Win2000 IExplorer
 

Hallo,

seit gestern habe ich ein Problem mit einem Win2000 Rechner, der hinter einem WLAN-Router (am Kabel) hängt. Im Internet-Explorer ist nur noch die Adressleiste vorhanden alles andere ist weg. Außerdem bleibt der Rechner beim Starten meistens hängen. Es werde nicht alle Programme geladen und sobald ich mit der Maus über die Taskleiste/Start-Button gehe kommt die Sanduhr. Kann mir (wenn ich es verstehen würde) das HijackThis Log-File da weiterhelfen ? Für jegliche Hilfe/Hinweise bin ich extrem dankbar !

Hier mal das Log-File.:

Logfile of HijackThis v1.99.1
Scan saved at 13:23:04, on 20.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder Express\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\SetIcon.exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPI - Monitor.lnk = C:\Programme\Gigaset DECT\capi\Tools\CALLTRAY.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to EverNote - res://C:\Programme\EverNote\EverNote\enbar.dll/2000
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Add to EverNote - {A5ABA0BB-F195-40d8-A5E9-0801153E6597} - C:\Programme\EverNote\EverNote\enbar.dll
O9 - Extra 'Tools' menuitem: Add to EverNote - {A5ABA0BB-F195-40d8-A5E9-0801153E6597} - C:\Programme\EverNote\EverNote\enbar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/129d265efc643b6aae21/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128018336828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128018326218
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - h**p://www.photodex.com/pxplay.cab
O16 - DPF: {FA6BBB14-4D58-11D6-AB4A-0000E8763B75} (FJD_XaniaControlBar Class) - h**p://213.69.98.134/xfs/file/xctrlbar.cab
O16 - DPF: {FEEE6031-2148-11D6-AAF0-0000E8763B75} (FJD_XaniaControl Class) - h**p://213.69.98.134/xfs/file/xclientinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{288458EB-243E-418B-9EC3-D3BA0AD4714F}: NameServer = 85.255.113.125,85.255.112.214
O17 - HKLM\System\CCS\Services\Tcpip\..\{90B91BB7-C91A-4D12-97FB-7F7AFD43FBC2}: NameServer = 85.255.113.125,85.255.112.214
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7754601-9DE6-45F2-B6CA-F5CB1D0E73F3}: NameServer = 85.255.113.125,85.255.112.214
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINNT\system32\PDFCreatorMessages.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programme\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - c:\programme\softwin\bitdefender9\vsserv.exe (file missing)
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Scheint alles in Ordung zu sein nur folgende Sachen solltest du nochmals anschauen und gegebenfalls rauslöschen:

Du musst schauen ob du die IP Adresse oben kennst, weil du mit denen verbunden bist.

Wegen dem IE; Schau mal unter den Einstellungen da kannst du alles wieder auf normal stellen. Und ausserdem solltest du Firefox oder sonst einen Browser nutzen und nicht den IE, der hat keinen Guten Ruf ;)

Gruss

Hallo,
@hallo 123
Das Scriptkiddy hat die automatische Auswertung entdeckt...
Solltest du mit deinem Log nicht besser ganz kleinlaut in der Ecke sitzen ?
Deine Tipps sind schwachsinnig bis nutzlos !
Laß es bitte,du verwirrst nur die Hilfesuchenden !
Irrlicht

Hallo Center,
es ist eindeutig nichts in Ordnung,
nach dein Logfile zu urteilen, sitzt deinen Provider in Kiev.
Scanne dein System mit escan, anschließend mit blacklight und Rootkitrevealer


chaosman

Hallo Chaosman,

vielen Dank erst mal, Scan mit EScan läuft gerade - der Rest folgt. Ich nehme mal an ich soll danach die Ergebnisse der drei Scans hier posten ?
Kiev klingt für mich in diesem Zusammenhang nicht gerade gut...

Center

Mache es der Übersichtlichkeit halber in drei Posts.
Wundere Dich nicht darüber, dass Dein Provider in der Ukraine sitzt:daumenhoc

Nix Kiev. Charkow :D
BTW mein Geburtsort :heilig:

Ok, hier mal das Ergebnis von escan
(Nur die Einträge mit infected bzw tagged -langt das ?):


Thu Apr 20 19:03:28 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Apr 20 19:03:28 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Thu Apr 20 19:03:35 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\symantec winfax pro\controller.lnk
Thu Apr 20 19:03:35 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.

