ok als erstes das hier ausführen dann ist der schon mal weg

boote dann in den abgesicherten Modus und fixe mit HJT folgende Einträge:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

lösche von Hand

C:\WINNT\web\related.htm

Frage hast Du den Proxy eingerichtet?

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.0.0.30:3128

kennst Du folgendes?

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35
kennst Du diese IP?

neu booten neues HJT posten

Lösche von Hand im Abgesicherten Modus?


Meine das ist unser Hauptserver, auf jeden Fall kommt mir die Zahlenart bekannt vor..

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.0.0.30:3128


Domain ecv.intra klingt logisch für mich, da wir hier das Kürzel "egv" oft benutzen.
Den NameServer 10.0.1.35 denke ich gehört zu unserem Hauptserver

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35

Auf ein Neues..


Logfile of HijackThis v1.99.1
Scan saved at 13:29:23, on 04.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\NORMAN\bin\ZANDA.EXE
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\bin\NJEEVES.EXE
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINNT\System32\Novell\XTAgent.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\NWTRAY.EXE
C:\NORMAN\bin\ZLH.EXE
C:\WINNT\mHotkey.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINNT\system32\dpmw32.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Novell\ZENworks\NalAgent.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\NORMAN\Nvc\bin\cclaw.exe
C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.erzbistum-paderborn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.30:3128
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SCHDPL32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: NALDSK.bat
O4 - Global Startup: Outlook Express starten.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\System32\oodag.exe
O23 - Service: OracleORACLE6iClientCache80 - Unknown owner - c:\oracle\ORACLE6i\BIN\ONRSD80.EXE
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
den noch im abgesicherten Modus fixen
problem jetzt gelösst?

Das weiß ich doch nicht, ob dann mein Problem gelöst ist...?

Das musst du mir dann schon sagen, ob ich noch irgendwelche Probleme haben..

Zitat:

Das musst du mir dann schon sagen, ob ich noch irgendwelche Probleme haben..

wenn Du die beiden in meinem letzten Posting gefixt hastund eScan auch nicht's mehr findet sollte der Käs gegessen sein

Also eines muss ich jetzt erst mal loswerden..

Ich bin kein Computergenie und hab mich mit derartigem Zeug wie es hier angesprochen wird noch nie beschäftigt.

Ich hätte nie gedacht, dass ich diese hier beschriebenen Schritte so einfach verwirklichen und aussführen könnte..

Darum möchte ich jetzt erst mal ein riesen Lob und meine größte Wertschätzung denjenigen aussprechen, "natürlich vorallem GIGAMAIL", die hier so tapfer den Laien auf einer tollen Art und Weise erklären, wie sie ihre Software wieder von Dreck befreien.. :aplaus:

Diese Ruhe und Gedult muss man erst mal aufbringen und dass ohne einen Pfennig für den Zeitaufwand zu nehmen.

Vielen herzlichen Dank auch allen, die soetwas überhaupt ermöglichen..

Was einem hier an Hilfsbereitschaft begegnet, ist schon unvergleichlich..

Es gibt doch noch Gründe in dieser Gesellschaft an das Gute zu denken..


Viele Grüße und weiter so

Waemsa

ich fühle mich echt geschmeichelt :aplaus:
Danke

Hallo.. ich bin neu hier..und habe genau den selben auf meinem Rechner ..nun wollte ich fragen ob mir jemand helfen kann, wenn ich alles so mache wie Gigamail es beschrieben hat und dann die scans poste...habe nicht wirklich die ahnung über tr´s und viren..

mfg andy