Ich krieg echt die Krise.

Ich hab mir wohl nen Trojaner eingefangen der sich durch gar nichts entfernen lässt.
Egal ob Adaware, Spy Bot oder Pest Patrol.

Das Teil öffnet mir sporadisch ein Internet Explorer Fenster das dann gleich die Seite www.searchfind.info anzeigt.
Das Problem daran ist das die Seite wohl ein ActiveX Control enthält das sofort etwas bei mir Installierenn will und ich dann mindestens 10X auf abbrechen klicken muss bis die Seite vollständig geladen ist. In der Zeit hat mein PC 100% Last.
Komischerweise wird meine Startseite nict verändert.

Ihr seid echt meine letzte Hoffnung.

Im Anhang das Hijack Log, das ich aufgrund von Datenschutz etwas verändert habe da es sich um meinen Firmen PC handelt. Also nicht über die Fragezeichen wundern, die sind von mir.

Wäre für nen Tip echt dankbar

Danke und Gruß

Rainer

Logfile of HijackThis v1.98.0
Scan saved at 10:44:20, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\sav\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NetManage\System\nmlsserv.exe
C:\PROGRA~1\sav\Rtvscan.exe
C:\WINDOWS\system32\uphclean.exe
C:\WINDOWS\system32\CoCInst.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\Program Files\NetInst\NiAiServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\sav\vptray.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Common Files\Nokia\NCLTools\NCLConf.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\Mpapi3s.exe
C:\Tools\PestPatrol\PPControl.exe
C:\Tools\PestPatrol\PPMemCheck.exe
C:\Tools\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\RSchmis_Prv\RauchFrei\RauchFrei.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Hardcopy\hardcopy.exe
H:\My Documents\Scribble Papers\ScPapers.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\NetInst\NiAgnt32.exe
C:\Program Files\RemedyCPMS\aruser.exe
C:\Program Files\notes\notes.EXE
C:\PROGRA~1\notes\NLNOTES.EXE
C:\PROGRA~1\notes\ntaskldr.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\RSchmis_Prv\To Go\HighJack Log\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intra.???????????.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intra.???????????.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://portal.???????????.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ???????????
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://browsercfg.mhm.???????????.com:8899/ie6_001.ins
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.mhm.???????????.com:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 53.9.*;*.ma.?????-?????.com;*.mhm.???????????.com;*.mb.???????.com;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6EF9312B-CD64-3396-D505-6D5504D32A68} - C:\WINDOWS\System32\hlmdlxwg.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: IEHelper - {d42dc93f-ee1f-43be-8477-924704245454} - C:\WINDOWS\System32\Q29379546.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\sav\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Tools\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Tools\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Tools\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\RSchmis_Prv\RauchFrei\RauchFrei.exe"
O4 - Startup: Verknüpfung mit ScPapers.exe.lnk = My Documents\Scribble Papers\ScPapers.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Hardcopy.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://intra.???????????.com
O15 - Trusted Zone: *.covisint.com
O15 - Trusted Zone: *.dctss.com
O15 - Trusted Zone: *.intra.synstar.de
O15 - Trusted Zone: http://intra.synstar.de
O15 - Trusted Zone: *.mercedes-benz.t-online.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mhm.???????????.com
O17 - HKLM\Software\..\Telephony: DomainName = mhm.???????????.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mhm.???????????.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mhm.???????????.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = mhm.???????????.com
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Program Files\SAP\FrontEnd\Controls\SAPHTMLP.DLL
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Program Files\SAP\FrontEnd\Controls\SAPHTMLP.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll

Hallo

Zitat:

Zitat von Schmischi

C:\Program Files\NetManage\System\nmlsserv.exe

Das ist mir nicht bekannt.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O2 - BHO: (no name) - {6EF9312B-CD64-3396-D505-6D5504D32A68} - C:\WINDOWS\System32\hlmdlxwg.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Fixen.
PS: Ich kann nur vermuten, dass du viel Online bist (LotusNotes, SAP usw.), aber wie wagst du dich, ohne ein Antivirus-Programm ins Netz zu gehen? Was denkt euer Netzwerkadmin dazu?

Hallo

Danke für die Tips. Bis jetzt scheint es zu funzen. Na mal sehen was der Tag so bringt.
Natürlich haben wir einen Virnscanner laufen NAV 8, kann aber sein das ich den Real Scan dektiviert hatte da ich gerade am Testen war.
Das Dir unbekannte Programm ist gehört zu einem Unix Services Paket.

So jetzt werde ich mal ausgiebig Testen.
Rainer

Edit: War wohl nix, kommt immer noch sporadisch der IE mit der Starseite Searchfind.info.

Hallo,
ich glaube, ich habe etwas verpasst:

Zitat:

O2 - BHO: (no name) - {6EF9312B-CD64-3396-D505-6D5504D32A68} - C:\WINDOWS\System32\hlmdlxwg.dll

Dies gehört auch zum Fixen.
Wenn es auch helfen sollte, würde ich deine Kiste platt machen und neu aufsetzen.