Hallo,

Freund von mir hat seit paar Tagen ein neues Icon in der Tray-Leiste

rechte oder linke Maustaste drauf

öffnet die Seite hxxp://de.errorsafe.com im Browser.

Auch der Browser wurde die Startseite verändert, sprich wird immer wieder dorthin geleitet.

Seit heute kommt auch folgende Meldung bei ihm auf den Screen


wisst ihr was da los ist ?
gruß Storch


Hier die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 23:33:11, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\VPNremote for Windows XP\AvVpnService.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~2\FireSvc.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\Video ActiveX Object\isamonitor.exe
C:\Program Files\Video ActiveX Object\pmsngr.exe
C:\Program Files\Video ActiveX Object\pmmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Video ActiveX Object\isamini.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINNT\System32\DSentry.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~2\Firetray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\srvany.exe
C:\Program Files\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Network Associates\Common Framework\McScript_InUse.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Documents and Settings\stm6fr\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intranet.xxxxx.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://psoxap01.eng.xxxxx.com:7009/sox/log.on.do
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = provided by xxxxx-xxxxx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Program Files\Video ActiveX Object\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Customizing_EDS] cscript "C:\Program Files\Customizing_EDS\Run_Customizing_EDS.vbs"
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ChkBootRun] C:\WINNT\ChkBootRun.EXE 2 900 120 "Sicherheitspatch MS06-071 - i.A von xxxxx GmbH & Co. KG"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [lcfep] "C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe" -x
O4 - HKLM\..\Run: [TivoliMobileService] "C:\WINNT\System32\Tivlogon.exe"
O4 - HKLM\..\Run: [McAfeeFireTray] C:\PROGRA~1\NETWOR~1\MCAFEE~2\Firetray.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.TNDEXP-80205] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envTNDEXP-80205"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7CD66D2D-8AB1-4F3A-9133-F7BE30A27498} - https://www.openbc.com/sync/index.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.corp.lan
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.corp.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.corp.lan
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: xxxxx VPN Service (AvService) - Unknown owner - C:\Program Files\VPNremote for Windows XP\AvVpnService.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - McAfee, Inc. - C:\PROGRA~1\NETWOR~1\MCAFEE~2\FireSvc.exe
O23 - Service: killmobile - Unknown owner - C:\WINNT\srvany.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: tivmobile - Unknown owner - C:\WINNT\srvany.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - TIVOLI Systems - C:\WINNT\RCSERV.EXE

Hallo auch

kann es sein, dass es sich hier um einen Firmenrechner handelt?

MFG

Hallo nochdigger,
hast du richtig erkannt.

Er greift mit seinem Notebook meist aufs Firmennetzwerk zu.
Momentan scheint bei ihm nur noch Outlook zu funktionieren, auf Webseiten kann er gar nicht mehr zugreifen.


Das am Ende das System neu aufgesetzt werden muss, ist mir irgendwie jetzt schon klar, doch vielleicht gibt es ja noch hoffnung.

Gruß Storch

Dann soll sich Dein Freund vertrauensvoll an seinen Admin wenden.

Zitat:

Zitat von felix1

Dann soll sich Dein Freund vertrauensvoll an seinen Admin wenden.

Hi felix1, erstmal danke für deine hilfreiche Antwort,
doch ich glaub die Admins da sind da nicht so kompetent wie manche Leute hier im Forum
grad in Sachen "security".

Hatte vor 3-4 Jahren das letzte (und erstemal) einen Hijacker bei mir auf dem System, und da wurde mir hier prima geholfen.
Seitdem nutz ich kein IE mehr und kamen auch keine Probleme mehr auf.
Nur würde mich persönlich ja nu auch interessieren, wie man diesen Müll von seinem Notebook wieder entfernen kann.

Bzw. was genau bei ihm murks ist?

Gruß Storch

Zitat:

Zitat von Storch

Hi felix1, erstmal danke für deine hilfreiche Antwort,
doch ich glaub die Admins da sind da nicht so kompetent wie manche Leute hier im Forum
grad in Sachen "security".

Und genau diese Leute werden dafür bezahlt Sicherheit zu geben bzw. dafür zu sorgen! Wir hier im Forum, stellen unser Wissen kostenlos zur Verfügung, aber nur für Privatanwender! (der rechtliche Hinbergrund ist dabei ausschlaggebend!)

Nicht auszudenken wenn ich hier diverse Tips gebe, und im Nachhinein macht mich eure Firma dafür haftbar wenn ich Schaden anrichte. (z.B. Firmendaten ausspionieren oder löschen...)

Daher kein Support für Produktiv-Systeme. (ohne Ausnahme(n)!)

hi sunny, klar das kann ich verstehen!

schade nur, muss ich wohl selbst versuchen ihm zu helfen wie wir das Teil von seinem System wieder runterbekommen. (auch wenn ich in sachen hijackern ein noob bin)

wird wieder eine lange Nacht

Danke allen postern nochmal für alles,
gruß Storch

@Hallo Sunny


@All
Ich habe dazu meine Meinung. Ich bin nicht bereit (wie sicherlich andere Regulars des Forums auch) anderen Leuten die Arbeit zu erledigen. Die werden dafür bezahlt.
Ende