Jump to content

Probleme mit Explorer & IE


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin der "Neue". Ich hoffe hier in diesem Forum endlich eine Lösung für mein W2K-Problem zu finden.

 

Wir haben in unserer Firma eine W2K-Server der seinen Dienst als Terminal-Server tut (aktuelle Updates sind drauf) . Letzte Woche sind wir leider durch "CoolWebSearch" gehijacked worden. U.a. mit "HijackThis" konnte ich diese "feindliche Übernahme" erfolgreich bekämpfen.

 

Leider gibt es aber nach der Säuberung noch 2 (zusammenhängende) Probleme - aber nur in TS-Sitzungen (auch beim Admin-Profil) - lokal am Server läuft alles problemlos! Das lässt mich vermuten das mit den Profilen (bzw. Registry-Einträge) etwas faul ist.

 

Aber aus TS-Sitzungen lässt sich der Explorer nicht mehr starten - konkret:

 

- Nach Doppelklick verschwinden die Desktop Icons & Taskleiste

- nach ca. 2 Sekunden ist alles wieder da - nur eben kein Explorer!

 

Also ich habe damit keine Möglichkeit in einer TS-Sitzung auf den Arbeitsplatz oder auf irgendeine andere Ordnerverknüpfung zuzugreifen.

 

Im Ereignisprotokoll wird das Event - ID 1002 aufgezeichnet:

 

Ereignistyp: Informationen

Ereignisquelle: Winlogon

Ereigniskategorie: Keine

Ereigniskennung: 1002

Beschreibung:

Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet.

 

Bei Start des IE (aktuellste Version ist installiert) schmiert ebenfalls mit einer Problemmeldung ab. Der IE ist mir egal (Ersatzbrowser ist installiert) - aber ohne Explorer ist schon ziemlich dumm (im Moment läuft auch da eine Art Ersatzexplorer).

 

Weitere Infos folgenden in der nächsten Post ....

 

Gruss

Christian

Link zu diesem Kommentar

Hier weitere Infos:

 

Das LOG-File von HijackThis (Prozess-Log) sieht so aus:

 

Logfile of HijackThis v1.98.2

Scan saved at 11:26:56, on 25.10.2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\Dokumente und Einstellungen\Administrator\WINDOWS\System32\smss. exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\System32\termsrv.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\spoolsv.exe

H:\WINNT\System32\msdtc.exe

H:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe

H:\Programme\ComputerAssociates\ARCserve\casmrtbk. exe

H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsserv.e xe

H:\WINNT\System32\cdmsvc.exe

H:\WINNT\System32\ctxxmlss.exe

H:\WINNT\system32\Dfssvc.exe

H:\WINNT\System32\encsvc.exe

H:\WINNT\System32\svchost.exe

H:\WINNT\System32\ibrowser.exe

H:\Programme\ICP Tools\Icpsrv.exe

H:\WINNT\System32\ismserv.exe

H:\WINNT\System32\llssrv.exe

H:\WINNT\LogWatNT.exe

H:\WINNT\System32\tcpsvcs.exe

H:\Programme\Network Associates\NetShield 2000\Mcshield.exe

H:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe

H:\WINNT\system32\ntfrs.exe

H:\WINNT\system32\pnsvc.exe

H:\WINNT\system32\regsvc.exe

H:\Programme\Dantz\Retrospect\retrorun.exe

H:\WINNT\System32\locator.exe

H:\WINNT\system32\MSTask.exe

H:\WINNT\System32\lserver.exe

H:\Programme\uphclean\uphclean.exe

H:\WINNT\System32\WBEM\WinMgmt.exe

H:\WINNT\System32\wins.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\System32\dns.exe

H:\WINNT\System32\inetsrv\inetinfo.exe

H:\Programme\ComputerAssociates\ARCserveITDS\Licch eck.exe

H:\WINNT\Explorer.EXE

H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE

H:\WINNT\System32\qttask.exe

H:\WINNT\System32\svchost.exe

I:\cad\Allplan\LicServer.2003\nserv.exe

H:\Programme\ComputerAssociates\ARCserve\RDS.EXE

H:\WINNT\System32\svchost.exe

H:\Programme\ComputerAssociates\ARCserve\Asmgr.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\Programme\ComputerAssociates\ARCserve\ASRUNJOB. EXE

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\rdpclip.exe

H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE

H:\WINNT\System32\qttask.exe

H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe

H:\Programme\Spybot - Search & Destroy\TeaTimer.exe

H:\Programme\MailWasher\MailWasher.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\Programme\Crazy Browser\Crazy Browser.exe

H:\WINNT\explorer.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\winlogon.exe

I:\Daten\Datentransfer\Admin\AntiVirus\HijackThis. exe

 

 

ich bin mit meinen Ideen am Ende - eine Woche Recherche und keine Änderung in Sicht - HILFE bitte

Link zu diesem Kommentar

Log-File Fortsetzung:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de'>http://www.ab-plischke.de'>http://www.ab-plischke.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de'>http://www.google.de'>http://www.google.de'>http://www.google.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ab-plischke.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = H:\WINNT\SYSTEM32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.ab-plischke.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.89.3:8080

F2 - REG:system.ini: UserInit=H:\WINNT\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - H:\WINNT\system32\nlsman.dll

O2 - BHO: bootnidd - {BBCB0CB0-AD74-A698-D632-A8E3D7159169} - H:\WINNT\system32\bootnidd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly

O4 - HKLM\..\Run: [shStatEXE] "H:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [QuickTime Task] H:\WINNT\System32\qttask.exe

O4 - HKLM\..\Run: [bgsmsnd.exe] H:\WINNT\System32\spool\DRIVERS\W32X86\2\bgsmsnd.e xe

O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: OUTLOOK.EXE.lnk = Microsoft Office\Office\OUTLOOK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\Dokumente und Einstellungen\Administrator\WINDOWS\web\related.ht m (file missing)

O10 - Broken Internet access because of LSP provider 'h:\dokumente und einstellungen\administrator\windows\system32\rnr20 .dll' missing

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/ac...upload_1115.cab

O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk DWF Viewer Control) - http://www.autodesk.com/global/expr...erSetup_DEU.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plischke.de

O17 - HKLM\System\CCS\Services\Tcpip\..\{915D7C18-F01E-4CFC-990A-EB9BBFD4E6C2}: NameServer = 127.0.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plischke.de

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plischke.de

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...