[HaBo]

pyromedia · 27.06.06, 09:31

Habe bereits Spyware drüber laufen lassen...hat einiges gefunden.
Allerdings lässt sich der Internet Explorer immer noch nicht öffnen, wollte nur sicher gehen, das ich alle Schädlinge restlos entfernen konnte, daher anbei der hjack logfile

Logfile of HijackThis v1.99.1
Scan saved at 09:08:07, on 27.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINNT\System32\be51139.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\SpamPal\spampal.exe
C:\WINNT\Mixer.exe
C:\Dokumente und Einstellungen\pc17.PAP\Desktop\hijackthis_199\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHO - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - C:\Programme\BHO Plugin\plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Netzlaufwerke verbinden.lnk = C:\Dokumente und Einstellungen\pc17.PAP\Desktop\netzlaufwerke verbinden.bat
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC15E1A-5E9A-450A-B28D-EF6BF01BF05F}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

Enterhaken · 27.06.06, 10:08

Zitat:

Original von pyromedia
Allerdings lässt sich der Internet Explorer immer noch nicht öffnen, .......

könntest du das mal etwas genauer formulieren?
Bekommst du danach eine FM?
Taucht er denoch im TM auf?

Anzeige

- Anzeige -

pyromedia · 27.06.06, 10:24

ist im taskmanager nicht zu finden, scheint den startbefehl einfach zu ignorieren... fehlermeldung bekomm ich auch keine

**lightsaver** · 27.06.06, 17:08

also, das erste was mir aufgefallen ist, ist die datei be51139.exe

C:\WINNT\System32\be51139.exe

O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe
O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe

mach mal start -> ausführen -> msconfig

da zu den autostarts gehen und die 2 häkchen bei der datei wegmachen. danach neustarten.ich denke mal, das sollte dein problem beheben. falls dem so ist, solltest du die datei auch gleich löschen!

Cage · 27.06.06, 23:26

Hallo

Lade dir die Ewido Security Suite. Update! Noch nicht scannen

Abgsicherter Modus. Fixe mit Hijackthis:

O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe
O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe

Neu starten => abgesicherter Modus
In den Ordneroptionen Haken entfernen bei Geschützte Systemdateien
ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen aktivieren

Lösche, wenn vorhanden:
C:\WINNT\System32\be51139.exe
C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe

Neu starten => abgesicherter Modus
"Full scan" mit Ewido
Alle gefundenen Objekte löschen.

Lösche die Inhalte folgender Ordner:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files
C:\WINDOWS\temp
C:\WINDOWS\Prefetch

Neuen Hijackthis Log posten

Gruß
Cage

pyromedia · 28.06.06, 15:52

so hat etwas gedauert, habe aber alles erledigt, ie funktioniert immer noch nicht, anbei das erneute log file:

Logfile of HijackThis v1.99.1
Scan saved at 15:51:13, on 28.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\SpamPal\spampal.exe
C:\WINNT\Mixer.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\System32\msiexec.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\SoftwareDistribution\Download\Install\Q32 9170_WXP_SP2_de.exe
c:\f4011691043bbf8a1b9b66e279\xpsp1hfm.exe
c:\f4011691043bbf8a1b9b66e279\sp1\update\update.ex e
P:\SYSTEM\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHO - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - C:\Programme\BHO Plugin\plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Netzlaufwerke verbinden.lnk = C:\Dokumente und Einstellungen\pc17.PAP\Desktop\netzlaufwerke verbinden.bat
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC15E1A-5E9A-450A-B28D-EF6BF01BF05F}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

Cage · 28.06.06, 16:12

Fixe (abgesicherter Modus):
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Lösche:
C:\Windows\xpupdate.exe
C:\WINNT\web\related.htm

Kennst du das Programm SpamPal. Wenn nicht, in der Systemsteuerung deinstallieren (wenn vorhanden) und diesen Eintrag fixen:
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe

Gruß
Cage

pyromedia · 28.06.06, 16:43

auch das wär erledigt, gleiches ergebnis....spampal ist ein programm das mir die eingehenden mails ins outlook anhand von black and whitelisten in spam und nicht spam ordnet ... hab ich schon lange an dem liegts daher sicher nicht

Cage · 28.06.06, 16:48

Mmh... installiere Service Pack 2 (!) und poste noch mal einen aktuellen HijackThis-Log...

Gruß
Cage

**lightsaver** · 28.06.06, 17:11

ich hab noch was gefunden!

