NBRocks

Hallo µrAn, Ja die Datei ist bekannt: Die Datei stammt von http://www.broadgun.de und betrifft das Programm pdfMachine, welches bei uns neben den "normalen" Druckern als Druckertreiber läuft. Gruss Christian

Log-File Fortsetzung: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de'>http://www.ab-plischke.de'>http://www.ab-plischke.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de'>http://www.google.de'>http://www.google.de'>http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = H:\WINNT\SYSTEM32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.ab-plischke.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.89.3:8080 F2 - REG:system.ini: UserInit=H:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - H:\WINNT\system32\nlsman.dll O2 - BHO: bootnidd - {BBCB0CB0-AD74-A698-D632-A8E3D7159169} - H:\WINNT\system32\bootnidd.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly O4 - HKLM\..\Run: [shStatEXE] "H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [QuickTime Task] H:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [bgsmsnd.exe] H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: OUTLOOK.EXE.lnk = Microsoft Office\Office\OUTLOOK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing) O10 - Broken Internet access because of LSP provider 'h:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/ac...upload_1115.cab O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk DWF Viewer Control) - http://www.autodesk.com/global/expr...erSetup_DEU.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plischke.de O17 - HKLM\System\CCS\Services\Tcpip\..\{915D7C18-F01E-4CFC-990A-EB9BBFD4E6C2}: NameServer = 127.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plischke.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plischke.de

Hier weitere Infos: Das LOG-File von HijackThis (Prozess-Log) sieht so aus: Logfile of HijackThis v1.98.2 Scan saved at 11:26:56, on 25.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: H:\Dokumente und Einstellungen\Administrator\WINDOWS\System32\smss. exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\services.exe H:\WINNT\system32\lsass.exe H:\WINNT\System32\termsrv.exe H:\WINNT\system32\svchost.exe H:\WINNT\system32\spoolsv.exe H:\WINNT\System32\msdtc.exe H:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe H:\Programme\ComputerAssociates\ARCserve\casmrtbk. exe H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsserv.e xe H:\WINNT\System32\cdmsvc.exe H:\WINNT\System32\ctxxmlss.exe H:\WINNT\system32\Dfssvc.exe H:\WINNT\System32\encsvc.exe H:\WINNT\System32\svchost.exe H:\WINNT\System32\ibrowser.exe H:\Programme\ICP Tools\Icpsrv.exe H:\WINNT\System32\ismserv.exe H:\WINNT\System32\llssrv.exe H:\WINNT\LogWatNT.exe H:\WINNT\System32\tcpsvcs.exe H:\Programme\Network Associates\NetShield 2000\Mcshield.exe H:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe H:\WINNT\system32\ntfrs.exe H:\WINNT\system32\pnsvc.exe H:\WINNT\system32\regsvc.exe H:\Programme\Dantz\Retrospect\retrorun.exe H:\WINNT\System32\locator.exe H:\WINNT\system32\MSTask.exe H:\WINNT\System32\lserver.exe H:\Programme\uphclean\uphclean.exe H:\WINNT\System32\WBEM\WinMgmt.exe H:\WINNT\System32\wins.exe H:\WINNT\system32\svchost.exe H:\WINNT\System32\dns.exe H:\WINNT\System32\inetsrv\inetinfo.exe H:\Programme\ComputerAssociates\ARCserveITDS\Licch eck.exe H:\WINNT\Explorer.EXE H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE H:\WINNT\System32\qttask.exe H:\WINNT\System32\svchost.exe I:\cad\Allplan\LicServer.2003\nserv.exe H:\Programme\ComputerAssociates\ARCserve\RDS.EXE H:\WINNT\System32\svchost.exe H:\Programme\ComputerAssociates\ARCserve\Asmgr.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\Programme\ComputerAssociates\ARCserve\ASRUNJOB. EXE H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\rdpclip.exe H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE H:\WINNT\System32\qttask.exe H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe H:\Programme\Spybot - Search & Destroy\TeaTimer.exe H:\Programme\MailWasher\MailWasher.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\Programme\Crazy Browser\Crazy Browser.exe H:\WINNT\explorer.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe H:\WINNT\system32\winlogon.exe I:\Daten\Datentransfer\Admin\AntiVirus\HijackThis. exe ich bin mit meinen Ideen am Ende - eine Woche Recherche und keine Änderung in Sicht - HILFE bitte

Hallo, ich bin der "Neue". Ich hoffe hier in diesem Forum endlich eine Lösung für mein W2K-Problem zu finden. Wir haben in unserer Firma eine W2K-Server der seinen Dienst als Terminal-Server tut (aktuelle Updates sind drauf) . Letzte Woche sind wir leider durch "CoolWebSearch" gehijacked worden. U.a. mit "HijackThis" konnte ich diese "feindliche Übernahme" erfolgreich bekämpfen. Leider gibt es aber nach der Säuberung noch 2 (zusammenhängende) Probleme - aber nur in TS-Sitzungen (auch beim Admin-Profil) - lokal am Server läuft alles problemlos! Das lässt mich vermuten das mit den Profilen (bzw. Registry-Einträge) etwas faul ist. Aber aus TS-Sitzungen lässt sich der Explorer nicht mehr starten - konkret: - Nach Doppelklick verschwinden die Desktop Icons & Taskleiste - nach ca. 2 Sekunden ist alles wieder da - nur eben kein Explorer! Also ich habe damit keine Möglichkeit in einer TS-Sitzung auf den Arbeitsplatz oder auf irgendeine andere Ordnerverknüpfung zuzugreifen. Im Ereignisprotokoll wird das Event - ID 1002 aufgezeichnet: Ereignistyp: Informationen Ereignisquelle: Winlogon Ereigniskategorie: Keine Ereigniskennung: 1002 Beschreibung: Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet. Bei Start des IE (aktuellste Version ist installiert) schmiert ebenfalls mit einer Problemmeldung ab. Der IE ist mir egal (Ersatzbrowser ist installiert) - aber ohne Explorer ist schon ziemlich dumm (im Moment läuft auch da eine Art Ersatzexplorer). Weitere Infos folgenden in der nächsten Post .... Gruss Christian