Hallo,
hab mal wieder HijackThis durchlaufen lassen und folgende LogFile erhalten.
Könntet Ihr bitte mal gucken, ob da alles i.O. ist bzw. ob da was schädliches drin ist.
Vielen Dank im voraus.
Gruss
Barny

********************************************************************

Logfile of HijackThis v1.97.7
Scan saved at 14:51:18, on 04.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Convar\TaskManager\ctm.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Medion\PowerCinema\PCMService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\a2\a2guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HardCopy Pro\HardCopy Pro.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Medion\PowerCinema\PCMService.exe
C:\Programme\a2\a2guard.exe
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [Soundman] C:\WINDOWS\SOUNDMAN.EXE
O4 - Startup: HardCopy Pro.lnk = C:\Programme\HardCopy Pro\HardCopy Pro.exe
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...657.0299189815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[img]graemlins/bussi.gif[/img]

Haallooo ........
will mir keiner antworten ???? [img]graemlins/koch.gif[/img]

</font><blockquote>Zitat:</font><hr />Hallo,
hab mal wieder HijackThis durchlaufen lassen </font>[/QUOTE]Vllt. hast du etwas in Erinnerung vom letzen Mal

</font><blockquote>Zitat:</font><hr />Haallooo ........
will mir keiner antworten ???? </font>[/QUOTE]Es ist WE,das Wetter ist schön und alle sitzen VOR dem PC um auf wiederholte Fragen zu antworten [img]tongue.gif[/img]

Möchtest du BITTE mal hier schauen
HJT Anleitung

Und dann kannst du noch im HJT unter " Info for selected Item " schauen

Nun denn, hab mir mal die HijackThis Anleitung reingezogen und soweit ich das verstehe, dürfte in meiner Log-File wohl nichts gravierendes drin sein.
Außer zu den nachfolgenden Zeilen, konnte ich keine Erklärung finden:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab

Kann mir da mal jemand sagen, was diese Einträge bedeuten.
Gruss
Barny

</font><blockquote>Zitat:</font><hr /> Kann mir da mal jemand sagen, was diese Einträge bedeuten.
</font>[/QUOTE]Hallo barny - Erklärung steht da

</font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
</font>[/QUOTE]R0, R1, R2, R3 - Internet Explorer Start- /Suchseiten

Beispieleinträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Was zu unternehmen ist:
Handelt es sich bei der URL am Ende des Eintrags um eine bekannte, bzw. selbst ausgewählte Seite oder Suchmaschine ist der Eintrag OK. Handelt es sich um einen unbekannten Eintrag, sollte dieser mit HijackThis gefixt werden.
Einträge unter 'R3' sollten immer gefixt werden, es sei denn, es wird ein bekanntes Programm erwähnt (z.B. Copernic).

...............................................
</font><blockquote>Zitat:</font><hr /> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
</font>[/QUOTE]O3 - Internet Explorer Werkzeugleiste (Toolbar)

Beispieleinträge:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Was zu unternehmen ist:
Ist der Name der Toolbar unbekannt, kann in TonyK's BHO & Toolbar List anhand der Class ID ('Class Identifier' -&gt; Zahlen-/Buschstabenkolonnen in geschweiften Klammern {} ) ermittelt werden, ob es sich um einen 'guten' oder 'schlechten' Eintrag handelt. In dieser Toolbar List, bedeutet 'X' Spyware und 'L' sicherer Eintrag.
Wenn sich ein gesuchter Eintrag nicht in der Liste befindet, der Name aus zufälligen Zeichen besteht und sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet (wie der untere Beispieleintrag), handelt es sich sehr wahrscheinlich um Lop.com und sollte zwingend mit HijackThis gefixt werden.

.................................................

</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
</font>[/QUOTE]O4 - Autostartaufrufe aus der Registry

Beispieleinträge:

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

Was zu unternehmen ist:
In PacMan's Startup List den Eintrag suchen und feststellen, ob dieser als 'gut' oder 'schlecht' gekennzeichnet ist.
Befindet sich der Eintrag in einer 'Startup-Gruppe' (wie der untere Beispieleintrag), kann HijackThis diesen Eintrag nicht fixen, solange sich dieser im Speicher befindet. Mit dem 'Windows Task Manager' (TASKMGR.EXE) muss ein solcher Prozess zunächst beendet werden, bevor er gefixt werden kann.

.................................................

</font><blockquote>Zitat:</font><hr /> O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
</font>[/QUOTE]O16 - ActiveX-Objekte (auch bekannt als Downloaded Program Files)

Beispieleinträge:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab


O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Was zu unternehmen ist:
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
Javacool's SpywareBlaster beinhaltet eine große Datenbank gefährlicher ActiveX-Objekte. Dieses kostenlose Tool kann bequem nach CLSID's ('Class Identifier' -&gt; Zahlen-/Buschstabenkolonnen in geschweiften Klammern {} ) durchsucht werden. Dies geschieht mit einem Rechts-Klick in die Liste zum Öffnen der Suchen-Funktion.

