Probleme mit Suchseite im IE / Logfile

suebbl · 07.11.2004, 10:15

Hallo,

habe eine komische Suchseite im IE. Wenn ich IE oder Outlook Express starte, findet mein Virenscanner eine Datei, ist aber machtlos. Verwende seitdem Netscape.

Ich wäre froh, wenn ihr mir helfen könntet. Hier mein HJTlog:

Logfile of HijackThis v1.97.7
Scan saved at 10:11:57, on 07.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\_integra\bin\ccmagent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WrOS.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
c:\_integra\bin\shstart.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WinPPPoverEthernet.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Netscape\Netscape 6\netscp6.exe
C:\Programme\Gemeinsame Dateien\Netscape Shared\Security\psm.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\MDM.EXE
C:\Dokumente und Einstellungen\hs\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\_integra\bin\shstart.exe
O1 - Hosts: 164.20.22.82 qu179 QU179
O1 - Hosts: 164.20.22.81 qu178 QU178
O1 - Hosts: 164.20.22.74 qu180 QU180
O1 - Hosts: 164.20.22.75 qu181 QU181
O1 - Hosts: 164.20.180.199 qu182 QU182
O1 - Hosts: 164.20.180.200 qu183 QU183
O1 - Hosts: 164.20.180.201 qu184 QU184
O1 - Hosts: 164.20.180.202 qu185 QU185
O1 - Hosts: 164.20.43.7 qu186 QU186
O1 - Hosts: 164.20.43.8 qu187 QU187
O1 - Hosts: 164.20.22.75 qu181 QU181
O1 - Hosts: 164.20.25.11 qu106 QU106
O1 - Hosts: 164.20.241.7 QU107 qu107
O1 - Hosts: 164.20.111.102 U9J30
O1 - Hosts: 164.32.106.99 U8S46 #Schulungsrechner Göppingen für Bg
O1 - Hosts: 164.32.23.7 HOSTGK #Stop-TR
O1 - Hosts: 164.20.15.73 HOSTPK #Stop-TR
O1 - Hosts: 164.32.30.8 HBSERVER #Stop-TR
O1 - Hosts: 164.20.227.206 U9JZI #SAP R/3 (DKK) PK
O1 - Hosts: 164.20.227.221 U9JZZ #SAP R/3 (DKK-FOLGE) PK
O1 - Hosts: 164.32.106.68 q8s45 # Rechner für Wirkbetrieb DKK Hannover
O1 - Hosts: 164.20.111.5 U9JAT u9jat #MatWTS
O1 - Hosts: 164.20.77.7 Q9J51 q9j51
O1 - Hosts: 164.20.77.8 Q9J54 q9j54
O1 - Hosts: 164.29.246.6 U8NJN u8njn
O1 - Hosts: 164.25.242.13 Q8P0D q8p0d
O1 - Hosts: 164.32.110.196 Q8S71 q8s71
O1 - Hosts: 164.23.111.132 Q8D37 q8d37
O1 - Hosts: 164.16.45.73 U8IJN u8ijn
O1 - Hosts: 164.16.98.7 Q8I12 q8i12
O1 - Hosts: 164.20.111.91 U9J20.mgb01.telekom.de remedy u9j20
O1 - Hosts: 164.29.4.5 U8N02 u8n02
O1 - Hosts: 164.20.93.77 U9JMQ u9jmq
O1 - Hosts: 164.27.158.4 OMSERVER #OM-TOOL
O1 - Hosts: 164.21.57.209 VDMBOSTSRV #PRE #VDM GK144
O1 - Hosts: 164.23.67.4 qd223 QD223
O1 - Hosts: 164.33.128.10 QF004.SERVE #BIZI Datenbank
O1 - Hosts: 164.28.201.13 QZ125 #PRE
O1 - Hosts: 164.20.1.35 U9JS6 #PRE
O1 - Hosts: 164.29.4.5 U8N02 #PRE
O1 - Hosts: 164.20.127.196 Q9J46 #PRE
O1 - Hosts: 164.18.88.180 qqc11 #PRE
O1 - Hosts: 164.25.141.70 uc2ta
O1 - Hosts: 164.20.239.14 G9JJT
O1 - Hosts: 164.32.50.91 WS801112 ws801112 #PRE
O1 - Hosts: 164.32.163.223 WS802216 ws8202216 #PRE
O1 - Hosts: 164.16.45.84 U8IZW u8izw #HST-IFMX
O1 - Hosts: 164.16.55.202 U8IZWE01 u8izwe01 #HST-IFMX
O1 - Hosts: 164.16.119.69 U8IZWE02 u8izwe02 #HST-IFMX
O1 - Hosts: 164.16.119.196 U8IZWE03 u8izwe03 #HST-IFMX
O1 - Hosts: 164.16.0.78 U8IZK.KIEL01 u8izk.kiel01 #HST-IFMX
O1 - Hosts: 164.20.120.222 UU1JF #PRE #IZS BAE für DETEIMMO
O1 - Hosts: 164.16.45.81 U8IZN #PRE #Wirkrechner ISAT R/3
O1 - Hosts: 164.25.233.223 DTM01 dtm01 # 1. SAPHIR-Rechner (Pe)
O1 - Hosts: 164.25.233.226 DTM04 dtm04 # 2. SAPHIR-Rechner (Pe)
O1 - Hosts: 164.25.104.212 U8PY5 #PRE #ATOS Server Bielefeld
O1 - Hosts: 164.20.165.10 U9JXB u9jxb
O1 - Hosts: 164.20.61.68 U9JC8 # SAP/R3 PLASMA
O1 - Hosts: 164.29.172.4 U8NZO
O1 - Hosts: 164.32.94.232 G8SWZ #PRE #SUSI Anlagenbuchhaltung
O1 - Hosts: 164.23.188.134 U8DTG #PRE #SAP/R3 VUS-GK
O1 - Hosts: 164.25.210.210 U8PNC #PRE expert advisor
O1 - Hosts: 164.23.188.157 U8DZO #PRE #TSAM
O1 - Hosts: 164.18.248.4 qqc25 #PRE
O1 - Hosts: 164.20.83.211 E9JZ1 #PRE #DMS-Wirkserver
O1 - Hosts: 164.20.83.218 U9JYZ #PRE #Hyperdoc
O1 - Hosts: 164.32.30.17 U8SXU #PRE
O1 - Hosts: 164.32.30.8 Q8S36 #PRE #STOP-TR
O1 - Hosts: 164.19.36.196 Q9l13 #PRE
O1 - Hosts: 164.23.43.167 checkov #PRE #DSSD
O1 - Hosts: 164.20.120.79 qu111 #UMTS MASTER
O1 - Hosts: 164.25.0.152 qp189 #PRE #DAVIN
O1 - Hosts: 164.23.43.167 checkov #PRE #Duesseldorf
O1 - Hosts: 164.20.120.79 QU111 #PRE #SDH2000-Server-NL_Dresden
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A9BDFB4A-067F-4CD7-A58C-300CA7194795} - C:\WINNT\system32\njkoca.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe"
O4 - HKLM\..\Run: [SME_Jobs] CMD /C " If exist C:\_INTEGRA\BIN\RUN_JOBS.BAT C:\_INTEGRA\BIN\RUN_JOBS.BAT"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [z-wrdialer] C:\iVasionWinPoET.exe
O4 - HKLM\..\Run: [a-winpoet-service] C:\\WinPPPoverEthernet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{71BC3647-63B9-43D3-9113-AFCFCC44ABBA}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4

