[Linguist]

Ich bin's nochmal. Update: Ich hatte die Fehlermeldung "win86.exe hat ein Problem festgestellt und muss beendet werden". Auf Anraten von einigen Usern habe ich hijack durchlaufen lassen und poste hier die log. Kann mir damit nun jemand weiterhelfen? Vielen Dank allen im Voraus.

Logfile of HijackThis v1.98.2
Scan saved at 18:56:19, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\msupdate.exe
C:\WINDOWS\trun.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\rud. blauenstein jun\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://magicsearch.us/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://magicsearch.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magicsearch.us/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://magicsearch.us/browser/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [MSConfig Manager] C:\WINDOWS\msupdate.exe
O4 - HKLM\..\Run: [TimeService] C:\WINDOWS\trun.exe
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [WinLogin] win32x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSConfig Manager] C:\WINDOWS\msupdate.exe
O4 - HKCU\..\Run: [TimeService] C:\WINDOWS\trun.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.xxxxxxx.xx
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//deathly/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

[hans_maulwurf]

Sieht sehr böse aus ich würd an deiner Stelle mal formatieren...

[DiNozzo]

Zitat (hans_maulwurf: 31.10.2004, 19:05)

Sieht sehr böse aus ich würd an deiner Stelle mal formatieren...
<{POST_SNAPBACK}>

Da kann man dem Maulwurf nur zustimmen
Aber schau es dir am besten selbst an:
http://www.hijackthis.de/logfiles/7fb30065...6fc166270b.html

[klaus1012]

Als ich auf die oben genannte Adresse geklickt habe, die zu der Logfile führte, erhielt ich folgende Meldung: Siehe Bild.

Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005!

*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von klaus1012 bearbeitet: 31. Oktober 2004 - 19:33

[Rika]

@klaus1012:

Und wie wäre es mal, wenn du eine verständliche Meldung ausgibst? Z.B. mal den genauen Wortlort, einen Mitschnitt vom Logfile, ob es sich überhaupt und eine Datei im Browser-Cache handelt, welcher Teil der Webseite es genau sein soll... ach ja: Bloodhound = Heuristik = nichtdeterministisch, Fehlalarme. Das spricht stark gegen NAV 0.2005.

[Philipp]

Zitat (klaus1012: 31.10.2004, 19:17)

Als ich auf die oben genannte Adresse geklickt habe, die zu der Logfile führte, erhielt ich folgende Meldung: Siehe Bild.

Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005! 

*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.
<{POST_SNAPBACK}>

hab das auch bekommen aber hier mal das log:

Zitat

Scan type:  Auto-Protect Scan
Event:  Threat Found!
Threat: Bloodhound.Exploit.6
File:  C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\4i62qndu.default\Cache\1E32034Ad01
Location:  Quarantine
Computer:  DEEPBLUE
User:  ******
Action taken:  Quarantine succeeded : Access denied
Date found: Sonntag, 31. Oktober 2004  20:05:50

[DiNozzo]

Also ich hab keine Probleme mit der Seite (McAfee Antivirenschutz!)

Dieser Beitrag wurde von Stefan bearbeitet: 31. Oktober 2004 - 20:08

[Rika]

Woher wußte ich das nur daß NAV keine brauchbaren Logfiles schreibt... tu mir doch mal einen Gefallen: Schau dir den Quellcode der Webseite an. Da ist nix, aber absolut gar nicht gefährliches und auch nicht mal irgendetwas wo man erwarten könnte daß eine Heuristik anspringt. Naja, NAV bildet sich ja sogar die gleichen Mail-Anhänge wie OE ein...