ich habe irgend ein schädling eingefangen Bitte prüfung des hijack logs
escan habe ich bereits laufen lassen, und die Startseite verändert sich
nicht mehr aber ich bin nicht sicher ob alles sauber ist

alles was auf delaval lautet ist sauber

Besten Dank



Logfile of HijackThis v1.97.7
Scan saved at 11:10:23, on 23.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Windows\SRVANY.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\helper.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Compaq\Hotkey Software\hkss.exe
C:\WINDOWS\system32\ltmsg.exe
C:\PROGRA~1\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\PROMon.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp
F0 - system.ini: Shell=explorer.exe, msmsgs.exe
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MessengerUserSetup] "C:\Program Files\messenger\SetupUserAndSignin.vbs"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: http://setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: http://setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://intranet.delaval.local
O15 - Trusted Zone: http://intranettext.delaval.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

@
die O15 einträge bekommst du hiermit weg
mach bitte folgendes:

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.

Es sollten jetzt alle Einträge aus den vertrauenswürdigen Sites verschwunden sein.
Starte den Rechner neu und poste anschließend ein neues Log von HijackThis.

Zitat:
; DelDomains.inf
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

ZitatLutz
poste danach ein HJT logfile der aktuellen version
http://www.hijackthis.de/de
chaosman

besten dank für die rasche Antwort

die 015 schliesse ich aus die sind in Ordnung da bin ich mir sicher
ist eine spez. Software auf meinem Rechner
wenn der Rest in Ordnung ist habe ich das Problem wohl gelöst

Hallo,

ist diese Datei bei Dir noch vorhanden?

C:\WINDOWS\system32\msmsgs.exe

dartus

Hallo

die Datei ist vorhhanden aber ohne exe endung C:\WINDOWS\system32\msmsgs.exe

Hallo lubin,

dann hast Du die Ordneroption "Erweiterung bei bekannten Dateitypen ausblenden" aktiviert.
Lösche die Datei und fixe den Eintrag im abgesicherten Modus bei deaktivierter Systemwiederherstellung.http://www.systemwiederherstellung-d...indows-xp.html
dartus

Hallo setze hier nochmas eine Hijack liste rein, hab mit der Startseite keine Probleme mehr aber es öffnen sich immer verschiedene Fenster bei verbundenem Internet

es öffnet sich meistens www.instantseach.cc

in der Anzeig am unteren Bildschirmrand bekomme ich die Meldung

System Notice: Anti Spam

Your System perfomacne is reduced by 45%
due to a great number of daily incoming spam
Click icon to get full list of available anti spam
software

ich weiss nicht ob wirklich was auf dem System ist oder ob sie mir nur eine
Software verkaufen wollen, wenn das System sauber ist wie kriege ich diese
Meldungen weg??

Besten Dank an alle die helfen können



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Windows\SRVANY.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\helper.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Compaq\Hotkey Software\hkss.exe
C:\WINDOWS\system32\ltmsg.exe
C:\PROGRA~1\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\PROMon.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Rabbit\om\BIN\WIN32\Rabbit.EXE
C:\Aladin\Prog\Aladin.exe
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: http://setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: http://setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://intranet.delaval.local
O15 - Trusted Zone: http://intranettext.delaval.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

Hallo,

lass mal folgende Datei:

C:\WINDOWS\system32\helper.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile dann das 12-zeilige Ergebnis mit.

dartus

-> bitte die aktuelle Version von HjT verwenden.

Auslastung:
0% 100% Datei: helper.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG
AntiVir Keine Viren gefunden (0.40 Sekunden)
Avast Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus Keine Viren gefunden (1.93 Sekunden)
BitDefender Keine Viren gefunden (2.14 Sekunden)
ClamAV Keine Viren gefunden (1.15 Sekunden)
Dr.Web Keine Viren gefunden (1.44 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.27 Sekunden)
Fortinet Keine Viren gefunden (0.86 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (2.05 Sekunden)
mks_vir Keine Viren gefunden (0.40 Sekunden)
NOD32 Keine Viren gefunden (1.10 Sekunden)
Norman Virus Control Keine Viren gefunden (1.48 Sekunden)
Statistik Zuletzt gefundene Malware war W32/MEWpacked.gen in winie.exe, gefunden von:

Scanner Name der Malware Dauer AntiVir Worm/SdBot.43829 0.40 Sekunden Avast X 3.12 Sekunden AVG Antivirus X 2.02 Sekunden BitDefender Backdoor.SDBot.DA2649D8 1.70 Sekunden ClamAV X 0.73 Sekunden Dr. Web Win32.HLLW.ForBot 1.04 Sekunden F-Prot Antivirus X 0.72 Sekunden Fortinet X 0.47 Sekunden Kaspersky Anti-Virus Backdoor.Win32.SdBot.gen 1.07 Sekunden mks_vir X 0.24 Sekunden NOD32 probably unknown NewHeur_PE 1.20 Sekunden Norman Virus Control W32/MEWpacked.gen 0.23 Sekunden

Hallo

die Liste gemäss deinen Angaben

schönen Gruss

Hallo lubin,

uploade die Datei bitte mal hier:

http://www.malwareupload.com
Erläuterungen

Du erhälst dann ein Analyseergebnis. Er wäre nett, wenn Du es posten würdest.

dartus

Hallo dartus

ich habe gestern noch div. Dateien wie perfcii.ini, popuper.exe, gelöscht und alles was mir sonst noch verdächtig war, das Problem scheint sich jetzt gelöst zu haben,

Besten dank für deine Hilfe

was passiert mit den Daten bei deinem Vorschlag oben, stelle nicht so gerne alles ins Internet?

gruss und schöne Ostern

Hallo lubin,

klick auf Erläuterungen, damit sollten Deine Fragen beantwortet sein.
Du kannst ja mit escan Dein System durchsuchen lassen(Anleitung.
Scan am besten im abgesicherten Modus.

Auch Dir schöne Ostern

dartus