Lidius · 07.11.2004, 15:39

Poste bitte nochmal ein Log mit der aktuellen HijackThis version www.hijackthis.de (auf direktdownload klicken)

Scan saved at 10:11:57, on 07.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Update bitte dein System (ALLE wichtigen Updates herunterladen), auch wenn du den Internet Explorer nicht benutzt sollte dieser immer aktuell gehalten werden.

Poste danach ein neues log.

PS: Sind diese ganzen Einträge in der Hosts datei beabsichtigt?

Passat2002 · 07.11.2004, 15:42

hi

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html

temp und tif löschen

suebbl · 08.11.2004, 07:14

Hier mein neues Log. Die Updates gestalteten sich schwierig, da ich nicht weiß, was hier schon installiert ist und automatisches Update nicht funktioniert. Ich nehme an, dass die Angaben in der Hostsdatei beabsichtigt sind - ist aber der Rechner meiner Freundin, ihr Vater (IT-Mensch) hat das alles eingerichtet, nur der kann uns jetzt nicht helfen, weil wir in Shanghai sind.

Gruß,
Suebbl

Logfile of HijackThis v1.98.2
Scan saved at 07:00:09, on 08.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\_integra\bin\ccmagent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WrOS.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
c:\_integra\bin\shstart.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WinPPPoverEthernet.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\hs\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\hs\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.telekom.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.telekom.de; 164.*; 160.*; *.t-mobile.de; *.detemobil.de; *.t-systems.com;*.t-com.de;<local>
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\_integra\bin\shstart.exe
O1 - Hosts: 164.20.22.82 qu179 QU179
O1 - Hosts: 164.20.22.81 qu178 QU178
O1 - Hosts: 164.20.22.74 qu180 QU180
O1 - Hosts: 164.20.22.75 qu181 QU181
O1 - Hosts: 164.20.180.199 qu182 QU182
O1 - Hosts: 164.20.180.200 qu183 QU183
O1 - Hosts: 164.20.180.201 qu184 QU184
O1 - Hosts: 164.20.180.202 qu185 QU185
O1 - Hosts: 164.20.43.7 qu186 QU186
O1 - Hosts: 164.20.43.8 qu187 QU187
O1 - Hosts: 164.20.22.75 qu181 QU181
O1 - Hosts: 164.20.25.11 qu106 QU106
O1 - Hosts: 164.20.241.7 QU107 qu107
O1 - Hosts: 164.20.111.102 U9J30
O1 - Hosts: 164.32.106.99 U8S46 #Schulungsrechner Göppingen für Bg
O1 - Hosts: 164.32.23.7 HOSTGK #Stop-TR
O1 - Hosts: 164.20.15.73 HOSTPK #Stop-TR
O1 - Hosts: 164.32.30.8 HBSERVER #Stop-TR
O1 - Hosts: 164.20.227.206 U9JZI #SAP R/3 (DKK) PK
O1 - Hosts: 164.20.227.221 U9JZZ #SAP R/3 (DKK-FOLGE) PK
O1 - Hosts: 164.32.106.68 q8s45 # Rechner für Wirkbetrieb DKK Hannover
O1 - Hosts: 164.20.111.5 U9JAT u9jat #MatWTS
O1 - Hosts: 164.20.77.7 Q9J51 q9j51
O1 - Hosts: 164.20.77.8 Q9J54 q9j54
O1 - Hosts: 164.29.246.6 U8NJN u8njn
O1 - Hosts: 164.25.242.13 Q8P0D q8p0d
O1 - Hosts: 164.32.110.196 Q8S71 q8s71
O1 - Hosts: 164.23.111.132 Q8D37 q8d37
O1 - Hosts: 164.16.45.73 U8IJN u8ijn
O1 - Hosts: 164.16.98.7 Q8I12 q8i12
