Jump to content

Probleme mit Explorer & IE


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich bin der "Neue". Ich hoffe hier in diesem Forum endlich eine Lösung für mein W2K-Problem zu finden.

 

Wir haben in unserer Firma eine W2K-Server der seinen Dienst als Terminal-Server tut (aktuelle Updates sind drauf) . Letzte Woche sind wir leider durch "CoolWebSearch" gehijacked worden. U.a. mit "HijackThis" konnte ich diese "feindliche Übernahme" erfolgreich bekämpfen.

 

Leider gibt es aber nach der Säuberung noch 2 (zusammenhängende) Probleme - aber nur in TS-Sitzungen (auch beim Admin-Profil) - lokal am Server läuft alles problemlos! Das lässt mich vermuten das mit den Profilen (bzw. Registry-Einträge) etwas faul ist.

 

Aber aus TS-Sitzungen lässt sich der Explorer nicht mehr starten - konkret:

 

- Nach Doppelklick verschwinden die Desktop Icons & Taskleiste

- nach ca. 2 Sekunden ist alles wieder da - nur eben kein Explorer!

 

Also ich habe damit keine Möglichkeit in einer TS-Sitzung auf den Arbeitsplatz oder auf irgendeine andere Ordnerverknüpfung zuzugreifen.

 

Im Ereignisprotokoll wird das Event - ID 1002 aufgezeichnet:

 

Ereignistyp: Informationen

Ereignisquelle: Winlogon

Ereigniskategorie: Keine

Ereigniskennung: 1002

Beschreibung:

Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet.

 

Bei Start des IE (aktuellste Version ist installiert) schmiert ebenfalls mit einer Problemmeldung ab. Der IE ist mir egal (Ersatzbrowser ist installiert) - aber ohne Explorer ist schon ziemlich dumm (im Moment läuft auch da eine Art Ersatzexplorer).

 

Weitere Infos folgenden in der nächsten Post ....

 

Gruss

Christian

Link to comment

Hier weitere Infos:

 

Das LOG-File von HijackThis (Prozess-Log) sieht so aus:

 

Logfile of HijackThis v1.98.2

Scan saved at 11:26:56, on 25.10.2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\Dokumente und Einstellungen\Administrator\WINDOWS\System32\smss. exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\System32\termsrv.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\spoolsv.exe

H:\WINNT\System32\msdtc.exe

H:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe

H:\Programme\ComputerAssociates\ARCserve\casmrtbk. exe

H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsserv.e xe

H:\WINNT\System32\cdmsvc.exe

H:\WINNT\System32\ctxxmlss.exe

H:\WINNT\system32\Dfssvc.exe

H:\WINNT\System32\encsvc.exe

H:\WINNT\System32\svchost.exe

H:\WINNT\System32\ibrowser.exe

H:\Programme\ICP Tools\Icpsrv.exe

H:\WINNT\System32\ismserv.exe

H:\WINNT\System32\llssrv.exe

H:\WINNT\LogWatNT.exe

H:\WINNT\System32\tcpsvcs.exe

H:\Programme\Network Associates\NetShield 2000\Mcshield.exe

H:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe

H:\WINNT\system32\ntfrs.exe

H:\WINNT\system32\pnsvc.exe

H:\WINNT\system32\regsvc.exe

H:\Programme\Dantz\Retrospect\retrorun.exe

H:\WINNT\System32\locator.exe

H:\WINNT\system32\MSTask.exe

H:\WINNT\System32\lserver.exe

H:\Programme\uphclean\uphclean.exe

H:\WINNT\System32\WBEM\WinMgmt.exe

H:\WINNT\System32\wins.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\System32\dns.exe

H:\WINNT\System32\inetsrv\inetinfo.exe

H:\Programme\ComputerAssociates\ARCserveITDS\Licch eck.exe

H:\WINNT\Explorer.EXE

H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE

H:\WINNT\System32\qttask.exe

H:\WINNT\System32\svchost.exe

I:\cad\Allplan\LicServer.2003\nserv.exe

H:\Programme\ComputerAssociates\ARCserve\RDS.EXE

H:\WINNT\System32\svchost.exe

H:\Programme\ComputerAssociates\ARCserve\Asmgr.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\Programme\ComputerAssociates\ARCserve\ASRUNJOB. EXE

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\rdpclip.exe

H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE

H:\WINNT\System32\qttask.exe

H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe

H:\Programme\Spybot - Search & Destroy\TeaTimer.exe

H:\Programme\MailWasher\MailWasher.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\Programme\Crazy Browser\Crazy Browser.exe

H:\WINNT\explorer.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

I:\Daten\Datentransfer\Admin\AntiVirus\HijackThis. exe

 

 

ich bin mit meinen Ideen am Ende - eine Woche Recherche und keine Änderung in Sicht - HILFE bitte

Link to comment

Log-File Fortsetzung:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de'>http://www.ab-plischke.de'>http://www.ab-plischke.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de'>http://www.google.de'>http://www.google.de'>http://www.google.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = H:\WINNT\SYSTEM32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.ab-plischke.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.89.3:8080

F2 - REG:system.ini: UserInit=H:\WINNT\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - H:\WINNT\system32\nlsman.dll

O2 - BHO: bootnidd - {BBCB0CB0-AD74-A698-D632-A8E3D7159169} - H:\WINNT\system32\bootnidd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly

O4 - HKLM\..\Run: [shStatEXE] "H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] H:\WINNT\System32\qttask.exe

O4 - HKLM\..\Run: [bgsmsnd.exe] H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe

O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: OUTLOOK.EXE.lnk = Microsoft Office\Office\OUTLOOK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)

O10 - Broken Internet access because of LSP provider 'h:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/ac...upload_1115.cab

O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk DWF Viewer Control) - http://www.autodesk.com/global/expr...erSetup_DEU.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plischke.de

O17 - HKLM\System\CCS\Services\Tcpip\..\{915D7C18-F01E-4CFC-990A-EB9BBFD4E6C2}: NameServer = 127.0.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plischke.de

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plischke.de

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...