Internet Explorer startet automatisch

#1 Hallo Spezialisten,

ich habe das Problem, dass sich mein IE automatisch öffnet und Internet-Seiten aufrufen will. Habe bereit Ad-Aware und Spybot drüberlaufen lassen. Hilft aber nicht.

Hier mein HijackThis-Log:

Logfile of HijackThis v1.98.2
Scan saved at 11:26:42, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Analysis Services\Bin\msmdsrv.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\uphclean\uphclean.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Real Alternative\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Novell\ZENworks\NALDESK.EXE
C:\WINDOWS\system32\ndpsrv3.exe
C:\Programme\notes\NLNOTES.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsn.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\notes\ntaskldr.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\total_commander\TOTALCMD.EXE
L:\Office_2003\FILES\PFILES\MSOFFICE\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.eurode.nordsee.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.eurode.nordsee.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Nordsee
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.138.0.20:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.136.*;10.137.*;10.138.*;172.*;*.euroat.nordsee.net;*.eurode.nordsee.net;*.eurode01.nordsee.net;nordsee.intranet.*,*.netware.nordsee.net;<local>
O1 - Hosts: 147.204.2.5 sapserv3
O1 - Hosts: 147.204.2.5 sapserv3a
O1 - Hosts: 172.16.16.4 NSWIEN
O1 - Hosts: 172.16.16.9 seepferd
O1 - Hosts: 172.16.16.19 VIES0025
O1 - Hosts: 172.16.16.37 VIES0037
O1 - Hosts: 213.168.192.165 www.nordsee.de
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
O4 - HKLM\..\RunOnce: [netssh.exe] netssh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE
O4 - Global Startup: Faxprinter.lnk = C:\WINDOWS\system32\ndpsrv3.exe
O4 - Global Startup: Lotus QuickStart.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://portal.eurode.nordsee.net
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\Software\..\Telephony: DomainName = eurode01.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: Domain = netware.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: NameServer = 10.136.1.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net

Könnt Ihr mir helfen?

Gruss

Inge

#2 Du hast dir da einen der "haesslichen" Sorte eingefangen. Bevor wir da alles wild mache, weisst du, wo du dir diesen Hijacker eingefangen hast?
__________
MfG Ralf
SEO-Spam Hunter

#3 Nein, leider nicht. PC wird von mehreren Personen genutzt.
--
MfG Inge

#4 Ich muss mal sehen, wie ich das am besten erklaeren kann. Lies dir mal inzwischen das durch!

http://www.rokop-security.de/board/index.php?showtopic=5990&hl=
__________
MfG Ralf
SEO-Spam Hunter

#5 Hmm, sehr interessant.

Ms4Hd_look gibt bei mir folgendes wieder:

An Ms4Hd_look by IMM (v0.001)
----------------------------------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Return code was 0XC0000034

----------------------------------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Return code was 0XC0000034

----------------------------------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Return code was 0XC0000034

----------------------------------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Return code was 0XC0000034

----------------------------------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Return code was 0XC0000034

--
MfG Inge

#6 Ja, inzwischen weiss ich etwas mehr. Du solltest folgende Dateien auf deinem Rechner im abgesicherten Modus findeen koennen:

(FOLDER) C:\WINDOWS\system32
(+)(FILE) clfmon.exe = 12:41 29.11.04 23552 bytes
(+)(FILE) getdns.exe = 12:42 29.11.04 6656 bytes
(+)(FILE) netcfg.dll = 12:45 29.11.04 11264 bytes
(+)(FILE) netssh.exe = 12:41 29.11.04 14380 bytes
(+)(FILE) odbcfg32.dll = 12:41 29.11.04 10752 bytes
(+)(FILE) p2pserv.dll = 12:42 29.11.04 27648 bytes
(+)(FILE) rsn.exe = 12:42 29.11.04 16896 bytes
(+)(FILE) syspack.dll = 12:45 29.11.04 14848 bytes

Diese solltest du per Hand oder mit Hilfe von Killbox umbenennen oder loeschen.
Diese Eintraege auch bitte aus der REgistrierung entfernen:

(+)(REG KEY) HKEY_USERS\S-1-5-21-1220945662-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7
(+)(REG KEY) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7

und folgendes fixen:
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll
O4 - HKLM\..\RunOnce: [netssh.exe] netssh.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe

Alles das in einer "Sitzung" im abgesicherten Modus und dan neu starten.

Das Problem ist, das der Rechner ein Geschaeftlich genutzter zu sein scheint. Das bedeutet das du es lieber nicht machen solltest, sondern jemand, der den PC sowieso wartet. Ich weiss leider nicht, wie das bei euch gehandhabt wird.

Sowieso alles auf eigene Gefahr, gewaehrleistung uebernehme ich keine!
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Ralf,

ich warte den PC .... von daher kein Problem. Habe die Schritte ausgeführt und bin symptomfrei. Super!

