Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Fragen zu meiner Hijackthis.log (https://www.trojaner-board.de/10356-fragen-meiner-hijackthis-log.html)

Simone_25 03.12.2004 03:18
Fragen zu meiner Hijackthis.log
 
Hallo,

tut mir leid-kenn mich mit Computern nicht so aus.
Jetzt wollte ich mit einer Hijackthis überprüfen ob soweit alles in Ordnung ist.
HAB sie auch erstellt:

Logfile of HijackThis v1.98.2
Scan saved at 02:36:08, on 03.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\LEXMARK X1100 SERIES\LXBKBMGR.EXE
C:\PROGRAMME\LEXMARK X1100 SERIES\LXBKBMON.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ESET\NOD32KUI.EXE
C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\HIJACK\HIJACKTHIS.EXE
C:\AOL5.0A\WAOL.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HELPCTR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\PROCESSVIEWER\PRCVIEW.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_1_6_0.DLL
O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\LIQUI.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_1_6_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programme\Eset\nod32krn.exe"
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICONS\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [5-2-100-187] c:\windows\5-2-100-187.exe -m
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo -aim
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0a\aoltray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...yiebio4025.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -

das meiste glaub ich ist in Ordnung,oder?

Fragen:

einige Programme sind unbekannt,wie z.B:

1) O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\LIQUI.DLL
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -

hab dann etwas nachgeforscht,ist ne WEBKEY Access Library -soll ich die löschen?
Und wie lösche ich? einfach bei Hijackthis fixen oder muß ich manuell selbst im Betriebssystem noch was machen


2) O4 - HKCU\..\Run: [5-2-100-187] c:\windows\5-2-100-187.exe -m

wird auch unbekannt angezeigt:
soll ich das löschen,könnte das ein Dialer sein oder was anderes?
Wie soll ich vorgehen?

3) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

ist das einzige was bei der automatischen Auswertung als böse angegeben wird.
Hab dann aber manuell nachgeschaut unter http://www.trojaner-board.de/51130-a...ijackthis.html
und habe bemerkt,dass es zweimal die Kombination SystemTray mit Systray.Exe gibt. Einmal ist es harmlos und einmal ist es böse (Trojaner)

Hier die 2 möglichen Ergebnisse:

Möglichkeit A:

SystemTray U SysTray.Exe
SYSTRAY.EXE - System Tray Services. Provides the Volume Control, PC Card Status, Power Management and other icons that reside in the System Tray (see here). SYSTRAY.EXE may be disabled if none of these services are required. It will launch as and when required if you later enable the icons. If you need these items they're available via Start -> Settings -> Control Panel

also harmlos

Möglichkeit B:

SystemTray X SysTray.exe
Added by the ALADINZ.P TROJAN! Note - this is not the valid System Tray (systray.exe) which resides in C:\Windows\System (Win9x/Me), C:\Winnt\System32 (WinNT/2K) or C:\Windows\System32 (WinXP). If you right-click on the real systray.exe the "Properties" reveal it to be a Microsoft file

also ein Trojaner

könnte es sein,dass meines doch harmlos ist,
weil bei mir das Exe groß geschrieben ist und nicht klein wie bei zweiterem -oder macht das keinen Unterschied


Ich wär sooo froh wenn mir jemand helfen könnte

Gruß von der verunsicherten Simone

*Christian* 03.12.2004 11:16
Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

MountainKing 03.12.2004 11:29
Hallo Simone,

wie du ja schon selbst zitiert hast " which resides in C:\Windows\System (Win9x/Me)" in ME ist systray.exe in genau diesem Ordner, das ist schon das echte Windowsfile, da brauchst du dir, denke ich, keine Sorgen zu machen.

LIQUI.DLL ist wahrscheinlich zu einer Adware, also kannst du das mit HHT entfernen und evtl. auch mal AdAware und Spybot durchlaufen lassen.

c:\windows\5-2-100-187.exe -m das solltest du mal hier: http://virusscan.jotti.org/de testen oder wie Christian ja schon sagte, mal E-Scan durchlaufen lassen.

Simone_25 03.12.2004 22:37
Also erstmal vielen Dank für eure Antworten.
Bin jetzt schon mal ein wenig beruhigt.

Also Ad-aware und Spybot hab ich zuvor schon drüberlaufen lassen-da wurde auch ne Menge gefunden-das hab ich auch schon gelöscht.
LiQUi.DDl wurde aber anscheinend dabei nicht beanstandet.

was c:\windows\5-2-100-187.exe -m betrifft, so habe ich es einfach gelöscht und einen entsprechenden Eintrag in der registry gelöscht - es taucht jetzt nicht mehr in der Hijackthis.log auf. Hoffe das war richtig von mir?

@Mountainking:
peinliche Frage jetzt aber was meinst Du mit HHT entfernen? was ist HHT *g*?

Den E-scan im abgesicherten Modus werd ich noch ausprobieren.
Ahja Trojanhunter hab ich auch schon mal drüber laufen (aber nicht im abgesicherten Modus) - Ist Trojanhunter eigentlich zu empfehlen?
Als Virenscanner hab ich jetzt NOD32 - ist der auch ok?


Also vielen Dank nochmal!!!

chaosman 03.12.2004 23:22
@Simone_25
zur LIQUI.DLL
http://www.spy-bot.net/AdBreak.asp
wechsle in den abgesicherten modus und fixe mit Hijackthis
O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\LIQUI.DLL
lösche danach manuell
C:\WINDOWS\LIQUI.DLL
neu starten

virenscanner nur in abgesicherten modus laufen lassen, nicht 2 gleichzeitig im hintergrund oder scannen lassen.
poste hier wenn eventuell was gefunden wird
chaosman

Simone_25 04.12.2004 02:37
also hab jetzt im abgesicherten Modus den escan drüber laufen lassen.
C:\WINDOWS\LIQUI.DLL wurde nicht beanstandet -scheint was harmloses zu sein oder was denkt ihr?-(auch andere Virenscanner haben nicht über die Datei gemeckert -allerdings hatte ich die anderen Virenscanner nicht im abgesicherten Modus drüber laufen lassen)
Aber vielleicht sollte ichs trotzdem entfernen ,habe nur Angst dass es vielleicht was wichtiges sein könnte,wobei die Wahrscheinlichkeit hierfür wohl gering ist.
Was meint Ihr -soll ichs löschen?

hab jetzt mehrere Virenscanner (Antivir,escan,Nod32,Trojanhunter) am System- scannen lasse ich natürlich immer nur einem zu einem zeitpunkt.
Wenn ich online bin hab ich den Antivir deaktiviert und lasse den NOD32 als Wächter laufen.Trojanhunter ist allerdings auch enabled - ist das ok oder beißt sich das?


Gruß Simone

*Christian* 04.12.2004 21:40
Sende die Datei C:\WINDOWS\LIQUI.DLL mal zu partytime-germany.ice@web.de mit Hinweis zu diesem Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22