Internet Explorer versucht selbstständig Verbindung herzustellen |
||
---|---|---|
#0
| ||
11.01.2005, 03:41
...neu hier
Beiträge: 4 |
||
|
||
11.01.2005, 04:21
...neu hier
Themenstarter Beiträge: 4 |
#2
Genau genommen macht das der IE alle 2 Minuten. Kann allerdings in meinen Prozessen nix auffälliges finden. Zumal die SygatePF ja auch den IE als Verursacher meldet. Ein Browser-Fenster öffnet sich beim Zugriff allerdings nicht.
Eventuell ein IE-PlugIn? |
|
|
||
11.01.2005, 08:18
Member
Beiträge: 1132 |
#3
Hallo haidi,
Zitat Verbindungsursprung : lokal initiertservebeer.com kommt mir verdächtig vor. Mit ein wenig Googlen bin ich auf folgende Links gestoßen, die sich mit diesem Thema befassen: http://castlecops.com/postp408106.html http://computercops.biz/print-1-93466.html Vielleicht hilft Dir das weiter. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
11.01.2005, 18:05
...neu hier
Themenstarter Beiträge: 4 |
#4
Hallo Heron!
- Vielen vielen Dank!!! Der Link No.2 hat mir weitergeholfen. Sollte vielleicht auch mal auf internationalen Seiten googln. - Der erste Abschnitt nicht so sehr, da dort das HijackThis-log des Betroffenen abgearbeitet wurde & meins anders aussah. Der 2. Teil mit Mwav-Sacanner, CWShredder und cleanmgr hat's dann gebracht. - Mwav hat folgende Sachen entfernt: Wed Jan 12 10:26:09 2005 => File C:\WINNT\msgvc.dll infected by "Backdoor.Win32.Beastdoor.g" Virus. Action Taken: File Renamed. Wed Jan 12 10:26:13 2005 => File C:\WINNT\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: File Deleted. Wed Jan 12 10:27:54 2005 => File C:\WINNT\system32\msxwix.com infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted. C:\RECYCLER\S-1-5-21-1275210071-842925246-1343024091-1000\Dc39.exe infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted. Wed Jan 12 11:55:31 2005 => File C:\WINNT\msagent\msewnl.com infected by "Trojan-Dropper.Win32.Delf.fn" Virus. Action Taken: File Deleted. Mfg haidi |
|
|
||
14.01.2005, 13:26
Member
Beiträge: 24 |
#5
Hallo,
brauche auch dringend Hilfe. Mein IE öffnet auch ständig von alleine irgendwelche Seiten die mir irgendwas verkaufen wollen was gut für meinen Computer sei. Und wenn ich die Seiten dann nicht direkt schließe, installieren sich irgendwelche Programme. Bin total verzweifelt. Wer ist so lieb und hilft mir? Habe schon escan, Adware und Spybot im abgesicherten drüber laufen lassen, aber es kommt immer wieder. Liebe Grüße Franz_Georg |
|
|
||
14.01.2005, 14:57
Member
Beiträge: 1132 |
#6
@haidi
ist Dein Problem gelöst? Wenn nicht, dann poste Dein neues HJT-Log noch einmal. @Franz-Georg HijackThis-Log erstellen und hierher posten. Wie es gemacht wird findest Du weiter oben im Forum. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
14.01.2005, 15:11
Member
Beiträge: 24 |
#7
Hallo Heron,
vielen Dank daß Du Dich meiner annimmst. Hier mein Log: Logfile of HijackThis v1.97.7 Scan saved at 15:09:54, on 14.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WIN98\SYSTEM\KERNEL32.DLL C:\WIN98\SYSTEM\MSGSRV32.EXE C:\WIN98\SYSTEM\MPREXE.EXE C:\WIN98\SYSTEM\mmtask.tsk C:\WIN98\EXPLORER.EXE C:\WIN98\RUNDLL32.EXE C:\PROGRAMME\TOBIT INFOCENTER\DVWIN32.EXE C:\PROGRAMME\KLICKTEL\KLICKTEL HERBST 2004\KSTART32.EXE C:\PROGRAMME\TOBIT INFOCENTER\DVREMIND.EXE C:\WIN98\SYSTEM\SPOOL32.EXE C:\WIN98\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\PROGRAMME\MSWORKS45\MSWORKS.EXE C:\WIN98\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX O4 - Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE O4 - Startup: klickTel Herbst 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2004\KSTART32.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38366.0083680556 O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15 Was kann ich tun? Gruß Franz-Georg |
|
|
||
14.01.2005, 15:19
Member
Beiträge: 1132 |
#8
Hallo Franz-Georg,
bin selbst leider kein HJT-Log Experte. Aber ein Tipp noch: Du hast mit einer sehr alten Version von HJT gescannt. Lade Dir doch bitte die neueste Version (1.99.0) von einer dieser Seiten http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip http://computercops.biz/zx/Merijn/hijackthis.zip und poste das damit erstellte Log noch einmal. Dann wird sich sicher bald einer der Board-Profis Deines Problems annehmen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
14.01.2005, 15:39
...neu hier
Themenstarter Beiträge: 4 |
#9
@ Heron
Jaja, mein Problem ist gelöst (siehe Posting vom 11.01.2005, 18:05). Vielen vielen Dank!!! Mfg haidi |
