Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internet Explorer stürzt ab...startsmart.tv (https://www.trojaner-board.de/55548-internet-explorer-stuerzt-ab-startsmart-tv.html)

user2000 08.07.2008 09:05
Internet Explorer stürzt ab...startsmart.tv
 
Hallo, mein Internet Explorer stürt kurz nach dem Einwählen( DSL) fast immer ab oder die Seiten bauen sich extrem langsam auf.
Habe schon im gesicherten Modus unter regedit: "HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant den wert www.startsmart.tv entfernt...Internet funktioniert aber immer noch nicht.
Vielen Dank im voraus

anbei mein

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:42, on 07.07.2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Netropa\Multimedia Keyboard\mmusbkb2.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Systesms.exe] Systesms.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Update 32] explore32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O20 - Winlogon Notify: f3dsl - C:\WINNT\
O23 - Service: 3Com DMI Agent (3ComDMIService) - 3Com Corporation - C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE
O23 - Service: a-squared Command Line Scanner Service (a2Cmd) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ICF - Unknown owner - C:\WINNT\System32\icf.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

--
End of file - 5471 bytes

cosinus 08.07.2008 09:54
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

:eek:

Sry aber bei diesem System mit diesem Patchstand wundert mich garnichts mehr!! Du hast ja jahrelang nicht gepatcht!!

O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe

Allesamt Müll. Man sollte hier nicht mehr versuchen das System zu bereinigen, Du solltest es neu aufsetzen.

Bei Windows 2000 gibt es bei der Neuinstallation noch was zu beachten, das werd ich später noch schreiben.

Lucky 08.07.2008 10:02
Vor allem gehört bei Windows 2000 das Service Pack 4 drauf.

cosinus 08.07.2008 10:04
Zitat:
Zitat von Lucky (Beitrag 352346)
Vor allem gehört bei Windows 2000 das Service Pack 4 drauf.
Nicht nur das. :rolleyes: Aber mehr dazu später.

Edit @user2000: Da fällt mir noch was ein, denn es kursieren seit einiger Zeit Schädlinge, die den Master Boot Record (MBR) befallen. Eine "einfache" Neusintallation würde somit nicht ausreichen. Ob Dein MBR befallen ist, sollte sich mit diesem Tool herausfinden lassen. Führ es aus und poste das Logfile.

user2000 08.07.2008 12:49
ok vielen dank...werde heute abend zuhause mit dem mbr-test durchführen und gebe dir morgen bescheid...vielen dank im voraus

user2000 09.07.2008 07:00
hallo,

anbei mein mbr-report

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

sowie nochmal der log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:13, on 08.07.2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Netropa\Multimedia Keyboard\mmusbkb2.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\MsiExec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O20 - Winlogon Notify: f3dsl - C:\WINNT\
O23 - Service: 3Com DMI Agent (3ComDMIService) - 3Com Corporation - C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE
O23 - Service: a-squared Command Line Scanner Service (a2Cmd) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ICF - Unknown owner - C:\WINNT\System32\icf.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

--
End of file - 4972 bytes

cosinus 09.07.2008 08:40
Der MBR scheint i.O. zu sein. Somit würde ein "einfaches" Neuinstallieren reichen.

Allgemein gilt, dass man offline möglichst viele Updates einspielen sollte und erst dann zum ersten Mal ins Internet geht. Bei W2k wären das das SP4 sowie das Update Rollup 1 fürs SP4 und weitere Hotfixes in Form eines Updatepakets. In dieser Reihenfolge sollten sie installiert werden, dazwischen jew. ein Neustart:

1.) SP4
2.) UR1
3.) Updatepaket

Die Updates/Service Packs musst du dir vorher von einem sauberen Rechner besorgen und auf CD brennen, damit der frisch aufgesetzte Rechner offline aktualisiert werden kann. Erst wenn diese Updates eingespielt sind, kannst du rel. gefahrlos eine Internetverbindung aufbauen - ist der W2k-Rechner aber nicht hinter einem Router, empfiehlt es sich nach dem Einspielen der Updates unnötige Dienste zu beenden, da W2k anders wie XP keine Windows-Firewall hat.

Zudem benötigt W2k auch noch eine Aktualisierung auf IE6 (IE7 läuft unter W2k nicht!), da es nur standardmäßig mit IE5 ausgestattet ist. Besuch dazu, wenn alle Maßnahmen zur Absicherung durchgeführt worden sind, die Windows-Update-Seite mit dem IE.

Richte aber als Standardbrowser eine sicherere Alternative ein, wie z.B. Opera oder Mozilla Firefox.

Falls du eine bebilderte Beschreibung für die Installation von W2k brauchst, findest du sie hier => Windows 2000 Pro Installation

Lucky 09.07.2008 16:16
Ich rate von den inoffiziellen Updatepacks ab, die haben bei mir immer mehr beschädigt wie geholfen. Daher lieber die Windows Updates über den IE durchführen.

cosinus 10.07.2008 15:52
Hmnaja. Ich hab bisher keine schlechten Erfahrungen mit den inoffiziellen Updatepaketen gemacht. Bei Windows 2000 ist das auch so eine Sache, einfach nur das SP4 allein reicht nicht (ich meine im Vergleich zu XP mit dem SP2). Die Patches, die die RPC- und LSASS-Lücke (Blaster/Sasser) schließen, kamen erst später, nämlich ins Update Rollup 1, hinzu. Da das UR1 aber auch schon wieder drei Jahre alt ist, sollten offline möglichst viele Patches installiert werden und das ist am einfachsten über inoffizielle Update-Packs zu machen.

Mit Deiner Methode (also Patchen über den IE bzw. dem Autoupdatedienst) würde ich ein ungpatchtes W2K nur updaten wenn dieser PC hinter einem Router mit Hardwarefirewall hängt.

Lucky 10.07.2008 17:24
Oder das ct Updatepacke benutzen, das lädt nämlich die aktuellen Patches vom Windows Updateserver und erstellt daraus selber eine Exe zum Ausführen ohne das da irgendwas dann gefummelt wurde.

cosinus 10.07.2008 18:14
Der c't offlineupdater wäre auch ne Möglichkeit klar. Ich traue aber den Updatepaketen von winhelpline.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129