ich habe irgend ein schädling eingefangen Bitte prüfung des hijack logs
escan habe ich bereits laufen lassen, und die Startseite verändert sich
nicht mehr aber ich bin nicht sicher ob alles sauber ist

alles was auf delaval lautet ist sauber

Besten Dank



Logfile of HijackThis v1.97.7
Scan saved at 11:10:23, on 23.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Windows\SRVANY.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\helper.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Compaq\Hotkey Software\hkss.exe
C:\WINDOWS\system32\ltmsg.exe
C:\PROGRA~1\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\PROMon.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp
F0 - system.ini: Shell=explorer.exe, msmsgs.exe
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [MessengerUserSetup] "C:\Program Files\messenger\SetupUserAndSignin.vbs"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: http://setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: http://setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://intranet.delaval.local
O15 - Trusted Zone: http://intranettext.delaval.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

@
die O15 einträge bekommst du hiermit weg
mach bitte folgendes:

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.

Es sollten jetzt alle Einträge aus den vertrauenswürdigen Sites verschwunden sein.
Starte den Rechner neu und poste anschließend ein neues Log von HijackThis.

Zitat:
; DelDomains.inf
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

ZitatLutz
poste danach ein HJT logfile der aktuellen version
http://www.hijackthis.de/de
chaosman

besten dank für die rasche Antwort

die 015 schliesse ich aus die sind in Ordnung da bin ich mir sicher
ist eine spez. Software auf meinem Rechner
wenn der Rest in Ordnung ist habe ich das Problem wohl gelöst

Hallo,

ist diese Datei bei Dir noch vorhanden?

C:\WINDOWS\system32\msmsgs.exe

dartus

Hallo

die Datei ist vorhhanden aber ohne exe endung C:\WINDOWS\system32\msmsgs.exe

Hallo lubin,

dann hast Du die Ordneroption "Erweiterung bei bekannten Dateitypen ausblenden" aktiviert.
Lösche die Datei und fixe den Eintrag im abgesicherten Modus bei deaktivierter Systemwiederherstellung.http://www.systemwiederherstellung-d...indows-xp.html
dartus