Internet Explorer versucht selbstständig Verbindung herzustellen

#1 Hallöchen!

Habe seit kurzem das Problem, daß mein Internet-Explorer nach dem Windows-Start (sowie in regelmäßigen Abständen) selbstständig versucht eine Verbindung zur Seite 1r2b3cd9s669gi58k2q.servebeer.com herzustellen.
Gemerkt habe ich das eigentlich nur daran, daß sich meine Sygate Personal Firewall gemeldet hat. Habe jetzt den IE jetzt erstmal per Firewall gesperrt, da ich eh Mozilla benutze.
AdAware, Spybot und HijackThis habe ich bereits durchlaufen lassen. Weiterhin habe ich einen Virenscanner von McAfee mit aktuellen Signatur- und Enginedaten zu laufen.
Kann mir da jemand helfen? Nachfolgend die Ausgaben von SygatePF und HijackThis:

--> Hier die Ausgabe der Sygate PF:

Dateiversion : 6.00.2800.1106
Dateibeschreibung : Internet Explorer (IEXPLORE.EXE)
Dateipfad : C:\Programme\Internet Explorer\IEXPLORE.EXE
Prozess-ID : 174 (Heximal) 372 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 192.168.101.1
Lokaler Port : 1183
Remote-Name : 1r2b3cd9s669gi58k2q.servebeer.com
Remote-Adresse : 67.21.199.41
Remote-Port : 9999 (DISTINCT - distinct)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 76)
Destination: 00-50-7f-08-fb-3a
Source: 00-48-54-8e-52-07
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xa823 (Correct)
Source: 192.168.101.1
Destination: 67.21.199.41
Transmission Control Protocol (TCP)
Source port: 1183
Destination port: 9999
Sequence number: 881537196
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x51c2 (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 00 50 7F 08 FB 3A 00 48 : 54 8E 52 07 08 00 45 00 | .P...:.HT.R...E.
0010: 00 30 E7 37 40 00 40 06 : 23 A8 C0 A8 65 01 43 15 | .0.7@.@.#...e.C.
0020: C7 29 04 9F 27 0F 34 8B : 30 AC 00 00 00 00 70 02 | .)..'.4.0.....p.
0030: FF FF C2 51 00 00 02 04 : 05 B4 01 01 04 02 45 45 | ...Q..........EE
0040: 4A 43 41 43 41 43 41 43 : 41 43 41 43 | JCACACACACAC


--> Hier das HijackThis-LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 03:27:05, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\SYSTEM32\starter.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\totalcmd\TOTALCMD.EXE
E:\Downloads\Software\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\SYSTEM32\starter.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47489832-97FE-4243-B3A8-C9E83F252787}: NameServer = 192.168.101.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

#2 Genau genommen macht das der IE alle 2 Minuten. Kann allerdings in meinen Prozessen nix auffälliges finden. Zumal die SygatePF ja auch den IE als Verursacher meldet. Ein Browser-Fenster öffnet sich beim Zugriff allerdings nicht.
Eventuell ein IE-PlugIn?

#3 Hallo haidi,

Zitat

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 192.168.101.1
Lokaler Port : 1183
Remote-Name : 1r2b3cd9s669gi58k2q.servebeer.com
Remote-Adresse : 67.21.199.41
Remote-Port : 9999 (DISTINCT - distinct)

servebeer.com kommt mir verdächtig vor. Mit ein wenig Googlen bin ich auf folgende Links gestoßen, die sich mit diesem Thema befassen:

http://castlecops.com/postp408106.html
http://computercops.biz/print-1-93466.html

Vielleicht hilft Dir das weiter.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4 Hallo Heron!

- Vielen vielen Dank!!! Der Link No.2 hat mir weitergeholfen. Sollte vielleicht auch mal auf internationalen Seiten googln.

- Der erste Abschnitt nicht so sehr, da dort das HijackThis-log des Betroffenen abgearbeitet wurde & meins anders aussah. Der 2. Teil mit Mwav-Sacanner, CWShredder und cleanmgr hat's dann gebracht.

