Sie (bzw. ein Programm) haben Informationen angefordert von.

[toetbrech]

Ein Fenster mit dem Namen "Netzwerkverbindungen" und obiger
Betreffzeile nervt mich seit geraumer Zeit, wenn ich Verbindung mit dem Internet (DSL-Flat) bereits aufgenommen (!!) habe. Das Fenster zeigt meine Verbindungen an und hat Schaltknöpfe "Verbinden", "Abbrechen" und einen Radioknopf "Diese Meldung bis zur nächsten Anmeldung nicht wieder anzeigen". Letzterer hat tatsächlich diese Funktion. Ob die Anderen auch die angegebenen haben, weiß ich nicht, denn ich kenne dieses Fenster nicht (bin seit 2000 Internetnutzer). Habe Win XP pro (sp2), AVG 6.0 und das sp2-verträgliches ZoneAlarm. Alles, was ich zusätzlich laufen ließ, fand keinerlei Auffälligkeiten
(auch HiJackThis, ein Log werde ich noch schicken). Das Thema wurde bereits behandelt - die dortigen Dateien habe ich nicht, vielleicht sind die Bösewichter schlauer geworden. Ich kann den Effekt nach dem Computerstart für längere Zeit unterdrücken,
wenn ich vor dem Wählen im Taskmanager den Prozess ctfmon.exe
stoppe. Ctfmon.exe ist im Ordner system32 und hat die vorgeschriebene Anzahl von Bytes...Virenscans zeigen nichts..
Meine Frage:Was soll ich machen und haben andere dasselbe Problem?
toetbrech

[Computerdirk]

Hallöchen,

ist denn der Nachrichtendienst bereits deaktiviert? Wenn nicht, dann solltest du das mal tun:

http://www.dirks-computerecke.de/nachrichtendienst.htm

[Nikita]

Hallo @toetbrech

Poste das Log vom HijackThis

Gruesse nach Freiberg (steht die Bergakademie noch ?)

Gruss
Nikita

[toetbrech]

Logfile of HijackThis v1.98.2
Scan saved at 18:24:03, on 06.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNEU\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNEU\System32\snmp.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\ZoneLabs\vsmon.exe
C:\WINNEU\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\a2\a2guard.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINNEU\System32\alg.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNEU\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\WINNEU\PCHealth\HelpCtr\System\panels\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} -
c:\PROGRA~1\MICROS~4\Common\MSDev98\Bin\IDE\POPUP.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton
AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec
Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNEU\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) -
http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9732FB42-C321-11D1-836F-00A0C993F125} (mhLabel Class) -
http://www.pcpitstop.com/mhLbl.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) -
http://activex.microsoft.com/activex/co ... dkinst.cab

**
Hallo Dirk, hallo Nikita,

danke für die rasche Reaktion. Den Nachrichtendienst habe ich als erstes ausgeschaltet

- einige andere Dienste auch. Geändert hat das nichts. Eingesetzt habe ich inzwischen :

CWShredder, PestPatrol, TDS3, Stinger und a Quadrat. Schon seit längerem laufen:

AdAware (jetzt SE) und SpyBot Search&Destroy. Im Rechnerbetrieb gibt es keine

Besonderheiten (nur der Flachbettscanner lässt sich nicht mehr richtig ansprechen). Die

Internetverbindung ist in keiner Weise beeinträchtigt (getestet mit dslreports). Ich

habe zwei AV-Programme (NAV und AVG), wovon ja abgeraten wird - sie scheinen sich aber

zu vertragen.AVG wurde erst nach dem Auftreten des Fensters installiert. Updates (auch

Windows) funktionieren. Die Erscheinung tritt jetzt regelmäßig erst beim zweiten

Einwählen mit dem IE bzw. FireFox auf. Bei Outlook Office
gibt es sie nicht mehr (komisch, weil ctfmon zu Office gehören soll und früher keine

Probleme machte).
Beste Grüße - die AKA steht noch ( für Nikita).
toetbrech(aka Arnd)

[Nikita]

Hallo @toetbrech

#Ich vermute, dass die Nachrichten von diesen Tools kommen.
<pcpitstop.
oder von dem hier:
<IE PopUp-Killer ; Neikeisoft -
Es muss ein Programm sein, dass du als Trailversion geladen hast und nun wirst du aufgefordert, es zu kaufen.
Kann man aus der Nachricht nicht ersehen, von welchem Programm sie stammt ????

