NBRocks
-
Gesamte Inhalte
4 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NBRocks
-
-
Log-File Fortsetzung:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de'>http://www.ab-plischke.de'>http://www.ab-plischke.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de'>http://www.google.de'>http://www.google.de'>http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = H:\WINNT\SYSTEM32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.ab-plischke.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.89.3:8080
F2 - REG:system.ini: UserInit=H:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - H:\WINNT\system32\nlsman.dll
O2 - BHO: bootnidd - {BBCB0CB0-AD74-A698-D632-A8E3D7159169} - H:\WINNT\system32\bootnidd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly
O4 - HKLM\..\Run: [shStatEXE] "H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] H:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [bgsmsnd.exe] H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe
O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: OUTLOOK.EXE.lnk = Microsoft Office\Office\OUTLOOK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)
O10 - Broken Internet access because of LSP provider 'h:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/ac...upload_1115.cab
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk DWF Viewer Control) - http://www.autodesk.com/global/expr...erSetup_DEU.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plischke.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{915D7C18-F01E-4CFC-990A-EB9BBFD4E6C2}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plischke.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plischke.de
-
Hier weitere Infos:
Das LOG-File von HijackThis (Prozess-Log) sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 11:26:56, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
H:\Dokumente und Einstellungen\Administrator\WINDOWS\System32\smss. exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\services.exe
H:\WINNT\system32\lsass.exe
H:\WINNT\System32\termsrv.exe
H:\WINNT\system32\svchost.exe
H:\WINNT\system32\spoolsv.exe
H:\WINNT\System32\msdtc.exe
H:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe
H:\Programme\ComputerAssociates\ARCserve\casmrtbk. exe
H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsserv.e xe
H:\WINNT\System32\cdmsvc.exe
H:\WINNT\System32\ctxxmlss.exe
H:\WINNT\system32\Dfssvc.exe
H:\WINNT\System32\encsvc.exe
H:\WINNT\System32\svchost.exe
H:\WINNT\System32\ibrowser.exe
H:\Programme\ICP Tools\Icpsrv.exe
H:\WINNT\System32\ismserv.exe
H:\WINNT\System32\llssrv.exe
H:\WINNT\LogWatNT.exe
H:\WINNT\System32\tcpsvcs.exe
H:\Programme\Network Associates\NetShield 2000\Mcshield.exe
H:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe
H:\WINNT\system32\ntfrs.exe
H:\WINNT\system32\pnsvc.exe
H:\WINNT\system32\regsvc.exe
H:\Programme\Dantz\Retrospect\retrorun.exe
H:\WINNT\System32\locator.exe
H:\WINNT\system32\MSTask.exe
H:\WINNT\System32\lserver.exe
H:\Programme\uphclean\uphclean.exe
H:\WINNT\System32\WBEM\WinMgmt.exe
H:\WINNT\System32\wins.exe
H:\WINNT\system32\svchost.exe
H:\WINNT\System32\dns.exe
H:\WINNT\System32\inetsrv\inetinfo.exe
H:\Programme\ComputerAssociates\ARCserveITDS\Licch eck.exe
H:\WINNT\Explorer.EXE
H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE
H:\WINNT\System32\qttask.exe
H:\WINNT\System32\svchost.exe
I:\cad\Allplan\LicServer.2003\nserv.exe
H:\Programme\ComputerAssociates\ARCserve\RDS.EXE
H:\WINNT\System32\svchost.exe
H:\Programme\ComputerAssociates\ARCserve\Asmgr.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\Programme\ComputerAssociates\ARCserve\ASRUNJOB. EXE
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\rdpclip.exe
H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE
H:\WINNT\System32\qttask.exe
H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\MailWasher\MailWasher.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\Programme\Crazy Browser\Crazy Browser.exe
H:\WINNT\explorer.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
H:\WINNT\system32\winlogon.exe
I:\Daten\Datentransfer\Admin\AntiVirus\HijackThis. exe
ich bin mit meinen Ideen am Ende - eine Woche Recherche und keine Änderung in Sicht - HILFE bitte
-
Hallo,
ich bin der "Neue". Ich hoffe hier in diesem Forum endlich eine Lösung für mein W2K-Problem zu finden.
Wir haben in unserer Firma eine W2K-Server der seinen Dienst als Terminal-Server tut (aktuelle Updates sind drauf) . Letzte Woche sind wir leider durch "CoolWebSearch" gehijacked worden. U.a. mit "HijackThis" konnte ich diese "feindliche Übernahme" erfolgreich bekämpfen.
Leider gibt es aber nach der Säuberung noch 2 (zusammenhängende) Probleme - aber nur in TS-Sitzungen (auch beim Admin-Profil) - lokal am Server läuft alles problemlos! Das lässt mich vermuten das mit den Profilen (bzw. Registry-Einträge) etwas faul ist.
Aber aus TS-Sitzungen lässt sich der Explorer nicht mehr starten - konkret:
- Nach Doppelklick verschwinden die Desktop Icons & Taskleiste
- nach ca. 2 Sekunden ist alles wieder da - nur eben kein Explorer!
Also ich habe damit keine Möglichkeit in einer TS-Sitzung auf den Arbeitsplatz oder auf irgendeine andere Ordnerverknüpfung zuzugreifen.
Im Ereignisprotokoll wird das Event - ID 1002 aufgezeichnet:
Ereignistyp: Informationen
Ereignisquelle: Winlogon
Ereigniskategorie: Keine
Ereigniskennung: 1002
Beschreibung:
Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet.
Bei Start des IE (aktuellste Version ist installiert) schmiert ebenfalls mit einer Problemmeldung ab. Der IE ist mir egal (Ersatzbrowser ist installiert) - aber ohne Explorer ist schon ziemlich dumm (im Moment läuft auch da eine Art Ersatzexplorer).
Weitere Infos folgenden in der nächsten Post ....
Gruss
Christian
Probleme mit Explorer & IE
in Windows Forum — Allgemein
Geschrieben
Hallo µrAn,
Ja die Datei ist bekannt:
Die Datei stammt von http://www.broadgun.de und betrifft das Programm pdfMachine, welches bei uns neben den "normalen" Druckern als Druckertreiber läuft.
Gruss
Christian