Könnt Ihr mein Logfile bitte auswerten?
 

Ich weiß nicht, was ich ankreuzen soll, könnt Ihr mir bitte helfen?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Dokumente und Einstellungen\\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106036220453
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{863B20A9-09AC-4D70-977A-1D4D373C8474}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Vielen Dank

Rosalina

Hi, Rosalina,
es fehlt der Kopfteil des Logfiles (Welches System etc.); bitte nachreichen.
Was für ein Problem hast Du denn?
cacatoa

Danke, cacatoa, den habe ich einfach abgeschnitten. :heulen:

Logfile of HijackThis v1.99.0
Scan saved at 09:18:10, on 17.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

XP SP2 habe ich nicht geladen, weil fast jeder danach Probleme hat!

Mein Problem:
Nach meinem Scan mit Hijacker, weiß ich nicht, wo ich ein Häkchen hinsetzen soll. Ich kann meine Software erkennen, aber es gibt so viele andere Dinge in der Auflistung, mit denen ich nichts anfangen kann.

Ich hatte einen Dialer an Board und wahrscheinlich einen Wurm: Try/WmvDownload.A und .B - Joke.Flipped + eine .exe Clipartland.xxx - alle vier habe ich schon in der Registry gelöscht.

Ich möchte jetzt nur wissen, ob Ihr irgendetwas erkennt, was noch gelöscht werden muss. Sonst kann ich mit dem sicherlich sehr guten Programm Hijacker nichts anfangen. Was nützt es, wenn ich nicht weiß, was ich danach löschen soll?

Danke im voraus Rosalina

Hallo,
ich vermute mal, Du hast einen HP-DeskJet; das hier:
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
dürfte ein Download davon sein, oder?
Wenn nicht, dann fixen.
Frag mal hier an board, da heißt es "..weil fast jeder danach keine Probleme hat.."
Da wird was geredet, was i.d.R. nicht stimmt.
Wenn du noch sicherer sein willst, dann lade Dir den eScan runter (genau an die Anleitung halten!!), mach ein update und scanne (vorher anclicken: "scan all local drives" und "scan all files")
Das Ergebnis: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Der escan dauert ca. 1 Stunde.
cacatoa

Hi cacatoa,

danke für Deine Mühe, aber ein englisches Programm hat für mich keinen Zweck. Es ist für einen Nichtprofi schon schwierig in deutsch den Anweisungen zu folgen, geschweige dann in einem Fachenglisch.

Ich wußte nicht, dass Hijacking im Handling Probleme über Probleme aufwirft. Für Otto-Normalverbraucher ist es einfach zu kompliziert.

Da ich im Moment keinen akuten Fall habe und eigentlich alle Virenprogramme Entwarnung melden, lasse ich es lieber dabei. Ich kann es mir nicht leisten, auf einen evtl. Verdacht meinen PC zum Stillstand zu bringen. Ich dachte mit der Überprüfung des unten stehenden Logfiles wäre es erledigt, aber nun noch einmal so einen Umstand, das ist wirklich etwas für Profis oder "Bastler".

Trotzdem schön, dass es Euch gibt.

Rosalina

Aber, Rosalina,
wer wird denn verzagen?
Das HJT-Logfile hast doch auch hingekriegt.
Fixen heißt:
Nach dem scan mit HiJackThis an dem Punkt, den ich dir gesagt habe, ein Häkchen machen und dann unten auf "Fix checked" clicken. Das wars.
Und der eScan ist nicht tragisch; in dem Link, den ich geschrieben habe, ist doch alles auf Deutsch.
cacatoa

Hi cacatoa,

"...erst kann sie nicht - dann will sie nicht - und schließlich traut sie sich doch". Überredet!

Und das ist mein Ergebnis:
Fri Feb 18 00:35:54 2005 => ***** Scanning complete. *****

Fri Feb 18 00:35:54 2005 => Total Files Scanned: 104012
Fri Feb 18 00:35:54 2005 => Total Virus(es) Found: 10
Fri Feb 18 00:35:54 2005 => Total Disinfected Files: 0
Fri Feb 18 00:35:54 2005 => Total Files Renamed: 0
Fri Feb 18 00:35:54 2005 => Total Deleted Files: 0
Fri Feb 18 00:35:54 2005 => Total Errors: 9
Fri Feb 18 00:35:54 2005 => Time Elapsed: 01:34:49
Fri Feb 18 00:35:54 2005 => Virus Database Date: 2005/02/14
Fri Feb 18 00:35:54 2005 => Virus Database Count: 118236

Fri Feb 18 00:35:54 2005 => Scan Completed.