O1 - Hosts: 164.20.111.91 U9J20.mgb01.telekom.de remedy u9j20
O1 - Hosts: 164.29.4.5 U8N02 u8n02
O1 - Hosts: 164.20.93.77 U9JMQ u9jmq
O1 - Hosts: 164.27.158.4 OMSERVER #OM-TOOL
O1 - Hosts: 164.21.57.209 VDMBOSTSRV #PRE #VDM GK144
O1 - Hosts: 164.23.67.4 qd223 QD223
O1 - Hosts: 164.33.128.10 QF004.SERVE #BIZI Datenbank
O1 - Hosts: 164.28.201.13 QZ125 #PRE
O1 - Hosts: 164.20.1.35 U9JS6 #PRE
O1 - Hosts: 164.29.4.5 U8N02 #PRE
O1 - Hosts: 164.20.127.196 Q9J46 #PRE
O1 - Hosts: 164.18.88.180 qqc11 #PRE
O1 - Hosts: 164.25.141.70 uc2ta
O1 - Hosts: 164.20.239.14 G9JJT
O1 - Hosts: 164.32.50.91 WS801112 ws801112 #PRE
O1 - Hosts: 164.32.163.223 WS802216 ws8202216 #PRE
O1 - Hosts: 164.16.45.84 U8IZW u8izw #HST-IFMX
O1 - Hosts: 164.16.55.202 U8IZWE01 u8izwe01 #HST-IFMX
O1 - Hosts: 164.16.119.69 U8IZWE02 u8izwe02 #HST-IFMX
O1 - Hosts: 164.16.119.196 U8IZWE03 u8izwe03 #HST-IFMX
O1 - Hosts: 164.16.0.78 U8IZK.KIEL01 u8izk.kiel01 #HST-IFMX
O1 - Hosts: 164.20.120.222 UU1JF #PRE #IZS BAE für DETEIMMO
O1 - Hosts: 164.16.45.81 U8IZN #PRE #Wirkrechner ISAT R/3
O1 - Hosts: 164.25.233.223 DTM01 dtm01 # 1. SAPHIR-Rechner (Pe)
O1 - Hosts: 164.25.233.226 DTM04 dtm04 # 2. SAPHIR-Rechner (Pe)
O1 - Hosts: 164.25.104.212 U8PY5 #PRE #ATOS Server Bielefeld
O1 - Hosts: 164.20.165.10 U9JXB u9jxb
O1 - Hosts: 164.20.61.68 U9JC8 # SAP/R3 PLASMA
O1 - Hosts: 164.29.172.4 U8NZO
O1 - Hosts: 164.32.94.232 G8SWZ #PRE #SUSI Anlagenbuchhaltung
O1 - Hosts: 164.23.188.134 U8DTG #PRE #SAP/R3 VUS-GK
O1 - Hosts: 164.25.210.210 U8PNC #PRE expert advisor
O1 - Hosts: 164.23.188.157 U8DZO #PRE #TSAM
O1 - Hosts: 164.18.248.4 qqc25 #PRE
O1 - Hosts: 164.20.83.211 E9JZ1 #PRE #DMS-Wirkserver
O1 - Hosts: 164.20.83.218 U9JYZ #PRE #Hyperdoc
O1 - Hosts: 164.32.30.17 U8SXU #PRE
O1 - Hosts: 164.32.30.8 Q8S36 #PRE #STOP-TR
O1 - Hosts: 164.19.36.196 Q9l13 #PRE
O1 - Hosts: 164.23.43.167 checkov #PRE #DSSD
O1 - Hosts: 164.20.120.79 qu111 #UMTS MASTER
O1 - Hosts: 164.25.0.152 qp189 #PRE #DAVIN
O1 - Hosts: 164.23.43.167 checkov #PRE #Duesseldorf
O1 - Hosts: 164.20.120.79 QU111 #PRE #SDH2000-Server-NL_Dresden
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A9BDFB4A-067F-4CD7-A58C-300CA7194795} - C:\WINNT\system32\njkoca.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe"
O4 - HKLM\..\Run: [SME_Jobs] CMD /C " If exist C:\_INTEGRA\BIN\RUN_JOBS.BAT C:\_INTEGRA\BIN\RUN_JOBS.BAT"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [z-wrdialer] C:\iVasionWinPoET.exe
O4 - HKLM\..\Run: [a-winpoet-service] C:\\WinPPPoverEthernet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{71BC3647-63B9-43D3-9113-AFCFCC44ABBA}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: Domain = dsdn.telekom.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{14E21A83-B510-4967-96FB-6F572457BA99}: NameServer = 164.20.9.4
O18 - Filter: text/html - {0BD3D034-4F35-460D-8DCC-783504539F1A} - C:\WINNT\system32\njkoca.dll
O18 - Filter: text/plain - {0BD3D034-4F35-460D-8DCC-783504539F1A} - C:\WINNT\system32\njkoca.dll

