|
Automatische HijackThis-Auswertung! Auf der Seite http://www.hijackthis.de/index.php besteht die Möglichkeit, erstellte Logfiles von HijackThis automatisch überprüfen zu lassen. Der Inhalt des Logfiles muss einfach in das Textfeld kopiert werden. Nach einem anschließenden klick auf die Schaltfläche 'Auswerten' wird innerhalb weniger Sekunden eine Auswertung angezeigt. Dieser Service befindet sich zur Zeit offensichtlich noch im Aufbau und daher können fehlerhafte Meldungen nicht ganz ausgeschlossen werden. Aber mein Eindruck ist, dass dieser Dienst zunehmend optimiert wird. |
Knüller! Danke für den Tipp! Mal testen wie zuverlässig der Service ist. Auf jeden Fall sieht es schön übersichtlich aus! |
Danke Lutz - das Teil ist wirklich gut :aplaus: |
Zitat:
Viele Grüße |
Zitat:
Zitat:
|
Nein, böse! System Windows Me, Scanner KAV. Viele Grüße |
Der rundll32.exe Prozess ist doch ein Systemprozess, warum sollte der Böse sein? Welcher Virus wird denn erkannt? |
C:\WINDOWS\RunDLL.exe Böse Böse Laufender Prozess. (RunDLL.exe) LOXOSCAM Virus Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen! edit: \system\ war falsch Viele Grüße |
rundll.exe oder rundll32.exe...? |
Hmmm... hier ist es als Virus angegeben. |
Zitat:
Jetzt habe ich nur C:\WINDOWS\RunDLL.exe. Die ist bei der Version 1.98 auch noch da. edit: Ich habe jetzt mal in das letzte log Rundll32. eingefügt, das Ergebnis sieht so aus: C:\WINDOWS\RunDLL.exe Böse Laufender Prozess. (RunDLL.exe) Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen! C:\WINDOWS\RunDLL32.exe Gut Laufender Prozess. (RunDLL32.exe) Viele Grüße edit heute: http://www.hijackthis.de/logfiles/71...195bdd2f7.html Allgemein: rundll32.exe shell32.dll,Control_RunDLL Zeigt die Systemsteuerung in Explorer-Stil an. Eingabehilfen: (Modul: access.cpl) rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1 Zeigt die Tastatur-Eigenschaften für die Eingabehilfen an. rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2 Zeigt die Audio-Eigenschaften für die Eingabehilfen an. rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3 Zeigt die Anzeige-Eigenschaften für die Eingabehilfen an. rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4 Zeigt die Maus-Eigenschaften für die Eingabehilfen an. rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5 Zeigt die generellen Eigenschaften für die Eingabehilfen an. Anzeige: (Modul: desk.cpl) rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 Zeigt "Eigenschaften von Anzeige - Hintergrund" an. rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1 Zeigt "Eigenschaften von Anzeige - Bildschirmschoner" an. rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2 Zeigt "Eigenschaften von Anzeige - Darstellung" an. rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3 Zeigt "Eigenschaften von Anzeige - Einstellungen" an. Grundeinstellungen: (Modul: main.cpl) rundll32.exe shell32.dll,Control_RunDLL main.cpl @0 Zeigt "Eigenschaften von Maus - Tasten" an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @1 Zeigt "Eigenschaften von Tastatur - Geschwindigkeit" an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,1 Zeigt "Eigenschaften von Tastatur - Sprache" an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,2 Zeigt "Eigenschaften von Tastatur - Allgemein" an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @2 Zeigt den Drucker-Ordner im Explorer-Stil an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @3 Zeigt den Schriftarten-Ordner im Explorer-Stil an. rundll32.exe shell32.dll,Control_RunDLL main.cpl @4 Zeigt die Energiesparfunktionen an. Multimedia: (Modul: mmsys.cpl) rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0 Zeigt "Eigenschaften von Multimedia - Audio" an. rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1 Zeigt "Eigenschaften von Multimedia - Video" an. rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2 Zeigt "Eigenschaften von Multimedia - MIDI" an. rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3 Zeigt "Eigenschaften von Multimedia - Musik-CD" an. rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4 Zeigt "Eigenschaften von Multimedia - Erweitert" an. rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1 Zeigt den Dialog "Akustische Signale" an. Ländereinstellungen:(Modul: intl.cpl) rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0 Zeigt "Eigenschaften von Ländereinstellungen - Gebietsschema" an. rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1 Zeigt "Eigenschaften