Was mich nur stutzig macht: bei der Eingabe von "infected" wurde nur diese eine Meldung markiert: Fri Feb 18 00:35:54 2005 => Total Disinfected Files: 0

Weiter wurde nichts markiert. Ich bekam danach die Meldung: "Infected" kann nicht gefunden werden.

Und nun? Rosalina

Nach "tagged" suchen...

Hi Haui,

"tagged" kann auch nicht gefunden werden! Ich habe den Editor noch offen!

Hallo,
nur zur Sicherheit....Du hast "View Log" angeklickt und dann in der "mwav.log" nach "infected" bzw. "tagged" gesucht???

Evtl. auch mal die "Suchrichtung" ändern, oder die mwav.log erneut öffnen und Suche nochmals starten.

-> gn8 Haui

Ja, ja, ein Dummy braucht immer etwas länger ehe er in die richtige Richtung läuft:

Hier meine Ausbeute: (kann vielleicht etwas doppelt sein) ;-((

Fri Feb 18 00:26:59 2005 => File D:\Eigene Dateien\Spiele\Esheep.exe tagged as not-a-virus:Simulator.Win16.Shee

File D:\Eigene Dateien\Spiele\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

Fri Feb 18 00:25:01 2005 => File D:\Eigene Dateien\Software\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Feb 18 00:24:15 2005 => File D:\Eigene Dateien\Software\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Feb 18 00:16:24 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Steckbrief.exe tagged as not-a-virus:Joke.Win

Fri Feb 18 00:16:23 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Schaf.exe tagged as not-a-virus:Simulator.Win

File D:\Eigene Dateien\E-Mail Anlagen\Schaf.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

File D:\Eigene Dateien\E-Mail Anlagen\Steckbrief.exe tagged as not-a-virus:Joke.Win32.Langeweile. No Action T

Fri Feb 18 00:15:47 2005 => File D:\Eigene Dateien\Downloads ZIP\Audiograbber.zip tagged as not-a-virus:Tool.Wi

Fri Feb 18 00:15:47 2005 => File D:\Eigene Dateien\Downloads ZIP\Audiograbber\AudioGrabber V1.80 FiNAL iNSTALLE

File D:\Eigene Dateien\Downloads ZIP\Audiograbber\AudioGrabber V1.80 FiNAL iNSTALLEipklsr\orga\SETUP.EXE tagg

Thu Feb 17 23:02:59 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action T

File D:\Eigene Dateien\Downloads ZIP\Audiograbber\AudioGrabber V1.80 FiNAL iNSTALLER.exe tagged as not-a-viru

File D:\Eigene Dateien\Downloads ZIP\Audiograbber.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Take

File D:\Eigene Dateien\Software\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Eigene Dateien\Software\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Ta

Ja, "tagged" rückt er Daten raus - bei "infekted" markiert er nur einmal "Disinfected"

Na, sieht doch gar nicht so schlecht aus. Einige Joke-Dateien und "unwichtige" Sachen, von denen eigentlich keine Gefahr ausgehen sollte.
Gab es überhaupt Probleme auf Deinem Rechner?

Nein, ich hatte einen Dialer drauf, wurde aber von NAV bemerkt. (In einem meiner ersten Postings habe ich darüber geschrieben.) Hatte allerdings in der Registry noch Einträge, auf die mich Amethyst vom Office-Forum verwiesen hat. Die Einträge habe ich auch gelöscht.

Eben habe ich den Audiograbber komplett gelöscht, den hatte ich noch nicht lange drauf. Und glaube, dort wurde ich nach einer Lizenz befragt - und habe ahnungslos auf OK geklickt. Das war verkehrt.

Die Schafexen habe ich ebenso gelöscht.

Jetzt gehe ich erst einmal in die Heia. Danke für alles. Morgen bin ich wieder zur Stelle.

Rosalina

Anscheinend ist jetzt wieder alles sauber, nachdem Du auch noch Audiograbber (siehe folgendes Posting...kein "Schädlingsbefall") und die lustigen Schafe gelöscht hast.

gn8
Andy

audiograbber ist ein sehr gutes programm zum bearbeiten von musikfiles , also harmlos...
http://www.audiograbber.de/

aber warum wartet ihr nicht auf den unfehlbaren experten Herr Kautz ?
er wird mit allen zweifeln spielend fertig.!
ist doch ganz einfach: neu aufsetzen und zwar sofort!!!
ein anschliessender wohnungswechsel sollte in erwägung gezogen werden.
man weiss ja schließlich nie wo die viren und würmer blühen, wachsen und gedeihen.

also: nicht verzagen, kautzi fragen !!!