Hier mein aktuelles Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:41:16, on 30.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Analysis Services\Bin\msmdsrv.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\uphclean\uphclean.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Real Alternative\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Novell\ZENworks\NALDESK.EXE
C:\WINDOWS\system32\ndpsrv3.exe
C:\Programme\notes\NLNOTES.EXE
C:\Programme\notes\ntaskldr.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.eurode.nordsee.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.eurode.nordsee.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Nordsee
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.138.0.20:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.136.*;10.137.*;10.138.*;172.*;*.euroat.nordsee.net;*.eurode.nordsee.net;*.eurode01.nordsee.net;nordsee.intranet.*,*.netware.nordsee.net;<local>
O1 - Hosts: 147.204.2.5 sapserv3
O1 - Hosts: 147.204.2.5 sapserv3a
O1 - Hosts: 172.16.16.4 NSWIEN
O1 - Hosts: 172.16.16.9 seepferd
O1 - Hosts: 172.16.16.19 VIES0025
O1 - Hosts: 172.16.16.37 VIES0037
O1 - Hosts: 213.168.192.165 www.nordsee.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe
O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE
O4 - Global Startup: Faxprinter.lnk = C:\WINDOWS\system32\ndpsrv3.exe
O4 - Global Startup: Lotus QuickStart.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://portal.eurode.nordsee.net
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\Software\..\Telephony: DomainName = eurode01.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: Domain = netware.nordsee.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D08964E-BEFD-4F57-8D89-0BE48AEC8984}: NameServer = 10.136.1.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurode01.nordsee.net

Vielen, vielen Dank !!!!

--
MfG Inge

#8 Sieht nun schon nicht so schlecht Aus! Vieleicht solltest du fuer die verschiednen Benutzer ein extra (eingeschraenktes) Konto einrichten?!
__________
MfG Ralf
SEO-Spam Hunter

#9 Ja, da hast Du wohl recht.
Vielen Dank nochmal.
--
MfG Inge

#10 Hallo,

habe das gleiche Problem und wäre glücklich, wenn mir auch geholfen werden könnte. Vorausgeschickt: Habe die verschiedenen Threads mit dem selben oder ähnlichen Themen gelesen und kann mir unter einigen der genannten Maßnahmen nicht viel vorstellen - soll heißen: Habe keine Ahnung. Bin schon froh, an diesem Punkt ("posten") angelangt zu sein...

Für Hilfe schon jetzt herzlichen Dank.


Logfile of HijackThis v1.99.1
Scan saved at 23:00:06, on 21.08.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\STARTER.EXE
C:\STHVCD55\SYSEXPLR.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ZYXEL\ZYXEL G-220 V2 WIRELESS ADAPTER UTILITY-PROGRAMM\ZYXEL G-220 V2.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HYJACKTHIS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ethzs.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ethzs.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1EE57E4D-EAEA-07DB-481D-CD29FC942E80} - C:\WINDOWS\SYSTEM\SYSVX32.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SysExplr] C:\STHVCD55\SysExplr.EXE
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunOnce: [WU2_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\WUAUPD98.DLL
O4 - HKLM\..\RunOnce: [UpdateHook] C:\WINDOWS\rundll32.exe AUHKNEW.DLL,RenameDll
O4 - HKLM\..\RunOnce: [WU4_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\AUHOOK.DLL
O4 - Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O4 - Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.greatplugin.com/diallerfiles/023367.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab

#11 hermalinak

der Rechner ist verseucht und ueber den Startseitentrojaner werden alle Infos, die du im net irgenwo eintippst, an eine Seite geschickt und dort koennen sie abgefragt werden, also auch deine passworte und falls du Onlinebanking machst, diese Daten auch.
Du solltest formatieren.....und dann wichtige passworte aendern
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina,

Danke für die schnelle Antwort - auch wenn sie natürlich nicht so berauschend ist.

Eine Frage noch: Funktioniert dieser Trojaner auch, wenn ich (wie seit einigen Tagen) Mozilla verwende? Sprich: Nutzt eine Passwortänderung über Firefox für die Zeit bis zur Neueinrichtung?

Gruß
Herbert

#13 wie schon gesagt, alles was du im net machst, alles was du eingibst, wird gespeichert und diese Informationen koennen dann von unbekannt genutzt werden.
wenn du also heute ein Passwort aenderst, wird es ebenfalls gespeichert - also, nicht mehr surfen, sondern formatieren !
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina,

reicht das Formatieren von c: aus oder muss auch die Partition d: platt gemacht werden?

Gruß
Herbert

PS: Derzeit arbeite ich von einem anderen PC aus, von dem aus ich auch schon Passworte geändert habe.

#15 c:\ reicht aus, wenn du formatiert hast, dann poste das neue log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit