Hallo,

mein Browser öffnet sich automatisch nach dem Start. Bitte um Hilfe!!!


Logfile of HijackThis v1.99.1
Scan saved at 21:47:01, on 31.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [GetUsagev2] C:\Dokumente und Einstellungen\Daniel\Desktop\getusage2xp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sbrowser.exe] C:\Programme\SlimBrowser\sbrowser.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1097665960214
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global...er/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A261765-881F-4706-A8E2-A38F2822DEFE}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC6CFB11-F391-4F42-B658-D8B3C60B5DDA}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Danke!

fixe mit HijackThis diese eintrag:
O4 - HKLM\..\Run: [sbrowser.exe] C:\Programme\SlimBrowser\sbrowser.exe

deswegen startet er den browser beim systemstart ^^
achja vdie ganzen aufsätze für den IE sind nicht so gut - benutze gleich einen richtigen browser wie Mozilla Firefox.

@chris14
Was ist von dem Eintrag zu halten?

Zitat:

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

Laut der Site
http://www.bleepingcomputer.com/star....exe-3675.html
und der
http://www.tasklist.org/task_netsvc_exe_2239.html
ein Hinweis auf einen Backdoor?

Oder suche ich falsch?
Bin schon neugierig
stupormundi

aaaah. das hab ich übersehn!!
ich vermute - dank stupormudi - einen backdoor
lass die datei C:\WINDOWS\System32\S24EvMon.exe und
C:\Programme\Intel\NCS\Sync\NetSvc.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis

~edited~ 2.file vergessen ~edited~

Wie wärs mit einem Komplettscan?

@Daniel2005
lass mal escan laut Anweisung von Cidre
http://www.trojaner-board.de/showthread.php?t=17492
laufen und poste das Ergebnis

Hab Geduld, wenn Du denn Scan im abgesicherten Modus nach Anweisung richtig laufen lässt, braucht er min 1 Stunde und mehr!

@chris14

Zitat:

C:\WINDOWS\System32\S24EvMon.exe

http://www.liutilities.com/products/...rary/s24evmon/
http://www.neuber.com/taskmanager/pr...evmon.exe.html
ist eigentlich am richtigen Platz und erscheint harmlos. Aber eine Prüfung schadet nie!

Bis denn, stupormundi

gute idee. ich hab mir eher gedacht dass wir uns den kompletttest sparen können, wenn wir gleich wissen das da ein backdoor drauf ist - ist schon alles richtig geplant wenn da alles mit der file in ordnung wäre hätte ich den full scan empfohlen^^
les mein unteres posting^^ is editiert hab nur die 2.file vergessen^^

Title: [Intel NCS NetService]

Filename: NetSvc.exe

Status=L *

Description:
Intel NCS NetService

More information:
http://antispyware.nextdesigns.net/0...ch2&name=Intel NCS NetService


* L=Legitimate

@raman
Ist bekannt - jedoch die vielen Hinweise anderer Sites
s.o. links und auch wieder
http://www.pcreview.co.uk/startup/in...vc.exe&do=file
lassen es doch sinnvoll erscheinen, mal genauer hinzusehen!

@daniel2005: lass, wie von chris14 ja auch empfohlen, zumindest die angegebene Datei prüfen!

bis denn, stupormundi

Dein Agobot waere es, wenn es das waere:

O4 - HKLM\..\Run: [Network Service Manager] netsvc.exe
O4 - HKLM\..\RunServices: [Network Service Manager] netsvc.exe

@raman & stupormundi spekulationen bringen uns in diesem fall nicht weiter. wir könnten jetzt den ganzen tag darüber rätseln was es ist. ein escan oder ein uploading to http://virusscan.jotti.org/de wird erst die wahrheit feststellen. also warten wir am besten auf beide ergebnisse.

@chris14 *FULL ACK*
@raman schauen kostet nix, nutzt es nichts, so schadet es auch nicht
und wir alle sind nachher schlauer!

Bis denn, stupormundi

Zitat:

Zitat von Chris14

aaaah. das hab ich übersehn!!
ich vermute - dank stupormudi - einen backdoor
lass die datei C:\WINDOWS\System32\S24EvMon.exe und
C:\Programme\Intel\NCS\Sync\NetSvc.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis

~edited~ 2.file vergessen ~edited~

Vielen Dank für eure Hilfe!! Ich habe die beiden Dateien prüfen lassen, alles okay. Soll noch ein voller Systemscan folgen?

Auslastung: 0% 100%

Datei: S24EvMon.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Auslastung: 0% 100%

Datei: NetSvc.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

@raman - hast recht gehabt -
@daniel2005 ja, weil wir den Grund für Dein Problem noch nicht kennen!
bis denn, stupormundi

Zitat:

Zitat von stupormundi

@raman - hast recht gehabt -
@daniel2005 ja, weil wir den Grund für Dein Problem noch nicht kennen!
bis denn, stupormundi

escan durchgeführt, alles i.o. keine viren oder sonstiges. start klappt jetzt auch wieder einwandfrei. danke!!!