O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe

lese dazu einfach mal http://www.file.net/prozess/pmxinit.exe.html

laut dieser info scheint es sich hier um einen trojaner zu handeln. was du da machen sollst wurde ja schon oft genug beschrieben jetzt ;-)

Cage · 29.06.06, 16:31

Zitat:

Restores user display preferences Kyro2 based graphics cards. Not required unless you change the default settings - such as gamma

Quelle: http://www.sysinfo.org/startuplist.php?filter=pmxinit

Wo steht denn da, das wär ein Trojaner?

pyromedia · 29.06.06, 16:48

Hab jetzt SP2 installiert, hat nichts gebracht... der eine Eintrag müsste wohl passen! Ist von der Grafikkarte ! steig inzwischen mal auf firefox um... so wie auf den anderen pc`s auch...eine lösung wär aber dennoch nicht schlecht, weil ansonsten das buchhaltungsprogramm nicht mehr mit dem finanzamt kann!

**lightsaver** · 29.06.06, 21:56

Zitat:

Original von Cage

Zitat:

Restores user display preferences Kyro2 based graphics cards. Not required unless you change the default settings - such as gamma

Quelle: http://www.sysinfo.org/startuplist.php?filter=pmxinit

Wo steht denn da, das wär ein Trojaner?

die absätze:

Zitat:

Hinweis: Viren und andere schädliche Dateien können sich als pmxinit.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess pmxinit.exe auf Ihrem PC um einen Schädling handelt.

und

Zitat:

Charakteristik: pmxinit.exe befindet sich im Ordner C:\Windows\System32. Die Dateigröße unter Windows XP ist 745543 bytes.

sind hier die interessanten. dies zu überprüfen wäre also nen versuch wert, daher habe ich den kompletten link ja mal mitgepostet ;-)

Cage · 29.06.06, 22:01

Zitat:

Hinweis: Viren und andere schädliche Dateien können sich als pmxinit.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess pmxinit.exe auf Ihrem PC um einen Schädling handelt.

Ist ein Standartsatz von sysinfo. Steht bei sehr vielen Dateien dabei. Wie gesagt, gehört zu Grafikkarte.

Gruß
Cage

Anzeige

- Anzeige -

27.06.06, 09:31	#1 (permalink)
pyromedia Registriert seit: 23.09.03 Likes: 0	internet explorer funktioniert nicht Anzeige Habe bereits Spyware drüber laufen lassen...hat einiges gefunden. Allerdings lässt sich der Internet Explorer immer noch nicht öffnen, wollte nur sicher gehen, das ich alle Schädlinge restlos entfernen konnte, daher anbei der hjack logfile Logfile of HijackThis v1.99.1 Scan saved at 09:08:07, on 27.06.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\WINNT\System32\be51139.exe C:\WINNT\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\SpamPal\spampal.exe C:\WINNT\Mixer.exe C:\Dokumente und Einstellungen\pc17.PAP\Desktop\hijackthis_199\Hija ckThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: BHO - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - C:\Programme\BHO Plugin\plugin.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Netzlaufwerke verbinden.lnk = C:\Dokumente und Einstellungen\pc17.PAP\Desktop\netzlaufwerke verbinden.bat O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC15E1A-5E9A-450A-B28D-EF6BF01BF05F}: NameServer = 195.3.96.67,195.3.96.68 O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Internet funktioniert aber LAN nicht	Executor	Network · LAN, WAN, Firewalls	2	23.10.08 20:03
Internet funktioniert nicht mehr	ScRiPt3r	Internet Allgemein	2	13.06.07 22:40
Internet funktioniert nicht	Protube	Linux/UNIX	7	21.01.07 21:28
Internet surfen funktioniert nicht	Duker	Network · LAN, WAN, Firewalls	2	03.02.06 15:53
Net send funktioniert nicht übers internet	Warrior11	Internet Allgemein	4	12.05.04 18:34

27.06.06, 10:24	#3 (permalink)
pyromedia Themenstarter Registriert seit: 23.09.03 Likes: 0	ist im taskmanager nicht zu finden, scheint den startbefehl einfach zu ignorieren... fehlermeldung bekomm ich auch keine

27.06.06, 17:08	#4 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	also, das erste was mir aufgefallen ist, ist die datei be51139.exe C:\WINNT\System32\be51139.exe O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe mach mal start -> ausführen -> msconfig da zu den autostarts gehen und die 2 häkchen bei der datei wegmachen. danach neustarten.ich denke mal, das sollte dein problem beheben. falls dem so ist, solltest du die datei auch gleich löschen!

