.eurode01.nordsee.net;nordsee.intranet.*,*.netware.nordsee.net;<local> O1 - Hosts: 147.204.2.5 sapserv3 O1 - Hosts: 147.204.2.5 sapserv3a O1 - Hosts: 172.16.16.4 NSWIEN O1 - Hosts: 172.16.16.9 seepferd O1 - Hosts: 172.16.16.19 VIES0025 O1 - Hosts: 172.16.16.37 VIES0037 O1 - Hosts: 213.168.192.165 www.nordsee.de O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Real Alternative\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE O4 - Global Startup: Faxprinter.lnk = C:\WINDOWS\system32\ndpsrv3.exe O4 - Global Startup: Lotus QuickStart.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU) O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://portal.eurode.nordsee.net O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net O17 - HKLM\Software\..\Telephony: DomainName = eurode01.nordsee.net O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: Domain = netware.nordsee.net O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: NameServer = 10.136.1.151 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net Vielen, vielen Dank !!!! -- MfG Inge Dieser Beitrag wurde am 30.11.2004 um 12:23 Uhr von Inge71 editiert.
|
|
|
||
30.11.2004, 11:18
Moderator
Beiträge: 7805 |
#8
Sieht nun schon nicht so schlecht Aus! Vieleicht solltest du fuer die verschiednen Benutzer ein extra (eingeschraenktes) Konto einrichten?!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.11.2004, 12:25
Member
Themenstarter Beiträge: 12 |
||
|
||
21.08.2006, 23:35
...neu hier
Beiträge: 3 |
#10
Hallo,
habe das gleiche Problem und wäre glücklich, wenn mir auch geholfen werden könnte. Vorausgeschickt: Habe die verschiedenen Threads mit dem selben oder ähnlichen Themen gelesen und kann mir unter einigen der genannten Maßnahmen nicht viel vorstellen - soll heißen: Habe keine Ahnung. Bin schon froh, an diesem Punkt ("posten") angelangt zu sein... Für Hilfe schon jetzt herzlichen Dank. Logfile of HijackThis v1.99.1 Scan saved at 23:00:06, on 21.08.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\WINDOWS\STARTER.EXE C:\STHVCD55\SYSEXPLR.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\ZYXEL\ZYXEL G-220 V2 WIRELESS ADAPTER UTILITY-PROGRAMM\ZYXEL G-220 V2.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\HYJACKTHIS\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ethzs.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ethzs.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - Default URLSearchHook is missing O2 - BHO: Class - {1EE57E4D-EAEA-07DB-481D-CD29FC942E80} - C:\WINDOWS\SYSTEM\SYSVX32.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [SysExplr] C:\STHVCD55\SysExplr.EXE O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe" O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunOnce: [WU2_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\WUAUPD98.DLL O4 - HKLM\..\RunOnce: [UpdateHook] C:\WINDOWS\rundll32.exe AUHKNEW.DLL,RenameDll O4 - HKLM\..\RunOnce: [WU4_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\AUHOOK.DLL O4 - Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe O4 - Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.greatplugin.com/diallerfiles/023367.exe O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab |
|
|
||
22.08.2006, 11:49
Ehrenmitglied
Beiträge: 29434 |
#11
hermalinak
der Rechner ist verseucht und ueber den Startseitentrojaner werden alle Infos, die du im net irgenwo eintippst, an eine Seite geschickt und dort koennen sie abgefragt werden, also auch deine passworte und falls du Onlinebanking machst, diese Daten auch. Du solltest formatieren.....und dann wichtige passworte aendern __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2006, 12:34
...neu hier
Beiträge: 3 |
#12
Hallo Sabina,
Danke für die schnelle Antwort - auch wenn sie natürlich nicht so berauschend ist. Eine Frage noch: Funktioniert dieser Trojaner auch, wenn ich (wie seit einigen Tagen) Mozilla verwende? Sprich: Nutzt eine Passwortänderung über Firefox für die Zeit bis zur Neueinrichtung? Gruß Herbert |
|
|
||
22.08.2006, 13:55
Ehrenmitglied
Beiträge: 29434 |
#13
wie schon gesagt, alles was du im net machst, alles was du eingibst, wird gespeichert und diese Informationen koennen dann von unbekannt genutzt werden.
wenn du also heute ein Passwort aenderst, wird es ebenfalls gespeichert - also, nicht mehr surfen, sondern formatieren ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2006, 15:05
...neu hier
Beiträge: 3 |
#14
Hallo Sabina,
reicht das Formatieren von c: aus oder muss auch die Partition d: platt gemacht werden? Gruß Herbert PS: Derzeit arbeite ich von einem anderen PC aus, von dem aus ich auch schon Passworte geändert habe. |
|
|
||
22.08.2006, 21:46
Ehrenmitglied
Beiträge: 29434 |
#15
c:\ reicht aus, wenn du formatiert hast, dann poste das neue log vom HijackTHis
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe das Problem, dass sich mein IE automatisch öffnet und Internet-Seiten aufrufen will. Habe bereit Ad-Aware und Spybot drüberlaufen lassen. Hilft aber nicht.
Hier mein HijackThis-Log:
Logfile of HijackThis v1.98.2
Scan saved at 11:26:42, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Analysis Services\Bin\msmdsrv.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\uphclean\uphclean.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Real Alternative\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Novell\ZENworks\NALDESK.EXE
C:\WINDOWS\system32\ndpsrv3.exe
C:\Programme\notes\NLNOTES.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsn.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\notes\ntaskldr.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\total_commander\TOTALCMD.EXE
L:\Office_2003\FILES\PFILES\MSOFFICE\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Spy\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.eurode.nordsee.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.eurode.nordsee.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Nordsee
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.138.0.20:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.136.*;10.137.*;10.138.*;172.*;*.euroat.nordsee.net;*.eurode.nordsee.net;*.eurode01.nordsee.net;nordsee.intranet.*,*.netware.nordsee.net;<local>
O1 - Hosts: 147.204.2.5 sapserv3
O1 - Hosts: 147.204.2.5 sapserv3a
O1 - Hosts: 172.16.16.4 NSWIEN
O1 - Hosts: 172.16.16.9 seepferd
O1 - Hosts: 172.16.16.19 VIES0025
O1 - Hosts: 172.16.16.37 VIES0037
O1 - Hosts: 213.168.192.165 www.nordsee.de
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
O4 - HKLM\..\RunOnce: [netssh.exe] netssh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE
O4 - Global Startup: Faxprinter.lnk = C:\WINDOWS\system32\ndpsrv3.exe
O4 - Global Startup: Lotus QuickStart.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://portal.eurode.nordsee.net
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\Software\..\Telephony: DomainName = eurode01.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: Domain = netware.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: NameServer = 10.136.1.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
Könnt Ihr mir helfen?
Gruss
Inge