Trojaner-Board - explorer will net mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - explorer will net mehr (https://www.trojaner-board.de/7079-explorer-will-net-mehr.html)

explorer will net mehr

Hallo,

nachdem sich bei mir auf dem Server beim surfen, irgendwas eingenistet hat, traten folgende Probleme auf:

Der Desktio hintergrund änderte sich. Eingeblendet war eine Warnung, das mein PC nicht sicher ist und ich DAS Prog ziehen soll, das mir hilft. Dazu konnte ich nicht auf die Desktopoptionen zugreifen, weil rechtsklick auf Desktop mich nur zu eigenschaften einer html seite führte. Systemsteuerung aufrufen geht auch nicht. Explorer aufrufen auch nicht. Das folgt so ab, das wenn ich zb meinen Arbeitsplatz aufmachen will, erstmal die Sanduhr kommt. Dann nach paar Sekunden, verschwinden die Symbole, der Hintergrund und die Taskleiste, für 2 sekunden. Ich hab praktisch nur die Standarthintergrundfarbe auf meinen Moni. Dann kehrt alles wieder zurück. Aber der Arbeitsplatz wurde nicht geöffnet. CWS, Adaware, Spybot und e-scan habe ich laufen lassen, aber nichts hat geholfen. Hier mein hijacklog:

Logfile of HijackThis v1.98.2
Scan saved at 16:01:04, on 24.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Dokumente und Einstellungen\Administrator\WINDOWS\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator.INFOPARTNER\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sagekhk.de/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINNT\system32\mspxs32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
O4 - HKLM\..\Run: [DV4TS.EXE] C:\WINNT\system32\DV4TS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Daou] C:\Dokumente und Einstellungen\Administrator.INFOPARTNER\Anwendungsdaten\aila.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\administrator\windows\system32\rnr20.dll' missing
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A68C4E59-3E20-4C96-80D4-497AACBE7726}: NameServer = 10.0.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{A68C4E59-3E20-4C96-80D4-497AACBE7726}: NameServer = 10.0.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{A68C4E59-3E20-4C96-80D4-497AACBE7726}: NameServer = 10.0.0.254

Hat jemand tipps? Gruss DaBoy

Ist das noch derselbe Rechner wie in deinem anderen Thema?

http://www.trojaner-board.com/showth...6815#post66815

Falls ja, hatte Rene-gad dir ja einen ziemlich deutlichen Hinweis gegeben und du hast ihn, wie es aussieht, ignoriert. Das Ergebnis siehst du jetzt.

Dieser Eintrag:

O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing

deutet darauf hin, dass deine Winsock.dll verändert/ersetzt wurde. Ein Fixen kann mit sich bringen, dass das Netz nicht mehr funktioniert, ein Tool dafür ist:

http://www.cexx.org/lspfix.htm

allerdings kann ich dazu nichts Genauer sagen.
Falls es tatsächlich noch derselbe Rechner ist, lautet mein Vorschlag:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

Dein Log ist aus dem abgesicherten Modus, oder? Da fehlen einige Prozesse, poste bitte mal ein "normales".

Nein, das ist nicht der selber PC. Mit den anderen wurde ich fertig mit e-scan und so.

Das gleiche habe ich jetzt auch bei dem gemacht. Aber es hilft net.

O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing

Das habe ich ebenfalls gefixed, Netzwerk geht noch, Problem immer noch da.

Dann fixe:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINNT\system32\mspxs32.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
die 015 und 017-Einträge

Alternative Browser verwenden (Opera, Firefox, Mozilla), Active-X und Java-Script deaktivieren und nur auf sicheren Seiten vorübergehend wieder einschalten, wenn es unbedingt nötig ist.