Thu Apr 20 19:03:36 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\symantec winfax pro\controller.lnk
Thu Apr 20 19:03:36 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.

Thu Apr 20 19:03:37 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
Thu Apr 20 19:03:37 2006 => Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.


Thu Apr 20 19:17:06 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\pwnzk.dll.q_63A6002_q tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.

Thu Apr 20 19:49:52 2006 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
Thu Apr 20 20:33:29 2006 => File J:\Eigene Dateien\*****\Download\PC\Treiber\mirc612.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.


Die anderen Log's kommen sobald ich sie habe.


Center

P.S: Was bedeutet das jetzt mit der Ukraine ?

Benutze mal die Suche und gebe das Stchwort Ukraine ein:aplaus:

Hier das Blacklight Log-File:

04/20/06 21:00:26 [Info]: BlackLight Engine 1.0.35 initialized
04/20/06 21:00:26 [Info]: OS: 5.0 build 2195 (Service Pack 4)
04/20/06 21:00:26 [Note]: 7019 4
04/20/06 21:00:26 [Note]: 7005 0
04/20/06 21:00:29 [Note]: 7006 0
04/20/06 21:00:29 [Note]: 7011 1836
04/20/06 21:00:29 [Note]: 7026 0
04/20/06 21:00:29 [Note]: 7026 0
04/20/06 21:00:29 [Note]: FSRAW library version 1.7.1015
04/20/06 21:00:32 [Info]: Hidden file: C:\Programme\Gigaset DECT\capi\Tools\icbtest.exe
04/20/06 21:00:32 [Note]: 10002 1
04/20/06 21:00:52 [Info]: Hidden file: C:\Programme\CyberLink DVD Solution\PowerDVD\cltest.exe
04/20/06 21:00:52 [Note]: 10002 1
04/20/06 21:01:14 [Info]: Hidden file: C:\WINNT\system32\wbem\wbemtest.exe
04/20/06 21:01:14 [Note]: 10002 1
04/20/06 21:01:16 [Info]: Hidden file: C:\WINNT\system32\cspqr.exe
04/20/06 21:01:16 [Note]: 7002 32
04/20/06 21:01:16 [Note]: 7003 1
04/20/06 21:01:16 [Note]: 10002 1
04/20/06 21:01:16 [Info]: Hidden file: C:\WINNT\system32\dmztj.exe
04/20/06 21:01:16 [Note]: 7002 32
04/20/06 21:01:16 [Note]: 7003 1
04/20/06 21:01:16 [Note]: 10002 1
04/20/06 21:01:16 [Info]: Hidden file: C:\WINNT\system32\favset.exe
04/20/06 21:01:16 [Note]: 7002 5
04/20/06 21:01:16 [Note]: 7003 1
04/20/06 21:01:16 [Note]: 10002 1
04/20/06 21:01:17 [Info]: Hidden file: C:\WINNT\system32\filesafer23.exe
04/20/06 21:01:17 [Note]: 10002 1
04/20/06 21:01:18 [Info]: Hidden file: C:\WINNT\system32\howiper.exe
04/20/06 21:01:18 [Note]: 7002 5
04/20/06 21:01:18 [Note]: 7003 1
04/20/06 21:01:18 [Note]: 10002 1
04/20/06 21:01:19 [Info]: Hidden file: C:\WINNT\system32\pppcgm.exe
04/20/06 21:01:19 [Note]: 10002 1
04/20/06 21:01:20 [Info]: Hidden file: C:\WINNT\system32\sphlp32.exe
04/20/06 21:01:20 [Note]: 10002 1
04/20/06 21:05:05 [Note]: 7007 0

Bei 3 Viren hat Blacklight vorgeschlagen die infizierten Dateine zu löschen:
Trojan Clicker.Win32.Small.kg
Trojan Clicker.Win32.Small.hl
CoolWebSearch

Ich habe immer zugestimmt.

RootkitRevealer läuft....

Center

So,

RootkitReveal hat eine Meldung gebracht:

C:\WINNT\system32\NtmsData\NTMSJRNL ..... Hidden from Windows API


Was sagt mir das alles jetzt ?

Center

Also die offensichtlichen Probleme (Fehlfunktion IExplorer und Startschwierigkeiten) sind behoben, aber kann ich mich auf den PC jetzt wieder verlassen oder schlummern da noch irgendwelche Gefahren ?

Für weitere Hinweise bin ich nach wie vor sehr dankbar !

Center