|
Log-Analyse und Auswertung: Startseite ändert sichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.06.2004, 10:41 | #1 |
| Startseite ändert sich Hi bin neu hier habe ein Problem auf meinen Rechner und ein log mit HIJACK THIS gemacht vieleicht kann den sich mal jemand anschauen und mir einen tip geben gruß udokawa Logfile of HijackThis v1.97.7 Scan saved at 10:16:54, on 18.06.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\WINNT\System32\svchost.exe C:\Programme\epoagent\naimas32.exe C:\WINNT\System32\NALNTSRV.EXE C:\Programme\Network Associates\VirusScan\VsStat.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wm.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\NOVELL\ZENRC\WUOLService.exe C:\NOVELL\ZENRC\wuser32.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\WINNT\System32\WMRUNDLL.EXE C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Winnt\system32\wscript.exe Z:\clntrust.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\igfxtray.exe C:\WINNT\System32\hkcmd.exe C:\WINNT\System32\dpmw32.exe C:\WINNT\System32\NWTRAY.EXE C:\WINNT\System32\NALDESK.EXE C:\WINNT\System32\wuauclt.exe C:\Programme\epoagent\naimag32.exe C:\WINNT\System32\internat.exe C:\Programme\EASYWARE\bin32\W32MKDE.EXE O:\Transfer\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu.stadt-duisburg.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intradu.stadt-duisburg.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.stadt-duisburg.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.stadt-duisburg.de;10.*.*.*;<local> O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\adminsva\Anwendungsdaten\sysbv\sysbv.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\A32B100\Anwendungsdaten\winws\mssearch.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\A32B100\Anwendungsdaten\winws\msiesh.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\epoagent\naimag32.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINNT\image.new,Install O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINNT\image.new,Install O4 - HKCU\..\RunOnce: [Updater] rundll32 C:\WINNT\image.new,UpdateDll O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: Domain = stadt_duisburg.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: NameServer = 180.18.6.1 |
21.06.2004, 10:51 | #2 |
Startseite ändert sich Hallo Udo,
__________________das sieht mir nicht nach einem privaten PC aus. </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu.stadt-duisburg.de u.a. </font>[/QUOTE]Wenn meine Vermutung richtig ist, dass es sich um einen beruflichen/dienstlichen Rechner handelt, solltest Du bitte mit Deiner IT-Abteilung Kontakt aufnehmen. Adminstratoren sehen es zu Recht nicht gerne, wenn jemand 'Unbefugtes' am Rechner 'rumschraubt'. In diesem Zusammenhang könntest Du den Admin/die Admins mal fragen, wieso sie dich mit so einem veralteten System beglücken : </font><blockquote>Zitat:</font><hr /> Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) </font>[/QUOTE]Sollte ich mit meiner Vermutung unrecht haben und es handelt sich doch um einen privaten Rechner, melde Dich bitte noch einmal.
__________________ |
21.06.2004, 13:47 | #3 |
| Startseite ändert sich hi
__________________der administrator ist natürlich einverstanden vieleicht könntest du dir die datei mal anschauen und mir sagen was gefixt werden muss |
21.06.2004, 14:21 | #4 |
| Startseite ändert sich hier die lösung deines probs. genau so machen dann gehts auch ! [img]smile.gif[/img] |
21.06.2004, 14:25 | #5 |
/// Mr. Schatten | Startseite ändert sich Ach, Euer Admin ist so unfähig? Ist Duisburg so pleite? Sag deinem Admin er soll erst mal das System auf aktuellen Stand bringen. Windows SP3 ist nicht mehr aktuell und u.U. eine Sicherheitslücke IE-5.0 IST eine Sicherheitslücke und nicht mehr zeitgemäß, auch funktionieren viele Seiten damit nicht oder nur fehlerhaft Nachtrag und kleiner Tip noch: Global-Netcom ist Bernhard Syndikus' Dialer-Anbieter für u.a. "Erotikseiten"! Diese Site ist in meinen Augen vieles, aber garantiert nicht vertrauenswürdig. [ 21. Juni 2004, 15:35: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
21.06.2004, 20:58 | #6 |
Startseite ändert sich Hallo Udo, ehrlich gesagt, ich tue mich recht schwer, etwas zu raten, wenn ich weiß, dass es sich um einen beruflichen/dienstlichen Rechner handelt. Ich weiß aus eigener Erfahrung wie breit gefächert die Softwarelandschaft in einer Behörde ist. Die 'Novell-Geschichten' und beispielsweise der 'epoagent' von nai sagen mir ja noch was, aber es gibt einige Dateien, bei denen ich von hier aus nicht nach 'gut' und 'böse' unterscheiden möchte. Definitiv raus können allerdings folgende: </font><blockquote>Zitat:</font><hr />R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776 O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h*tp://install.global-netcom.de/ieloader.cab </font>[/QUOTE]Damit dürfte das Problem aber noch nicht behoben sein. Zu diesem Eintrag </font><blockquote>Zitat:</font><hr /> O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll </font>[/QUOTE]schau Dir mal diese Beschreibung an, oder besser zeige sie dem zuständigen Admin. Denn ohne Admin-Rechte wirst Du hier im Zweifel sowieso nicht weiterkommen. Es werden noch eine Reihe von Dateien angelistet, die ich nicht zuordnen kann. Ich kann dann aber von hieraus nicht beurteilen, ob sie 'gut' oder 'böse' sind, da ich die 'Umgebung' bei Euch nicht kenne. Du kannst aber noch eScan ausprobieren (s. meinen 2. Link in meiner Signatur). Dieser Scanner sollte dem lokal installierten Virenscanner von NAI nicht in die Quere kommen.
__________________ --> Startseite ändert sich |
22.06.2004, 09:16 | #7 |
| Startseite ändert sich dake für die qualifizierte antwort ist wennigstens nicht so ein hochtrabendes gequatsche wie von diesen shadow |
Themen zu Startseite ändert sich |
.inf, bho, dateien, einstellungen, explorer, help, hijack, hijack this, hijackthis, icon, internet, internet explorer, log, microsoft, neu, object, problem, programme, rundll32, shockwave, software, sp3, symantec, system, system32, tcpip, update, windows |