- Mwav hat folgende Sachen entfernt:

Wed Jan 12 10:26:09 2005 => File C:\WINNT\msgvc.dll infected by "Backdoor.Win32.Beastdoor.g" Virus. Action Taken: File Renamed.
Wed Jan 12 10:26:13 2005 => File C:\WINNT\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: File Deleted.
Wed Jan 12 10:27:54 2005 => File C:\WINNT\system32\msxwix.com infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted.
C:\RECYCLER\S-1-5-21-1275210071-842925246-1343024091-1000\Dc39.exe infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted.
Wed Jan 12 11:55:31 2005 => File C:\WINNT\msagent\msewnl.com infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted.

Mfg haidi

#5 Hallo,
brauche auch dringend Hilfe. Mein IE öffnet auch ständig von alleine irgendwelche Seiten die mir irgendwas verkaufen wollen was gut für meinen Computer sei. Und wenn ich die Seiten dann nicht direkt schließe, installieren sich irgendwelche Programme. Bin total verzweifelt.
Wer ist so lieb und hilft mir?
Habe schon escan, Adware und Spybot im abgesicherten drüber laufen lassen, aber es kommt immer wieder.

Liebe Grüße

Franz_Georg

#6 @haidi

ist Dein Problem gelöst? Wenn nicht, dann poste Dein neues HJT-Log noch einmal.


@Franz-Georg

HijackThis-Log erstellen und hierher posten. Wie es gemacht wird findest Du weiter oben im Forum.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 Hallo Heron,
vielen Dank daß Du Dich meiner annimmst. Hier mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 15:09:54, on 14.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\RUNDLL32.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVWIN32.EXE
C:\PROGRAMME\KLICKTEL\KLICKTEL HERBST 2004\KSTART32.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVREMIND.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMME\MSWORKS45\MSWORKS.EXE
C:\WIN98\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O4 - Startup: klickTel Herbst 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2004\KSTART32.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38366.0083680556
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15

Was kann ich tun?

Gruß
Franz-Georg

#8 Hallo Franz-Georg,

bin selbst leider kein HJT-Log Experte. Aber ein Tipp noch: Du hast mit einer sehr alten Version von HJT gescannt. Lade Dir doch bitte die neueste Version (1.99.0) von einer dieser Seiten
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
http://computercops.biz/zx/Merijn/hijackthis.zip
und poste das damit erstellte Log noch einmal. Dann wird sich sicher bald einer der Board-Profis Deines Problems annehmen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 @ Heron

Jaja, mein Problem ist gelöst (siehe Posting vom 11.01.2005, 18:05).
Vielen vielen Dank!!!

Mfg haidi

#10 Hallo Heron,

konnte leifer nicht eher. So denke daß ich jetzt das Richtige habe.
Hier mein logfile:
Logfile of HijackThis v1.99.0
Scan saved at 07:24:07, on 17.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\RUNDLL32.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVWIN32.EXE
C:\PROGRAMME\KLICKTEL\KLICKTEL HERBST 2004\KSTART32.EXE
C:\PROGRAMME\TOBIT INFOCENTER\DVREMIND.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WIN98\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN98\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN98\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0cj.net/srchasst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 69.20.16.183 #eautosearch
O1 - Hosts: 69.20.16.183 #eautosearch
O2 - BHO: (no name) - {266F1D88-6857-11D9-A8E6-0080A4EDA183} - C:\WIN98\SYSTEM\DMFHH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O4 - Startup: klickTel Herbst 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2004\KSTART32.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
O18 - Filter: text/html - {D5ED11A3-6856-11D9-A8E4-008006F2BD62} - C:\WIN98\SYSTEM\DMFHH.DLL
O18 - Filter: text/plain - {D5ED11A3-6856-11D9-A8E4-008006F2BD62} - C:\WIN98\SYSTEM\DMFHH.DLL


Was kann ich jetzt machen?

Gruß
Franz-Georg

#11 Hallo,

kann sich meiner jemand annehmen. Werde langsam verrückt. Habe meinen logfile bereits gesendet.

Bitte, bitte wer kann mir helfen?

Liebe Grüße
Franz-Georg

#12 Hallo liebes Forum,

wer kann mir helfen? Meine Startseite ändert sich ständig, Mein IE öffnet selbstständig und zeigt irgendwelche Werbeseiten wo ich was kaufen soll un wenn ich die nicht schnell schließe, versucht sich irgendwas zu installieren.

Wer ist so nett und holft mir?

Gruß
Franz-Georg