|
|
||
17.01.2005, 07:28
Member
Beiträge: 24 |
#10
Hallo Heron,
konnte leifer nicht eher. So denke daß ich jetzt das Richtige habe. Hier mein logfile: Logfile of HijackThis v1.99.0 Scan saved at 07:24:07, on 17.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WIN98\SYSTEM\KERNEL32.DLL C:\WIN98\SYSTEM\MSGSRV32.EXE C:\WIN98\SYSTEM\MPREXE.EXE C:\WIN98\SYSTEM\mmtask.tsk C:\WIN98\EXPLORER.EXE C:\WIN98\RUNDLL32.EXE C:\PROGRAMME\TOBIT INFOCENTER\DVWIN32.EXE C:\PROGRAMME\KLICKTEL\KLICKTEL HERBST 2004\KSTART32.EXE C:\PROGRAMME\TOBIT INFOCENTER\DVREMIND.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WIN98\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN98\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN98\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0cj.net/srchasst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 69.20.16.183 #eautosearch O1 - Hosts: 69.20.16.183 #eautosearch O2 - BHO: (no name) - {266F1D88-6857-11D9-A8E6-0080A4EDA183} - C:\WIN98\SYSTEM\DMFHH.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX O4 - Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE O4 - Startup: klickTel Herbst 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2004\KSTART32.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file) O18 - Filter: text/html - {D5ED11A3-6856-11D9-A8E4-008006F2BD62} - C:\WIN98\SYSTEM\DMFHH.DLL O18 - Filter: text/plain - {D5ED11A3-6856-11D9-A8E4-008006F2BD62} - C:\WIN98\SYSTEM\DMFHH.DLL Was kann ich jetzt machen? Gruß Franz-Georg |
|
|
||
17.01.2005, 09:35
Member
Beiträge: 24 |
#11
Hallo,
kann sich meiner jemand annehmen. Werde langsam verrückt. Habe meinen logfile bereits gesendet. Bitte, bitte wer kann mir helfen? Liebe Grüße Franz-Georg |
|
|
||
18.01.2005, 09:44
Member
Beiträge: 24 |
#12
Hallo liebes Forum,
wer kann mir helfen? Meine Startseite ändert sich ständig, Mein IE öffnet selbstständig und zeigt irgendwelche Werbeseiten wo ich was kaufen soll un wenn ich die nicht schnell schließe, versucht sich irgendwas zu installieren. Wer ist so nett und holft mir? Gruß Franz-Georg |
|
|
||
Habe seit kurzem das Problem, daß mein Internet-Explorer nach dem Windows-Start (sowie in regelmäßigen Abständen) selbstständig versucht eine Verbindung zur Seite 1r2b3cd9s669gi58k2q.servebeer.com herzustellen.
Gemerkt habe ich das eigentlich nur daran, daß sich meine Sygate Personal Firewall gemeldet hat. Habe jetzt den IE jetzt erstmal per Firewall gesperrt, da ich eh Mozilla benutze.
AdAware, Spybot und HijackThis habe ich bereits durchlaufen lassen. Weiterhin habe ich einen Virenscanner von McAfee mit aktuellen Signatur- und Enginedaten zu laufen.
Kann mir da jemand helfen? Nachfolgend die Ausgaben von SygatePF und HijackThis:
--> Hier die Ausgabe der Sygate PF:
Dateiversion : 6.00.2800.1106
Dateibeschreibung : Internet Explorer (IEXPLORE.EXE)
Dateipfad : C:\Programme\Internet Explorer\IEXPLORE.EXE
Prozess-ID : 174 (Heximal) 372 (Dezimal)
Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 192.168.101.1
Lokaler Port : 1183
Remote-Name : 1r2b3cd9s669gi58k2q.servebeer.com
Remote-Adresse : 67.21.199.41
Remote-Port : 9999 (DISTINCT - distinct)
Ethernet-Paket-Details:
Ethernet II (Packet Length: 76)
Destination: 00-50-7f-08-fb-3a
Source: 00-48-54-8e-52-07
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xa823 (Correct)
Source: 192.168.101.1
Destination: 67.21.199.41
Transmission Control Protocol (TCP)
Source port: 1183
Destination port: 9999
Sequence number: 881537196
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x51c2 (Correct)
Data (0 Bytes)
Binäres Abbild des Pakets:
0000: 00 50 7F 08 FB 3A 00 48 : 54 8E 52 07 08 00 45 00 | .P...:.HT.R...E.
0010: 00 30 E7 37 40 00 40 06 : 23 A8 C0 A8 65 01 43 15 | .0.7@.@.#...e.C.
0020: C7 29 04 9F 27 0F 34 8B : 30 AC 00 00 00 00 70 02 | .)..'.4.0.....p.
0030: FF FF C2 51 00 00 02 04 : 05 B4 01 01 04 02 45 45 | ...Q..........EE
0040: 4A 43 41 43 41 43 41 43 : 41 43 41 43 | JCACACACACAC
--> Hier das HijackThis-LogFile:
Logfile of HijackThis v1.99.0
Scan saved at 03:27:05, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\SYSTEM32\starter.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\totalcmd\TOTALCMD.EXE
E:\Downloads\Software\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\SYSTEM32\starter.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47489832-97FE-4243-B3A8-C9E83F252787}: NameServer = 192.168.101.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe