Nach Virenbefall probleme mit IE6!
 

Hallo dies ist mein erstes Posting bei Euch auf dem Forum und wollte mal Fragen ob Ihr mir evtl. weiterhelfen könntet.

Nach einem Virenbefall auf dem Rechner eines bekannten, habe ich mit diversen Tools versucht alles zu löschen und aufzufinden was geht.

Der eigene Panda Service hatte sich verabschiedet bzw. läuft nicht mehr.
F-Secure funktionierte nicht bzw. brachte den Rechner zum abstürzen.
E-Scan und Ad-Aware brachten dann den nötigen Erfolg das das System zumindest wieder stabil läuft.

Problem ist nur das der IE6 jetzt keine Downloads mehr zulässt bzw. seit neustem nur noch ein weißes Fenster anzeigt. Egal welcher download es ist.
Die Sicherheitseinstellungen kann ich leider nicht runtersetzen habe schon alles mögliche Versucht. Zumindest geht es nicht über den Explorer selber.
Die Problematik dadurch ist dann natürlich auch das in Outlook ebenfalls keine Downloads bzw. Dateianhänge mehr öffnen kann :(

Vielleicht kann mir ja einer von Euch weiterhelfen was ich jetzt am besten machen soll. Die Ergebnisse von Hi-Jack sind anbei.

Danke und schöne Grüße

Peter

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\KEN!\kentbcli.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\wkst10\Desktop\test\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.111.254:3128;https=192.168.111.254:3128;ftp=192.168.111.254:3128;socks=192.168.111.254:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [PspUsbCf] PspUsbCf.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Briefkopf.lnk = RA\BR-Kopf\br-kopf2.bat
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.111.254:3128/ken.html
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - file://D:\ols\cd-db\fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Kanzlei.local
O17 - HKLM\Software\..\Telephony: DomainName = Kanzlei.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Kanzlei.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Kanzlei.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Kanzlei.local
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/wkst10/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 2: Warning homepage - C:\WINDOWS\warnhp.html

Hallo,
hierbei dürfte es sich um einen geschäftlich/gewerblich genutzten Rechner handeln.
Dafür wird kein Support hier gegeben.
Wende dich bitte an den zuständigen Admin.
Irrlicht

An wen kann man sich den wenden wenn es keinen Administrator mehr gibt, der sich damit auskennt? Ich hatte nur mal einen Blick auf den Rechner meines bekannten geworfen. Wo finde ich denn ein Forum was mir weiterhelfen würde, man kann ja schließlich nicht alles wissen ;)

AFAIK wird in keinem deutschen Forum der Support für gewerblich genutzte PCs geleistet. Grund dafür ist, dass alle Foren auf der Basis "User helfen User" funktionieren. Die Benutzung eines falschen Tipps kann die fatalen Folgen für ein Unternehmen haben (z.B. Datenverlust). Deswegen schließe ich dem Irrlicht an und empfehle, einen Fachmann vor Ort aufzusuchen.
PS: Für einen Privaten PC in dem Zustand würde ich format c:\ vorschlagen.
Wenige sichere Alternative bietet das russische Forum VirusInfo-Englisch mit dem AVZ4 (s. Link in meiner Signatur).

Dann weiss ich zumindest schonmal bescheid das es besser für Ihn wäre wenn er sich an seinen Systemadministrator wendet. Da ich ja auch erstmal nur einschätzen wollte wie ernst die Situation wirklich ist.

Trotzdem Danken, erstmal!

Grüße

Peter

Ps. Wie wertet man eigentlich solche HiJack Protokolle aus, gibt es dafür einen Guide oder eine Anleitung?

Google-Benutzer würde solche Fragen nicht stellen :cool:
hijacktis.de
http://www.trojaner-board.de/17493-a...ijackthis.html