Wenn du mal beide deinstallierst (oder andere, die ich im HijackThis nicht sehen kann) , mit Regsupreme drueberkehrst, wird sich (hoffentlich das Prob. erledigt haben.
______________________________________________________________________

#Fixe mit dem HijackThis:
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} -
c:\PROGRA~1\MICROS~4\Common\MSDev98\Bin\IDE\POPUP.DLL

#Deinstalliere:
c:\PROGRA~1\MICROS~4\Common\MSDev98

#Oeffne noch mal das HijackThis
HijackThis<Config<Delete a file on reboot< POPUP.DLL < neustarten

_____________________________________________________________________
#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/

Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

Ansonsten empfehle ich dir nicht mehr mit dem IE zu surfen.
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Opera
http://www.opera7.de/

mfg
Nikita (1980-1985 (BA)

[toetbrech]

Hallo Nikita,
den PopUp-Killer hatte ich zwischenzeitlich schon rausgeworfen und
pcpitstop brachte auch nichts (konnte ich mir schlecht denken, denn das ist offenbar grundsolide Seite). Welches Programm anfordert, geht aus der Meldung leider nicht hervor und ZoneAlarm sagt nichts Ungewöhnliches. Nur einmal fragte es seltsamerweise,
ob der bereits bekannte IE ins Internet darf.. Bei FireFox tritt dasselbe auf. Ich habe einen screenshot von dem Ganzen gemacht, weiß aber nicht, ob ich ihn hier hineinstellen darf und wie.
Die Erscheinung tritt nie auf, wenn ich das "ClassicGate" bei t-online benutze - nur bei den business-online Varianten, die über ein LAN auf dem Computer an die Netzwerkkarte gebunden sind.
Ich werde nun mal auf die vorgeschriebene Weise ctfmon deaktivieren. Wahrscheinlich bringt das aber auch nichts, weil es früher keine Probleme gab.
RegSupreme müsste ich leider kaufen, weil ich das Trial schon mal hatte und irgendwo auf dem Computer vermerkt ist, dass ich die Probezeit ausschöpfte. Das Geld würde ich schon anlegen, habe aber zur Zeit keine Lust mit der Kreditkarte über diese Verbindung was zu machen.
Glück Auf dem Bergakademisten!
toetbrech (aka Arnd).
P.S.:Natürlich drücke ich immer den Knopf "Abbrechen"-dann läuft alles scheinbar normal. Möglicherweise ist aber gerade das beabsichtigt -man wird paranoid!

[toetbrech]

Hi Nikita,

das einfache RegSupreme konnte ich installieren. Es fand eine Menge Müll (393 Einträge). Der Rechner läuft seither runder und das Problem trat erstmal nicht mehr auf. Leider aber dauerte es nur
ca. 6 Einwahlvorgänge, bis es wieder los ging! Spontanenwählversuche gibt es übrigens nicht.

Gute Nacht
toetbrech (aka Arnd)

[Nikita]

Hallo@toetbrech

#Spysweeper (nach dem Scannen wieder aus dem Autostart nehmen)
http://www.spysweeper.com/

#Spywareblaster (alles aktivieren)
http://www.javacoolsoftware.com/sbdownload.html

#Deaktiviere den Nachrichten dienst:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"


...bereits bekannte IE ins Internet darf............wie heisst die IE ????
«Dann poste das Log vom HijackThis noch mal.

mfg
Nikita

[toetbrech]

Hallo Nikita,

gemeint war der Internetexplorer. Spyblaster und Spysweeper
waren keine Hilfe. Spysweeper hat einmal nach dem Auftauchen des Fensters einen Alert (ganz kurz - konte ihn nicht lesen)gebracht, danach nicht wieder...Habe dann immer wieder die "blank page"-Einträge mit HJT gefixed und RegSupreme und Registry First Aid 'drüber laufen lassen. Meist war eine ganze Weile Ruhe, dann gab es das Fenster wieder und neue blank page Einträge. Schließlich war der dsl-Zugang gesperrt (falsches (?!) Kennwort). Vielleicht ein Mutex des "aboutblank"-Virus.
Schade, dass es noch kein Kraut gegen diese Pest gibt. Werde wohl doch alles neu aufsetzen müssen und mir vorher eine sp2-cd besorgen.
Danke für die Unterstützung!
t

[toetbrech]

Hallo Nikita,

die Ursache war wahrscheinlich doch "harmlos". Nach dem Löschen
einer DFÜ-DSL-Verbindung, die ich zu Testzwecken mit dem XP-Assistenten erstellt hatte, tritt das Fenster beim Einwählen über die Standardverbindung und Internetexplorer nicht mehr auf. Wähle ich mit Raspppoe (Schlabbach) tritt das Fenster zwar auf,
verhält sich aber "normal", d.h. kommt vor dem eigentlichen
gewohnten Einwahlfenster. Möglicherweise hängt das mit SP2 (Firewall?) zusammen, denn früher hatte ich sowas nicht.
Vielleicht sind meine Beobachtungen von Interesse, wenn sowas wieder mal auftreten sollte.
Gruß
t.
Nochmals vielen Dank!