27.06.06, 23:26	#5 (permalink)
Cage Registriert seit: 01.05.06 Likes: 0	Hallo Lade dir die Ewido Security Suite. Update! Noch nicht scannen Abgsicherter Modus. Fixe mit Hijackthis: O4 - HKLM\..\Run: [be51139.exe] C:\WINNT\System32\be51139.exe O4 - HKCU\..\Run: [be51139.exe] C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe Neu starten => abgesicherter Modus In den Ordneroptionen Haken entfernen bei Geschützte Systemdateien ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen aktivieren Lösche, wenn vorhanden: C:\WINNT\System32\be51139.exe C:\Dokumente und Einstellungen\pc17.PAP\Lokale Einstellungen\Anwendungsdaten\be51139.exe Neu starten => abgesicherter Modus "Full scan" mit Ewido Alle gefundenen Objekte löschen. Lösche die Inhalte folgender Ordner: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files C:\WINDOWS\temp C:\WINDOWS\Prefetch Neuen Hijackthis Log posten Gruß Cage

28.06.06, 15:52	#6 (permalink)
pyromedia Themenstarter Registriert seit: 23.09.03 Likes: 0	so hat etwas gedauert, habe aber alles erledigt, ie funktioniert immer noch nicht, anbei das erneute log file: Logfile of HijackThis v1.99.1 Scan saved at 15:51:13, on 28.06.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINNT\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\SpamPal\spampal.exe C:\WINNT\Mixer.exe C:\WINNT\System32\wuauclt.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINNT\System32\wuauclt.exe C:\WINNT\System32\msiexec.exe C:\WINNT\System32\wuauclt.exe C:\WINNT\SoftwareDistribution\Download\Install\Q32 9170_WXP_SP2_de.exe c:\f4011691043bbf8a1b9b66e279\xpsp1hfm.exe c:\f4011691043bbf8a1b9b66e279\sp1\update\update.ex e P:\SYSTEM\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: BHO - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - C:\Programme\BHO Plugin\plugin.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Netzlaufwerke verbinden.lnk = C:\Dokumente und Einstellungen\pc17.PAP\Desktop\netzlaufwerke verbinden.bat O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) - O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC15E1A-5E9A-450A-B28D-EF6BF01BF05F}: NameServer = 195.3.96.67,195.3.96.68 O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

28.06.06, 16:12	#7 (permalink)
Cage Registriert seit: 01.05.06 Likes: 0	Fixe (abgesicherter Modus): O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Lösche: C:\Windows\xpupdate.exe C:\WINNT\web\related.htm Kennst du das Programm SpamPal. Wenn nicht, in der Systemsteuerung deinstallieren (wenn vorhanden) und diesen Eintrag fixen: O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe Gruß Cage

28.06.06, 16:43	#8 (permalink)
pyromedia Themenstarter Registriert seit: 23.09.03 Likes: 0	auch das wär erledigt, gleiches ergebnis....spampal ist ein programm das mir die eingehenden mails ins outlook anhand von black and whitelisten in spam und nicht spam ordnet ... hab ich schon lange an dem liegts daher sicher nicht

28.06.06, 16:48	#9 (permalink)
Cage Registriert seit: 01.05.06 Likes: 0	Mmh... installiere Service Pack 2 (!) und poste noch mal einen aktuellen HijackThis-Log... Gruß Cage

28.06.06, 17:11	#10 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	ich hab noch was gefunden! O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe lese dazu einfach mal http://www.file.net/prozess/pmxinit.exe.html laut dieser info scheint es sich hier um einen trojaner zu handeln. was du da machen sollst wurde ja schon oft genug beschrieben jetzt ;-)

29.06.06, 16:48	#12 (permalink)
pyromedia Themenstarter Registriert seit: 23.09.03 Likes: 0	Hab jetzt SP2 installiert, hat nichts gebracht... der eine Eintrag müsste wohl passen! Ist von der Grafikkarte ! steig inzwischen mal auf firefox um... so wie auf den anderen pc`s auch...eine lösung wär aber dennoch nicht schlecht, weil ansonsten das buchhaltungsprogramm nicht mehr mit dem finanzamt kann!

[HaBo]

internet explorer funktioniert nicht