*lol* seh ich ja ähnlich.....

bei diesen Schafe(xe)n weiß man ja nie....
und, wie schnell wird aus einem Joke ernst....und dann?? :aplaus:

Und, wo finde ich kauzi, B_d_G? Höre ich da etwa einen ironischen Unterton? Und wer zweifelt hier noch? Und wo warst Du als Dich brauchte? :D

Na, dann lade ich den Audiograbber eben wieder runter. Die meisten Programme sind harmlos, aber wenn sich jemand "dranfhängt", frage ich mal in meiner Dummheit? :schrei:

Mit "neu aufsetzen" (denke daran, diese Kunstsprache versteht nicht jeder User :confused: ) meinst Du alles neu installieren? Nein, das würde ich eh nicht machen, das wäre gleich mit Kanonen auf Spatzen geschossen. :balla:

Jetzt mal etwas anderes: Woran würde ich z.B. in dem Logfile einen echten "Befall" erkennen? :confused:

"...bei diesen Schafe(xe)n weiß man ja nie..." hast Du wohl nicht mich gemeint? :pfui:

@ rosalina:
Na, siehst Du, ist doch geworden; ich denke mal Du kennst Dich schon ganz gut aus. Verstellst Du Dich a bisserl?
cacatoa

Nein, wirklich nicht. Ich bin ziemlich gut in Word - aber mit den anderen Dingen hapert es, weil man niemanden hat, den man einmal fragen kann. Und wenn, ist das Fachchinesisch - ich stehe dann mit angelegten Ohren sozusagen im Wald. :) Somit ist man nicht experimentierfreudig, weil man Angst hat - es kommt zum Crash. Natürlich kommt die Unsicherheit auch, wenn es in Englisch ist.

Ich bin jetzt wirklich froh, dass ich das jetzt geschafft habe. Werde mir eine eine Arb.anleitung für das nächste Mal erstellen. Bis vor zwei Tagen wußte ich noch nicht einmal was ein Logfile ist. :heulen:

Jetzt hast Du mir aber noch nicht gesagt, wie es aussieht, wenn ich wirklich einen Wurm oder einen Dialer gefangen habe? Wie lautet dann die Eintragung?

kautzi ist da wo das warme licht am hellsten strahlt :blabla:
denn er ist die quelle der weisheit, und unser retter wenn die not am grössten ist.

wenn sich wirklich jemand dranhängt, hast du erstmal ein problem, schon richtig.darum sollte man ja auch die gewünschten programme ausschließlich von der herstellerseite beziehen. das reduziert das risiko auf ein minimum.
alles neu installieren, genau das ist damit gemeint.
ist in deinem fall aber nicht nötig, glück gehabt...

das kann man so pauschal nicht beantworten. wie die malware sich ins system integriert, hängt vom programmierer ab...

Einen richtig guten Angriff erkennt man in den Logfiles gar nicht und das was man erkennt, kann man beseitigen, aber das ist eine unendliche Geschichte, zu der ich mich nicht weiter äußern möchte.
Liebe Grüße, Charlie

So siehts aus :daumenhoc

Denn nicht jeder hat die Weisheit mit Löffeln gefressen,gell.... :lach:

@ Rosalina:
Ein Eintrag in HJT mit etwas grausigem könnte z.B. so aussehen:
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe

Das heißt, wenn man so bestimmte Einträge im Logfile nicht kennt, dann empfiehlt es sich, google zu bemühen.
Die Erklärung für den Eintrag oben findest du hier.
Na, ja und wenn man dann genau liest, weiß man, was diese Teile so alles machen und kann dann Entscheidungen treffen.
cacatoa

da hast du hast recht, auf dich trifft das jedenfalls zu ;)

So, vielleicht könnte mir mal einer erklären, was dieser ganze Schrott in dem thread verloren hat?
Ich beginne langsam, mich zu fragen, wo ich hier bin...http://www.mainzelahr.de/smile/crazy/123.gif
cacatoa

sorry, aber musste einfach mal gesagt werden...

Ich verstehe zwar nicht, was wieso mal gesagt werden mußte, kann mir aber gut vorstellen, daß Rosalina davon irrsinnig profitiert...
Vor allem kriegt sie die derzeitige, wunderbare und ach so hilfreiche Stimmung am Board mit.
Ich klink mich auf jeden Fall hier mal aus.
Für das ewige Gemosere und Gezeter in der letzten Zeit gibt´s ja auch noch die Taverne oder besser die "Mülltonne".
cacatoa