Hi bin neu hier habe ein Problem auf meinen Rechner und ein log mit HIJACK THIS gemacht vieleicht kann den sich mal jemand anschauen und mir einen tip geben
gruß udokawa


Logfile of HijackThis v1.97.7
Scan saved at 10:16:54, on 18.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\epoagent\naimas32.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\NOVELL\ZENRC\wuser32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\System32\WMRUNDLL.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Winnt\system32\wscript.exe
Z:\clntrust.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\dpmw32.exe
C:\WINNT\System32\NWTRAY.EXE
C:\WINNT\System32\NALDESK.EXE
C:\WINNT\System32\wuauclt.exe
C:\Programme\epoagent\naimag32.exe
C:\WINNT\System32\internat.exe
C:\Programme\EASYWARE\bin32\W32MKDE.EXE
O:\Transfer\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu.stadt-duisburg.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intradu.stadt-duisburg.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.stadt-duisburg.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.stadt-duisburg.de;10.*.*.*;<local>
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\adminsva\Anwendungsdaten\sysbv\sysbv.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\A32B100\Anwendungsdaten\winws\mssearch.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\A32B100\Anwendungsdaten\winws\msiesh.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\epoagent\naimag32.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINNT\image.new,Install
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINNT\image.new,Install
O4 - HKCU\..\RunOnce: [Updater] rundll32 C:\WINNT\image.new,UpdateDll
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: Domain = stadt_duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: NameServer = 180.18.6.1

Hallo Udo,

das sieht mir nicht nach einem privaten PC aus.
</font><blockquote>Zitat:</font><hr />
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu.stadt-duisburg.de

u.a.
</font>[/QUOTE]Wenn meine Vermutung richtig ist, dass es sich um einen beruflichen/dienstlichen Rechner handelt, solltest Du bitte mit Deiner IT-Abteilung Kontakt aufnehmen. Adminstratoren sehen es zu Recht nicht gerne, wenn jemand 'Unbefugtes' am Rechner 'rumschraubt'.

In diesem Zusammenhang könntest Du den Admin/die Admins mal fragen, wieso sie dich mit so einem veralteten System beglücken ;) :
</font><blockquote>Zitat:</font><hr /> Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
</font>[/QUOTE]Sollte ich mit meiner Vermutung unrecht haben und es handelt sich doch um einen privaten Rechner, melde Dich bitte noch einmal.

hi

der administrator ist natürlich einverstanden vieleicht könntest du dir die datei mal anschauen und mir sagen was gefixt werden muss

hier die lösung deines probs. genau so machen dann gehts auch ! [img]smile.gif[/img]

Ach, Euer Admin ist so unfähig?
Ist Duisburg so pleite?

Sag deinem Admin er soll erst mal das System auf aktuellen Stand bringen.
Windows SP3 ist nicht mehr aktuell und u.U. eine Sicherheitslücke
IE-5.0 IST eine Sicherheitslücke und nicht mehr zeitgemäß, auch funktionieren viele Seiten damit nicht oder nur fehlerhaft

Nachtrag und kleiner Tip noch:
Global-Netcom ist Bernhard Syndikus' Dialer-Anbieter für u.a. "Erotikseiten"!
Diese Site ist in meinen Augen vieles, aber garantiert nicht vertrauenswürdig.

[ 21. Juni 2004, 15:35: Beitrag editiert von: Shadow ]

Hallo Udo,

ehrlich gesagt, ich tue mich recht schwer, etwas zu raten, wenn ich weiß, dass es sich um einen beruflichen/dienstlichen Rechner handelt. Ich weiß aus eigener Erfahrung wie breit gefächert die Softwarelandschaft in einer Behörde ist. Die 'Novell-Geschichten' und beispielsweise der 'epoagent' von nai sagen mir ja noch was, aber es gibt einige Dateien, bei denen ich von hier aus nicht nach 'gut' und 'böse' unterscheiden möchte.

Definitiv raus können allerdings folgende:
</font><blockquote>Zitat:</font><hr />R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h*tp://install.global-netcom.de/ieloader.cab </font>[/QUOTE]Damit dürfte das Problem aber noch nicht behoben sein.

Zu diesem Eintrag
</font><blockquote>Zitat:</font><hr /> O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll </font>[/QUOTE]schau Dir mal diese Beschreibung an, oder besser zeige sie dem zuständigen Admin. Denn ohne Admin-Rechte wirst Du hier im Zweifel sowieso nicht weiterkommen.

Es werden noch eine Reihe von Dateien angelistet, die ich nicht zuordnen kann. Ich kann dann aber von hieraus nicht beurteilen, ob sie 'gut' oder 'böse' sind, da ich die 'Umgebung' bei Euch nicht kenne.

Du kannst aber noch eScan ausprobieren (s. meinen 2. Link in meiner Signatur). Dieser Scanner sollte dem lokal installierten Virenscanner von NAI nicht in die Quere kommen.

dake für die qualifizierte antwort ist wennigstens nicht so ein hochtrabendes gequatsche wie von diesen shadow