se.dll auf der spur oder anderer hijacker ?
 

moinsen,

auf anraten von lutz nocheinmal meine logs.... ich kann nichts verdächtiges finden...

StartDreck (build 2.1.7 public stable) - 2005-03-09 @ 13:43:40 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as Administrator at PC

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
*KAVPersonal50="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\system32\config.nt
*C:\autoexec.bat
*C:\WINDOWS\system32\autoexec.nt
*C:\WINDOWS\system32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+384=\SystemRoot\System32\smss.exe
+432=\??\C:\WINDOWS\system32\csrss.exe
+456=\??\C:\WINDOWS\system32\winlogon.exe
+512=C:\WINDOWS\system32\services.exe
+524=C:\WINDOWS\system32\lsass.exe
+700=C:\WINDOWS\system32\svchost.exe
+776=C:\WINDOWS\system32\svchost.exe
+844=C:\WINDOWS\System32\svchost.exe
+912=C:\WINDOWS\System32\svchost.exe
+1028=C:\WINDOWS\System32\svchost.exe
+1244=C:\WINDOWS\Explorer.EXE
+1376=C:\WINDOWS\system32\spoolsv.exe
+1480=C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
+1716=C:\WINDOWS\system32\nvsvc32.exe
+1776=C:\WINDOWS\System32\svchost.exe
+1920=C:\WINDOWS\system32\wdfmgr.exe
+652=C:\WINDOWS\System32\alg.exe
+2152=C:\WINDOWS\system32\wscntfy.exe
+1184=E:\eMule\emule.exe
+2908=C:\Programme\Internet Explorer\iexplore.exe
+1900=C:\Programme\WinRAR\WinRAR.exe
+400=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.546\StartDreck.exe
»NT Services
*Gatewaydienst auf Anwendungsebene ALG running on demand
*Anwendungsverwaltung AppMgmt - on demand
*Windows Audio AudioSrv running auto
*Intelligenter Hintergrundübertragungsdienst BITS - on demand
*Indexdienst cisvc - disabled
*Ablagemappe ClipSrv - disabled
*COM+-Systemanwendung COMSysApp - on demand
*Kryptografiedienste CryptSvc running auto
*DCOM-Server-Prozessstart DcomLaunch running auto
*DHCP-Client Dhcp running auto
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
*Verwaltung logischer Datenträger dmserver running auto
*DNS-Client Dnscache running auto
*EpsonBidirectionalService EpsonBidirectionalSe running auto
*Fehlerberichterstattungsdienst ERSvc running auto
*Ereignisprotokoll Eventlog running auto
*COM+-Ereignissystem EventSystem running on demand
*Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom running on demand
*Hilfe und Support helpsvc running auto
*Eingabegerätezugang HidServ - disabled
*HTTP-SSL HTTPFilter - on demand
*IMAPI-CD-Brenn-COM-Dienste ImapiService - on demand
*kavsvc kavsvc - auto
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - on demand
*Windows Installer MSIServer - on demand
*Netzwerk-DDE-Dienst NetDDE - disabled
*Netzwerk-DDE-Serverdienst NetDDEdsdm - disabled
*Netzwerkverbindungen Netman running on demand
*NLA (Network Location Awareness) Nla running on demand
*Wechselmedien NtmsSvc - on demand
*NVIDIA Display Driver Service NVSvc running auto
*Office Source Engine ose - disabled
*Plug & Play PlugPlay running auto
*IPSEC-Dienste PolicyAgent - auto
*Geschützter Speicher ProtectedStorage running auto
*Verwaltung für automatische RAS-Verbindung RasAuto - on demand
*RAS-Verbindungsverwaltung RasMan - on demand
*Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand
*Routing und RAS RemoteAccess - disabled
*Remote-Registrierung RemoteRegistry running auto
*Remoteprozeduraufruf (RPC) RpcSs running auto
*QoS-RSVP RSVP - on demand
*Super Ad Blocker Service SABSVC - disabled
*Sicherheitskontenverwaltung SamSs running auto
*Smartcard SCardSvr - on demand
*Taskplaner Schedule running auto
*Sekundäre Anmeldung seclogon running auto
*Systemereignisbenachrichtigung SENS running auto
*Windows-Firewall/Gemeinsame Nutzung der Interne SharedAccess running auto
`tverbindung
*Shellhardwareerkennung ShellHWDetection running auto
*Druckwarteschlange Spooler running auto
*Systemwiederherstellungsdienst srservice - disabled
*SSDP-Suchdienst SSDPSRV - disabled
*Windows-Bilderfassung (WIA) stisvc running auto
*MS Software Shadow Copy Provider SwPrv - on demand
*Leistungsdatenprotokolle und Warnungen SysmonLog - on demand
*Telefonie TapiSrv - on demand
*Terminaldienste TermService running on demand
*Designs Themes running auto
*Telnet TlntSvr - on demand
*Überwachung verteilter Verknüpfungen (Client) TrkWks running auto
*Windows User Mode Driver Framework UMWdf running auto
*Universeller Plug & Play-Gerätehost upnphost - disabled
*Unterbrechungsfreie Stromversorgung UPS - on demand
*Volumeschattenkopie VSS - on demand
*Windows-Zeitgeber W32Time running auto
*WebClient WebClient running auto
*Windows-Verwaltungsinstrumentation winmgmt running auto
*Dienst für Seriennummern der tragbaren Medien WmdmPmSN - on demand
*Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand
`trumentation
*WMI-Leistungsadapter WmiApSrv - on demand
*Sicherheitscenter wscsvc running auto
*Automatische Updates wuauserv running auto
*Konfigurationsfreie drahtlose Verbindung WZCSVC running auto
*Netzwerkversorgungsdienst xmlprov - on demand
»Application specific


hijack_this_log :

Logfile of HijackThis v1.99.1
Scan saved at 13:49:42, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
E:\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\system32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




gruss



pure_y2k

Diese beiden solltest Du auch noch mal entfernen : :snyper:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11

Gruß
Andy

Das bezweifle ich -> http://www.iks-jena.de/cgi-bin/whois

jedoch http://www.pcwelt.de/forum/archive/i.../t-142649.html

Ja und? Hast du den Thread wenigstens bis zum Post von UKW gelesen? ;)

Wir wissen ja beide nicht ob Arcor sein ISP ist, also bleiben wir auf Stand-By in diesem Falle.

In dubio pro Reo :party:

Cheers
Andy

jau,


145.253.2.11


ist mein primary arcor dns-server !




gruss



pure_y2k

Diese hätten noch heraus gekonnt:
Aber sonst? :confused:

Eine wohl eher unwahrscheinliche Möglichkeit wäre noch die Manipulation der HOSTS-Datei...