Hallo Nangie,
danke erstmal.
Die R1 + O3 Einträge konnte ich finden und feststellen, dass harmlos.
016 ist ein Online Scan von Housecall
Was ist jedoch mit O4 – nach was muss ich denn in der „Startup Applications List“ suchen?
Gruss
Barny
[img]graemlins/bussi.gif[/img]

Gern geschehen barny [img]smile.gif[/img]
</font><blockquote>Zitat:</font><hr /> Was ist jedoch mit O4 – nach was muss ich denn in der „Startup Applications List“ suchen?
</font>[/QUOTE]z.B. gibst du das in die Startup Applications List ein :

C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
und mal sehen sehen ob dein PC überlebt oder nicht [img]graemlins/crazy.gif[/img]

nein - Quatsch - gib es ein und lese

[ 07. Juni 2004, 12:11: Beitrag editiert von: Nangie ]

Also wenn ich "C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg" eingebe - findet er nischt.
Wenn ich nur "VOBREGCheck.exe" eingebe - bringt er mir folgendes:
"Part of Pinnacle Systems InstantCD/DVD and InstantCopy CD/DVD copying software that verifies drive settings. Once loaded it doesn't use any resources so you can leave it enabled"
Ich denke, das kann bleiben.

Was ist denn mit den ganzen exe-Files am Anfang der LogFile.
Sollte ich die mal Online auf Viren scannen lassen?
Gruss
Barny
[img]graemlins/balla.gif[/img]

Habe auch mal "C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg" eingegeben - Ergebnis &gt;
Klick

Ein Onlinescan kann nicht schaden

Ein bisserl viel EXE Dateien hast du IHMO - mal horchen was die Profis dazu sagen - ich möchte dir da nix falsches raten

Naja - dieses Bildchen hab ich auch gesehen, aber was sagt mir das - werd nicht schlau draus ???

Die Bitte an die Experten, was die exe-Dateien angeht - seht Ihr da was Verdächtiges ???

Gruss
Barny
[img]graemlins/party.gif[/img]

Hallo ich bin´s nochmal.
Leider hat sich noch niemand zu meiner Frage bezüglich der exe-File´s in meiner LogFile geäussert.
Möchte nochmal drum bitten. [img]graemlins/kloppen.gif[/img]
Habe die mir unbekannten File´s fett markiert, vor allem die „lsass.exe“ beunruhigt mich doch sehr.
Es muss doch jemand geben, der sich mal dazu äussert und wenn es nur Bullsh**t ist, was ich hier schreibe, dann sagt mir dass, dann weiss ich woran ich bin. [img]graemlins/koch.gif[/img]

***********************************************************************************************

Logfile of HijackThis v1.97.7
Scan saved at 17:33:00, on 18.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Convar\TaskManager\ctm.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Medion\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a2\a2guard.exe
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\Downloads\HijackThis.exe

Hallo barny,

du kannst nicht (oder besser solltest nicht) erwarten, dass dir hier jemand sämtliche bei Deinem Rechner laufenden Prozesse vorbetet.

Schau als erstes mal in die jeweiligen Dateieigenschaften, ob der Zweck der Datei nicht zu erkennen ist.
Falls das nichts bringt, solltest Du mal auf http://www.reger24.de/prozesse.html nachsehen.
Ist die Datei dort nicht gelistet, hilft Dir evtl. ein Blick unter http://www.sysinfo.org/ in der Startup-Info.

Wenn dann noch ein oder zwei Prozesse übrig bleiben, die Du nicht zuordnen kannst, kannst Du diese noch einmal gezielt nachfragen...

Hallo Lutz,
werd ich gerne machen.
Man muss halt nur wissen, wo man suchen muss. [img]graemlins/aplaus.gif[/img]
Auf der anderen Seite dachte ich, dass man anhand des Datein-Namens sofort erkennen kann, ob die Datei schädlich oder notwendig ist - quasi so aus dem Stehgreiff. [img]graemlins/sleepy.gif[/img]
Danke also erstmal. [img]graemlins/party.gif[/img]
Gruss
Barny

Nochmal ne Frage, damit ich´s richtig verstehe. [img]graemlins/headbang.gif[/img]
Wenn ich z.B. in der lsass.exe Datei unter Eigenschaften nachsehe, sehe ich den Install.-Pfad, Erstell.-Dat., Änd.-Dat., letzter Zugriff und die Datei-Attribute.
Woran erkenn ich nun, welchen Zweck die Datei hat; bzw. ob sie schädlich ist?

Wenn ich in der “Prozess-Liste (reger24)“ suche, erhalte ich folgende Meldung:
„You cannot end this process from Task Manager....usw“
D.h. doch ich kann den Prozess nicht beenden, weil dieser von WIN benötigt wird – oder ?


Wenn ich nun wiederum in der „Startup Applications List“ nachsehe,
bekomme ich folgende Anzeige:
Status „X“ (bedeutet doch gefährlich) und die Description: „Added as a result of the RATSU.B VIRUS! Note - this is not the legitimate Lsass.exe system file should normally NOT figure in Msconfig/Startup!“
Was heisst das für mich – mein Englisch ist nicht so toll. [img]graemlins/balla.gif[/img]

Ich hoff ich frag nicht wieder zu blöd oder zuviel [img]graemlins/dummguck.gif[/img]

Gruss
Barny

</font><blockquote>Zitat:</font><hr /> Wenn ich z.B. in der lsass.exe Datei unter Eigenschaften nachsehe, sehe ich den Install.-Pfad, Erstell.-Dat., Änd.-Dat., letzter Zugriff und die Datei-Attribute.
Woran erkenn ich nun, welchen Zweck die Datei hat; bzw. ob sie schädlich ist?
</font>[/QUOTE]lsass.exe
vllt.hilft dir das etwas weiter ...

</font><blockquote>Zitat:</font><hr /> Ich hoff ich frag nicht wieder zu blöd oder zuviel </font>[/QUOTE]Quatsch - Hauptsache es bleibt auch was hängen [img]tongue.gif[/img]