Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE - Fehlermeldung & flasche I-Seiten (https://www.trojaner-board.de/46727-ie-fehlermeldung-flasche-i-seiten.html)

makop970 07.12.2007 23:46
IE - Fehlermeldung & flasche I-Seiten
 
Hallo Leute,

ich bin brandneu in dem Board und würde Euch sehr bitten mir zu helfen.
Ich hab schon sehr viel gelesen und auch schon Einiges probiert allerdings bekomme ich den Fehler trotzdem nicht weg. :headbang:

Fehlerbeschreibung:
- beim IE Start kommt zuerst die Fehlermeldung "Die Anweisung in "xxx" verweist auf den Speicher "XXX". Der Vorgang "read" konnte nicht auf den Speicher durchgeführt werden"
- bei OK wird erstmal der IE geschlossen
- beim erneuten Aufrufen bekam ich folgende Anzeige "Folgendes Add-On wurde ausgeführt, als dieses Problem auftrat ... gugkwinh.dll"
- auch da schließt dann der IE
- diesen Add-On Fehler habe ich deaktiviert im Fenster "Add-Ons verwalten"
- danach keine Fehleranzeige mehr
- wenn der IE mal läuft und ich eine Seite eingebe werde ich auf irgendeine willkürliche Werbeseite geleitet (konnte bisher kein Schema feststellen)

Ich bin mir sicher ich habe mir einen ganzen Berg an Adware, Viren & sonstiges eingefangen. :eek:

Was ich schon getestet habe:

- AdAware
- Spybot Search&Destroy
- Trend Office Scan
- MicroWorld eScan Toolkit Utility (-> hat so um die 8 Viren erkannt und beseitigt)

Jetzt bin ich mit dem Latein am Ende, da der Fehler immer noch da ist. :confused:

Folgende Einträge kommen mir im Task-Manager - Prozesse komisch vor: qfkudsmw.exe & wdfmgr.exe
Folgende Add-Ons habe ich schon im Fenster "Add-Ons verwalten" deaktiviert: gugkwinh.dll & bfoqdzjs.dll

Noch ein Problemchen:
Es handelt sich hier um meinen Arbeitsrechner und ich habe nur Adminrechte im Rahmen meines Accounts. Eine Neuinstallation ist zwar möglich, bedeutet aber einen immensen Aufwand von Tagen, bis wieder alles so läuft.

Ich würde mich deshalb wirklich um Tipps&Hilfe von Euch freuen, damit ich die Neuinstallation umgehen kann...

Ach ja, hier noch mein HiJack-Log (gerade aufgenommen):

Logfile of HijackThis v1.99.1
Scan saved at 23:35:59, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Tools\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\CATPC\CATSYS\CatSystemSvc.exe
C:\Program Files\Trusted Applications\c***a\c***a_service.exe
C:\WINDOWS\system32\qfkudsmw.exe
C:\WINDOWS\system32\DWRCS.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Win16App\Oracle\ora92\bin\omtsreco.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\M-Audio Transit USB\Install\TUSBInst.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\UIBEDF.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DWRCST.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\***\Card API\bin\siecacst.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Tools\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\CryptoEx\common\CexTray.exe
C:\Tools\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\CryptoEx\Common\EASServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\proquota.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Tools\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\mobsync.exe
C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\KeePass 1.09\KeePass.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Tools\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.***.net/cgi-bin/iesearch.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = AG Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://intranet.***.com:8443/Home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ps://intranet.***.com:8443/home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.m-audio.com/support/driversearch.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by *** *** V1.0
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://proxyconfig01/jscripts/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=<proxyserver>:<Port>;h**ps=<proxyserver>:<Port>;ftp=<proxyserver>:<Port>;gopher=localhost:1;socks=<proxyserver>:<Port>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.sitest.net;*.***.net;*.***.de;<local>
F2 - REG:system.ini: UserInit=CatUInit
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [Migrator] "C:\Program Files\CryptoEx\Migrator\Migrator.exe" -StartUp
O4 - HKLM\..\Run: [SIECACST] C:\Program Files\***\Card API\bin\siecacst.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Tools\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Tools\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [JavaProfileFix] "C:\Program Files\Java\Profile Fix\JAVA_Fix 4.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CatUserRun] exec32 /wh /c chgreg5 /c
O4 - HKCU\..\Run: [TrayBackup] "C:\Tools\TrayBackup\traybackup.exe" /AUTO
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: xppl.cmd
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**ps://intranet.***.com:8443/home
O15 - Trusted Zone: *.s*p-ag.de
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - /update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - /update/1.6.0/jinstall-1_6_0-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ww***.***.net
O17 - HKLM\Software\..\Telephony: DomainName = ww***.***.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ww***.***.net
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00FFC07.dat
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Tools\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CatSystem (CatSystemSvc) - *** AG - C:\WINDOWS\CATPC\CATSYS\CatSystemSvc.exe
O23 - Service: c***aService - *** Business Services GmbH & Co OHG SBS SI SWE3 - C:\Program Files\Trusted Applications\c***a\c***a_service.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.EXE (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\qfkudsmw.exe
O23 - Service: DameWare Mini Remote Control (DWRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.EXE
O23 - Service: Contivity VPN Service (ExtranetAccess) - Nortel Networks NA, Inc. - C:\Program Files\c***a VPN\Extranet_serv.exe
O23 - Service: NBService - Nero AG - C:\Win16App\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Win16App\Oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome90ClientCache - Unknown owner - C:\win16app\oracle\ora90\bin\ONRSD.EXE (file missing)
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Win16App\Oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHomeDevClientCache80 - Unknown owner - C:\Win16App\Oracle\OraDev6i\BIN\ONRSD80.EXE
O23 - Service: Prime95 Service - Unknown owner - C:\Tools\Prime95\prime95.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Transit USB Installer (Transit USBInstallerService) - Nemesis - C:\Program Files\M-Audio Transit USB\Install\TUSBInst.exe

cosinus 08.12.2007 21:08
Hallo.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 23:35:59, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Du hast eine alte HJT-Version benutzt. Erstell mal ein neues Logfile mit der aktuellen Version. Nimm am besten dazu mal diese umbenannte hijackthis.exe.

Im deinem Log seh ich aber einige unbekannte Dateien:
Code:
C:\WINDOWS\CATPC\CATSYS\CatSystemSvc.exe
C:\Program Files\Trusted Applications\c***a\c***a_service.exe
C:\WINDOWS\system32\qfkudsmw.exe
C:\WINDOWS\TEMP\UIBEDF.EXE
C:\Program Files\***\Card API\bin\siecacst.exe
C:\Program Files\Java\Profile Fix\JAVA_Fix 4.exe
C:\WINDOWS\system32\__c00FFC07.dat
Sagen dir die was? Werte die mal bei Virustotal aus und poste die Ergebnisse.

Zitat:
C:\WINDOWS\system32\DWRCS.EXE
Hast du DameWare installiert? Ist das zufällig ein Bürorechner? :rolleyes:
Ein Oracle läuft da ebenfalls...
Was sagt denn der Admin zu dieser vergurkten Kiste? :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131