Hi,

hier habe ich ein Problem mit dem Explorer, der speichert mir zwar eine Startseite ab, aber nicht die ich eingetragen habe.
Es wird immer ein fenster eingeblendet: PCTurboPro soll installiert werden zum optimieren des Systems.

das vernein ich immer und es öffnet sich eine Seite, worin für PCTurboPro geworben wird. z.B.:
http://pcturbopro.com/.download_now/index.php?lid=3560&affid=pp_1028640844&ax=1&ex=1&p=5&hv=10&j=1&aid=swp_ron_mtrt_de_de_ed2

Ich hoffe Ihr könnt mir hier helfen. Auch hier habe ich Adawre und spybot benutzt leider ohne Erfolg.



Logfile of HijackThis v1.99.1
Scan saved at 11:17:48, on 20.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Dokumente und Einstellungen\administrator.CONVISION.000\Desktop\suchen.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINNT\vpsnetwork.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: PCphone Fax-Office Demo.lnk = C:\Programme\Grewe\PCphone Fax-Office Demo\FxOffice.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Privat\icqlite 5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Privat\icqlite 5.1\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://192.168.0.77/ConvisionVideo.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {712D8254-8E51-4A53-8B70-380D706E0AF6} (ConvisionVideoPlayer Control) - http://192.168.0.183/ConvisionVideo.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.ovanet.cz/activex/AxisCamControl.cab
O16 - DPF: {99C4B3C5-166D-4B6B-8305-C59FB5AF5BF6} (ConvisionVideoStream Control) - http://192.168.0.97/ConvisionVideo.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = convision.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = convision.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = convision.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O21 - SSODL: vpssup - {70437EB0-ED13-4417-A318-F798675F2E80} - C:\WINNT\vpssup.dll
O21 - SSODL: expro - {F78CD246-9136-4248-AB9A-8301677ACBD4} - C:\WINNT\expro.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Hi,
ich hab dein Hijackthis-Log durchgeschaut aber nichts gefunden...
Ausser dieses suchen.exe sieht komisch aus...

danke für Deine Mühen,

ich habe Hijackthis.exe in suchen.exe umbenannt.

Diese beiden EXEN kommen mir etwas merkwürdig vor, lass diese beiden mal bitte bei Virustotal überprüfen (Dateien ins weisse Fensterchen kopieren, auf send klicken) und poste mal, ob die etwas gefunden haben.
Meine da mal etwas im Zusammenhang mit dem gelesen zu haben:Win32.MyGeek

Aber wie gesagt, kann mich auch irren, daher lass erst mal diese Dateien der Reihe nach untersuchen.
http://www.virustotal.com/en/indexf.html

vpssup.dll
expro.dll

Moment, hab ich jetzt erst gesehen , Du hast hier zwei
Logs reingestellt???????

Einmal dieses aus diesem thread :

Logfile of HijackThis v1.99.1
Scan saved at 11:17:48, on 20.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Und dann noch das aus einem anderen thread mit dem Thema
Standard Explorer IE7 öffnet andere Seiten
Logfile of HijackThis v1.99.1
Scan saved at 11:09:18, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
(Im diesem Log sind übrigens Trojaner drauf.)

Und beide mit den gleichen Problemen, wo Du auf eine andere Seite weitergeleitet wirst?
Netzwerk, zwei Betriebssysteme??? Oder wie?

ja das ist richtig !

1. Winxp Sp2 - öffnet sich eine 2. Browser-Seite dazu !

2. Win2000 Sp4 - hier lässt sich die Startseite nicht speichern, wird von einer andern überschrieben, und es popt immer ein Fenster auf.

beide Rechner sind im gleichen Netzwerk

bei dem Rechner Win2000 bekomme ich untenrechts in der Taskleiste bei den inaktiven Symbolen ein rotes Dreieck mit einem Ausrufezeichen darin.

Also ehrlich, solche Infos musst Du schon angeben .

Kannst von ausgehen, das beide Systeme verseucht sind. Man braucht ja nur über Dein XP Log drüber zu huschen: Viele schädliche Einträge und unbekannte Programme. Dazu nur meine "Vermutung" in meiner ersten Antwort zu dem Log in diesem thread. Deine inaktiven Symbole in der Taskleiste könnten dazu noch auf Spylocked hinweisen.

