Sprachscript stellt sich im System immer automatisch um seit Wurm

Dieses Thema im Forum "Sicherheit" wurde erstellt von KlausM., 12. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. KlausM.

    KlausM. Byte

    Registriert seit:
    4. Februar 2002
    Beiträge:
    10
    Wer kann mir bitte helfen bei folgendem Prob?
    sooft ich auch das Sprachscript im Explorer auf auf das übliche "Mitteleuropäisch iso" einstelle, spring der wieder überwiegend auf "kyrillisch" zurück, manchmal auch auf "Westeuropäisch", ergo ich seh keine Umlaute mehr egal bei welchen Anwendungen, Texten oder Internetexplorer.
    Ist da nicht ne Möglichkeit das in der Registry dauerhaft einzustellen?
    Habe WinXP und seitdem ich 2 Trojaner und nen Wurm vom Rechner entfernt hatte bleibt dieses Problem bestehen.
    Ich poste nachfolgend mal mein hijackthis.log:
    Logfile of HijackThis v1.97.7
    Scan saved at 11:29:43, on 12.04.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
    F:\PROGRA~1\NORTON~1\navapw32.exe
    F:\Programme\dyndns\ip@ctive Win32 Client\ip@ctive Client.exe
    C:\WINDOWS\Mixer.exe
    F:\Programme\Steganos Online Shield\sos.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\WINDOWS\System32\GEARSec.exe
    F:\Programme\Norton AntiVirus\navapsvc.exe
    c:\apache\APACHE.EXE
    C:\WINDOWS\System32\SOSsrv.exe
    C:\WINDOWS\System32\svchost.exe
    c:\apache\APACHE.EXE
    F:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    D:\Programs\nu2menu\nu2menu.exe
    F:\Programme\PFTPPRO\PFTPPRO.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    F:\Programme\PwVerwaltung\AmP.exe
    F:\Programme\emule\emule.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1977\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = search.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
    O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe
    O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ip@ctive] F:\Programme\dyndns\ip@ctive Win32 Client\ip@ctive Client.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [TrojanScanner] f:\Programme\Trojan Remover\Trjscan.exe
    O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s
    O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
    O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw - res://F:\PROGRA~1\MSPHOT~1\Office\1033\phdintl.dll/phdContext.htm
    O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - activex.microsoft.com/activex/controls/macromedia/Swdir.cab
    O16 - DPF: {1707E659-9691-43AA-B841-2FE5097B9E0F} (Downloader Class) - www.je*ztf*cken.*/activex/downlib1.cab
    O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - 217.17.197.101/scripts/iedropupload.cab
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - a1540.g.akamai.net/7/1540/52/20020909/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - software-dl.real.com/1254e8fc6134b2c86e20/netzip/RdxIE601_de.cab
    O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - ftp.hp.com/pub/automatic/player/isetupML.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37473.2260648148
    O16 - DPF: {C79CC6E2-A3CB-4500-85FB-650B5DBD14F4} (bilderservice.de Standard-Upload) - 217.17.197.101/scripts/ieupload.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E17E606A-9836-4619-A249-F40D5D2E812A} - member.eops.de/CuConnectorSendServlet/cu610982979.exe
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1071F102-F479-40D1-A102-A787CB4711FE}: NameServer = 194.97.173.125 194.97.3.83
     
  2. Gast

    Gast Guest

    Das war keine grammatische, sondern eine semantische Richtigstellung.
     
  3. Gast

    Gast Guest

    Danke für die grammatische Richtigstellung :aua:
     
  4. Gast

    Gast Guest

    Wann ist vorher gewesen?

    Ich glaube nicht, dass dir hier jemand ernsthaft raten wird, an deinem System ohne Formatierung rumzubasteln.

    Und für die Zukunft: Denke mal darüber nach, einen weiteren Benutzer mit eingeschränkten Rechten anzulegen und von dort aus mit Mozilla oder Opera zu surfen.
     
  5. Gast

    Gast Guest

    Nein. Nicht, wenn ER sich sicher ist, sondern wenn das Image tatsächlich sauber ist.
     