08.11.2004, 23:11

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

NoBody · 30.11.2004, 12:00

Ich würde die Finger von dem Rechner lassen...

Das ist nen verwalteter Rechner auf dem On Command CCm läuft...

dh der wurde automatisiert installiert ....

wer weiß was der admin dazu sagt wenn ihr da rumfummelt
#

Belege:

O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe"
O4 - HKLM\..\Run: [SME_Jobs] CMD /C " If exist C:\_INTEGRA\BIN\RUN_JOBS.BAT C:\_INTEGRA\BIN\RUN_JOBS.BAT"

Shadowdance · 30.11.2004, 21:20

@ NoBody

Zitat:

Zitat von NoBody

Ich würde die Finger von dem Rechner lassen...
Das ist nen verwalteter Rechner auf dem On Command CCm läuft...
dh der wurde automatisiert installiert ....
wer weiß was der admin dazu sagt wenn ihr da rumfummelt

Ein Beitrag und derart 'charmant'? Auch ich nehme an, dass dieser Rechner automatisch installiert ist, von einigen Backdoors auf dem System .. was wird der Admin wohl sagen, wenn das System ausspioniert und mitgelesen wird?

Wir können uns Klarheit darüber verschaffen .. @ *Christian* ich schlage den langen Weg vor, dann wissen unsere User, warum Du vorschlägst, dass dieses System formatiert werden muss.

@ suebbl,

lade den eScan runter, erstelle dafür einen neuen Ordner (=Verzeichnis) "c:\bases", update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Lutz · 30.11.2004, 21:29

Ich denke, hier sollte in der Tat erst einmal geklärt werden, ob es sich um ein privates Notebook oder ein 'dienstliches' handelt. Mir schwant da was vom Magenta-T

Wenn dienstlich, ist es allenfalls von seiten des Boards aus verantwortbar zu versuchen, die Hijacker zu entfernen. Eigenmächtige Neuinstallation kann und darf dann nicht die Empfehlung sein!

Probleme mit Suchseite im IE / Logfile

Log-Analyse und Auswertung: Probleme mit Suchseite im IE / Logfile