Glaub, Du kannst direkt beide Rechnersysteme neu aufsetzen oder Du findest jemanden hier im Board, der beide Systeme "bilateral bereinigen" kann....

@ Mobius07

danke für Deinen Hinweis, es waren die beiden von Dir gennanten dll`s

vpssup.dll
expro.dll

seit dem ist der Rechner wieder cleen ! jedenfalls laut
Spybot, Adaware und Antivir

euch andern auch vielen Dank ...

jetzt müsste nur noch mein XP Rechner gecleent werden.
siehe Beitrag ---> http://www.trojaner-board.de/40148-explorer-ie7-oeffnet-andere-seiten.html

Der öffnet immernoch zusätzliche seiten mit dem IE.

Gruß

Als erstes: Ich kenn mich mich mit der Wirkungsweise von Trojanern in Netzwerken nicht aus, da musst Du Dir Rat bei jemand Anderen hier im Board holen, der weiss wie man ein Netzwerk bereinigt, ich bin wie viele Andere hier auch nur Laie. Schätze mal beide Systeme sind mit einem sog.Crossover-Kabel miteinander verbunden, könnte mir deshalb auch gut vorstellen, das auch Schadprogramme in beiden PC`s verteilen.
Zitat : "seit dem ist der Rechner wieder cleen" .
Woher weisst Du das so genau, so sicher würde ich mir an Deiner Stelle nicht sein? Was wurde bei Virustotal gefunden, hast Du Temp-Ordner geleert?Wechselweise im abgesichertem, dann im normalen Modus mit Spybot und Adaware gescannt und anschl. dies mit einem e-scan überprüft? Ein neues HJT reingestellt?

Zitat: "jetzt müsste nur noch mein XP Rechner gecleent werden. "
Ach ja, und dann ist Dein Netzwerk CLEEN? Dort ist im übrigen mindestens Vundo drauf und vielleicht sogar noch mehr, wer weiss?
Du siehst viele Fragzeichen.

Du hättest einen thread eröffnen sollen, wo Du von Anfang an Dein Prob mit genauen Aussagen erklärst. Vielleicht hätte man dann den Vorschlag machen können, die Verbindung zwischen beiden Rechnern zu trennen um dann zu versuchen beide PC´s separat zu bereinigen. Oder es hätt sich jemand hier im Board mit umfassenden Fachwissen gefunden, der sich mit Netzwerken sehr gut auskennt.

ok... für alle die es wissen wollen !!!

beide Rechner sind nicht miteinander verbunden.
und ja - ich habe a u c h im Abgesicherten Modus mit allen Progs gescannt, ... und zum Glück nichts gefunden.

Die beiden dll`s waren der Grund für das Verhalten des Rechners.
der e-scann hat es auch bestätigt.

und ...

das ich an einem Tag 2 Beiträge geschrieben habe ist wohl nicht schlimm.
Auch nicht das es 2 unterschiedliche Rechner in unterschiedlichen Netzwerken sind - aber egal !

Deswegen sind es ja auch 2 Beiträge - Nur der jeweilige Autor ist der gleiche

nun, für mich ist es somit nur wichtig, dass sich alles wieder "normal" verhält.
jedenfalls auf für "diesen Fall"

deswegen... danke !!!

Wollt gerad ins Bettli gehen, Morgen arbeiten , hab da noch Dein posting gelesen.

Kurz und schmerzlos, was ich nicht versteh, Du schreibst am 20-ten:
beide Rechner sind im gleichen Netzwerk ... und eben:
beide Rechner sind nicht miteinander verbunden.

Ich bin jetzt zu müde für Rätselraten: XP-Rechner: Bereinige den Rechner mit clearprog :Downloads von shTools.de
Lade Dir Vundofix runter und arbeite im abgesichertem Modus :
Vundofix
Such Dir die Anleitung hier im board oder bei Google heraus. Dort auch mit Spybot und Adaware scannen und alles löschen, anschl im normalen Modus gehen und das gleiche Prozedere nochmal.
e-scan kennste ja, von daher....

...Tschüss