  6. Gast

    Gast Guest

    Wenn du dir sicher bist das das Image 100% sauber ist JA.

    mfg.dedie:D
     
  7. KlausM.

    KlausM. Byte

    Registriert seit:
    4. Februar 2002
    Beiträge:
    10
    Und wenn ich mir ein vorher angelegtes Sicherheits-Image wieder zurückspiele würde das ausreichen?
     
  8. Gast

    Gast Guest

    Nein. Du suchst nach einer Lösung. Zeitersparnis hat mit Sicherheit genau NICHTS zu tun.
    Selbst wenn du keinen Web- und/oder FTP-Server betreiben würdest, wäre das der einzige vernünftige Rat. Aber da du dann auch noch ein AKTIVER Multiplikator deiner Sicherheitsprobleme bist, bleibt dir nichts anderes übrig.
    Übrigens ist das kein Sprachskript sondern schlicht und ergreifend die Option deines Browsers, die ihm mitteilt, welches dein bevorzugter Zeichensatz ist. Wenn eine Webseite einen anderen braucht oder der Webserver einen anderen ankündigt, dann ist es eh besser, dies zu akzeptieren.
    Dass der IE plötzlich unerwartet reagiert, kann an vielem liegen. Allerdings ist das ziemlich zweitrangig.
    Deine Kiste ist im Moment eine Gefahr für die Umwelt.
     
  9. KlausM.

    KlausM. Byte

    Registriert seit:
    4. Februar 2002
    Beiträge:
    10
    Format C wollte ich eben vermeiden.
    Suche nach ner zeitsparenden Lösung!
    Wie gesagt das Sprachscript wollte ich dauerhaft auf mitteleuropäischen Standart umstelllen und nicht jedesmal manuell.
     
  10. fdisk205

    fdisk205 Byte

    Registriert seit:
    9. April 2004
    Beiträge:
    25
  11. KlausM.

    KlausM. Byte

    Registriert seit:
    4. Februar 2002
    Beiträge:
    10
    Vielen Dank für die schnelle Aw.
    Also ich betreibe ja nen FTP-Server für legale downloads!

    Weiss jemand wie man das Sprachscript dauerhaft auf Mitteleuropäischen Standart umstellen kann?
     
  12. Gast

    Gast Guest

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Ein ungepatchter, jungfräulicher IE. Wie schön.

    c:\apache\APACHE.EXE

    Und dann ein Webserver. Wird ja immer besser...

    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

    Weg.

    O16 - DPF: {1707E659-9691-43AA-B841-2FE5097B9E0F} (Downloader Class) - w*w.jetzt******.de/activex/downlib1.cab
    O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - 217.17.197.101/scripts/iedropupload.cab

    Nett. Weg.

    O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - ftp.hp.com/pub/automatic/player/isetupML.cab

    Fragwürdig.

    O16 - DPF: {C79CC6E2-A3CB-4500-85FB-650B5DBD14F4} (bilderservice.de Standard-Upload) - 217.17.197.101/scripts/ieupload.cab

    Fragwürdig.

    O16 - DPF: {E17E606A-9836-4619-A249-F40D5D2E812A} - member.eops.de/CuConnectorSendServlet/cu610982979.exe

    Fragwürdig.

    Bzgl. der laufenden Prozesse sind da etliche unnötige und fragwürdige dabei. Da man das aber ohne kenntnis deiner Hardwareausstattung und Absichten nur schwer aus der Ferne diagnostizieren kann, überlasse ich das mal deiner Weisheit.
    Auf einem System mit ungepatchtem und erfolgreich kompromittiertem IE einen Web- und womöglich noch andere Server laufen zu lassen, ist schlicht fahrlässig.
     
  13. KlausM.

    KlausM. Byte

    Registriert seit:
    4. Februar 2002
    Beiträge:
    10
    Sorry für mein Missgeschick.
    Hoffe es findet sich ne Lösung!
     
  14. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Du hast dir Adware eingefangen. Lad dir Adaware oder Spybot Search & Destroy runter und laß die dein System absuchen.

    Hör auf Dateien zu stehlen und pass bei Surfen besser auf und das passiert nicht
     
  15. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Wenn ihr solche Logs postet dann entfernt die Links - der nächste DAU klickt drauf und fängt sich das selbe Zeug ein wie du :aua: :aua:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen