|
About:Blank Hijacker mit Nebenwirkungen Hallo, zunächst möchte ich dieses Board und die zugehörige Infoseite und alle hier Mitwirkenden ausgesprochen loben und euch allen für dieses Medium danken. Ich habe gerade über 2 Stunden damit verbracht den Hijacker mit der modifizierten about:blank und den entsprechenden sp.html Einträgen zu entfernen.Es sieht jetzt endlich auch so aus, als ob es funktioniert. Immerhin zeigt mir das aktuelle HiJack This keinen verdächtigen Eintrag mehr. Aber ich habe noch das Problem, dass bei jedem Start der Popupblocker vom Inetexplorer deaktiviert wird. Wenn ich den Blocker aktiviere und dann neu starte ist er wieder ausgeschaltet.Zur Erläuterung muss ich noch Anführen, dass es sich um ein dienstliches Notebook handelt und dort bezüglich der verwendbaren Software starke Restriktionen vorliegen. D.h. keine alternativen Popupblocker oder Alternativbrowser sind zulässig. Wenn dagegen ein Verstoss festgestellt wird (die Prüfung erfolgt beim nächsten connect ins Firmennetz) werden diese Tools alle gelöscht und ein Alternativbrowser wird auch entfernt. Daher wäre mir am Popupblocker des XPSP2 einiges gelegen. Wo könnte ein Eintrag stehen der ihn beim start abschaltet ?? Danke für jede Hilfe. Anbei der gerade gezogene Log von Hijack this, die sicheren Einträge habe wegen der Länge des Themas entfernt: Logfile of HijackThis v1.99.0 Scan saved at 01:31:18, on 13.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Permeo\Security Driver\nbproxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\bmwebcfg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\system32\ICO.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Permeo\Security Driver\EBIcon.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\Internetdownloads\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://inetprox.inet.cns.fra.dlh.de/proxy.pac O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll \Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Permeo Security Driver Startup.lnk = C:\Programme\Permeo\Security Driver\EBIcon.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102612818032 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A90B7869-C0FC-4725-9DD9-F6FB07B2C282}: NameServer = 57.20.120.33,57.20.120.65,57.20.120.97 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de O18 - Filter: text/html - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll O18 - Filter: text/plain - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Security Driver NetBT Proxy - Permeo Technologies, Inc. - C:\Programme\Permeo\Security Driver\nbproxy.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Danke für jeden Hinweis, viele Grüße und ein stabiles System Stefan |
Ergänzung About:Blank Hijacker mit Nebenwirkungen So ich habe noch eine Ergänzung zum vorherigen Beitrag: Wenn Spybot laufen lasse meldet er mir immer DSO Exploits und Webtrends, Doubleclick und Hitbox. Wenn ich das Fixe. Meldet er es jedoch sofort wieder. Egal ob abgesichert oder nicht immer werden die DSO Exploits gefunden und dann nach einem fix werden sie nicht entfernt. Könnte mir da jemand einen Tip geben was ich tun kann. Danke. Stefan |
@ WolfonIce Das DSO-Exploit kannst du ignorieren, es ist ein Bug von Spybot. Poste bitte das nächste HijackThis Logfile in seiner gesamten Länge, verteilt auf 2 aneinanderhängende Beiträge. Downloade zunächst LSP-Fix. Wenn Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten. ------------------ Scanne bitte mit dem online-scan von : Kaspersky C:\WINDOWS\system32\bmwebcfg.exe teile uns das Ergebnis der Überprüfung mit. ------------------ Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, wenn unerwünscht/unbekannt, bitte fixen (Häk'chen setzen und auf Fix Checked klicken): O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.adultpark.de/vod/dmd/WMDownload.cab O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de O18 - Filter: text/html - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll O18 - Filter: text/plain - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll boote in den normalen Modus. Entferne mit LSP-Fix (Dateien ins Programm einlesen und von links nach rechts ziehen): O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing Aktiviere die Systemwiederherstellung und boote neu. ------------------ Erstelle ein neues Hijack This Logfile und poste es. |
So anbei die ersten Ergebnisse: bmwebcfg.exe ist das Bytemobile Webconfiguration Tool meiner Centrino WLAN Karte, und virenfrei O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de sind die Standard DNS Einträge für die LAN Verbindung ins Firmennetz. da wir mit statischen IP's arbeiten sind auch unsere DNS aus Firmengründen fix O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll Das sind die Standardeinträge für unser Firmentool zur Socksnutzung z.B. FTP etc. Dazu nutzen wir ein Tool von Permeo, der über einen Socksproxy definierte Applikationen auf bestimmte Protokolle und Ports zugreifen lässt. Diese Einträge kann ich daher nicht entfernen. Ansonsten läuft noch alles wie gehabt. Der Hijack fehlt, meine Startseite bleibt wie gewünscht etc. aber noch immer wird bei jedem Start der PopUpBlocker deaktiviert. Die neue HiJack Log folgt im nächsten Beitraf. Aber Danke auch schon für die bisherige Hilfe. Grüße Stefan |
Und hier jetzt die logfile: Logfile of HijackThis v1.99.0 Scan saved at 02:56:13, on 13.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Permeo\Security Driver\nbproxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\bmwebcfg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Apoint\Apntex.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Permeo\Security Driver\EBIcon.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\Internetdownloads\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lww.dlh.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://inetprox.inet.cns.fra.dlh.de/proxy.pac O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Permeo Security Driver Startup.lnk = C:\Programme\Permeo\Security Driver\EBIcon.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102612818032 O17 - HKLM\System\CCS\Services\Tcpip\..\{A90B7869-C0FC-4725-9DD9-F6FB07B2C282}: NameServer = 57.20.120.33,57.20.120.65,57.20.120.97 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Security Driver NetBT Proxy - Permeo Technologies, Inc. - C:\Programme\Permeo\Security Driver\nbproxy.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
Hallo. SO nach längerer Suche habe ich doch noch den Fehler wegen des XP Popupblockers finden können. Ich habe dazu mal einen Filemon und einen Realtime File und Systemanalyzer laufen lassen und festgestellt das die Beendigung über einen eingetragenen Dienst erfolgte der beim Sytemstart aktiv wurde aber nach einmaligem Ausführen beendet wurde. Dieser Dienst hat den Popupblock deaktiviert über einen entsprechenden Registryaufruf den er eingetragen hat. Ich werde eine detailiertere Auswertung noch hinterherschicken. Ansonsten nochmals Danke für die Tipps die ich hier finden konnte. Und jetzt ist es mir ein persönliches Anliegen in Zukunft auch anderen Usern hier helfen zu können. Dazu suche ich wenn möglich, da ich nicht immer online sein kann (Reise viel mit dem Flugzeug) eine Möglichkeit Seiten mit bestimmten unbekannten oder noch nicht behebaren HiJacker zugeschickt zu bekommen oder die Logs direkt zu bekommen. Also wenn ihr Logs habt bei denen noch nicht alles geklärt wurde könnt ihr sie mir gerne schicken an: HiJackLog@lh-medicalservice.com THX und Safe Surf Stefan |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board