von Ländereinstellungen - Zahlen" an. rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2 Zeigt "Ländereinstellungen - Währung" an. rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3 Zeigt "Ländereinstellungen - Uhrzeit" an. rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4 Zeigt "Ländereinstellungen - Datum" an. System:(Modul: sysdm.cpl) rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0 Zeigt "Eigenschaften für System - Allgemein" an. rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1 Zeigt "Eigenschaften für System - Geräte-Manager" an. rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2 Zeigt "Eigenschaften für System - Hardwareprofile" an. rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3 Zeigt "Eigenschaften für System - Leistungsmerkmale" an. rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1 Zeigt den Hardware-Assistenten zur Installation neuer Hardware-Komponenten an. Netzwerk: (Modul: netcpl.cpl) rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl Zeigt die "Netzwerk - Konfiguration" an. Kennwörter: (Modul: password.cpl) rundll32.exe shell32.dll,Control_RunDLL password.cpl Zeigt "Eigenschaften von Kennwörter - Kennwörter ändern" an. Datum/Uhrzeit: (Modul: timedate.cpl) rundll32.exe shell32.dll,Control_RunDLL timedate.cpl Zeigt "Eigenschaften von Datum/Uhrzeit- Datum und Uhrzeit" an. rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1 Zeigt "Eigenschaften von Datum/Uhrzeit- Zeitzone" an. Joystick: (Modul: joy.cpl) rundll32.exe shell32.dll,Control_RunDLL joy.cpl Zeigt "Eigenschaften von Joystick- Joystick" an. Modems: (Modul: modem.cpl) rundll32.exe shell32.dll,Control_RunDLL modem.cpl Zeigt "Eigenschaften für Modems - Allgemein" an. rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add Zeigt den Wizard "Neus Modem installieren" an. Software: (Modul: appwiz.cpl) rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl Zeigt "Eigenschaften von Software - Installieren/Deinstallieren" an. rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2 Zeigt "Eigenschaften von Software - Windows-Setup" an. rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3 Zeigt "Eigenschaften von Software - Startdiskette" an. rundll32.exe appwiz.cpl,NewLinkHere c:\temp Startet den Verknüpfungs-Assistenten und legt im angegebenen Verzeichnis die vom Benutzer angegebene Verknüpfung an Sonstiges: rundll32.exe shell32.dll,Control_FillCache_RunDLL Läßt Windows die Systemsteuerung neu einrichten. rundll32.exe shell32.dll,Control_RunDLL wgpocpl.cpl Zeigt den Administrator-Dialog für ein Microsoft Workgroup-Postoffice an. rundll32.exe shell32.dll,OpenAs_RunDLL c:\datei.asd Zeigt den "Öffnen mit"-Dialog an und assoziiert (bei entsprechend aktivierter Dialog-Option) bei Anwendungsauswahl die Dateiendung (hier: .asd) mit der ausgewählten Anwendung. rundll32.exe shell32.dll,SHFormatDrive Zeigt den "Diskette formatieren"-Dialog an. rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter Ruft den Assistenten für die Druckerinstallation auf. rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintTestPage Druckt eine Testseite auf dem aktuellen Drucker. rundll32.exe rnaui.dll,RnaWizard Ruft den Assistenten für eine DFÜ-Netzwerkverbindung auf (mit vorheriger Erklärung). rundll32.exe rnaui.dll,RnaWizard @1 Ruft den Assistenten für eine DFÜ-Netzwerkverbindung auf (ohne Erklärung). rundll32.exe rnaui.dll,RnaDial Internet Ruft den Assistenten "Verbinden mit" mit dem angegebenen Verbindungsnamen auf. rundll32.exe syncui.dll,Briefcase_Intro Zeigt ein Informationsfenster zum Windows-Aktenkoffer an. rundll32.exe syncui.dll,Briefcase_Create Legt einen neuen Aktenkoffer an (nähere Verwendung noch unklar). rundll32.exe diskcopy.dll,DiskCopyRunDll Ruft den Dialog "Diskette kopieren" auf. rundll32.exe sysdm.cpl,DMFistTimeSetup Ruft den (alleine recht sinnfreien) Dialog "Hardwarekonfiguration" mit einer Meldung "Die Konfiguration des Computers wird vervollständigt" auf. rundll32.exe url.dll,FileProtocolHandler http://masterbootrecord.de Ruft die angegebene Datei oder Adresse in der assoziierten Anwendung auf. rundll32.exe url.dll,TelnetProtocolHandler 194.45.127.79 Stellt eine Telnet-Verbindung zum angegebenen Rechner her. rundll32.exe url.dll,MailToProtocolHandler webmaster@masterbootrecord.de Ruft das Standard-Mailprogramm auf. rundll32.exe url.dll,NewsProtocolHandler de.prog.perl Ruft den Standard-Newsreader auf. rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl Zeigt die Eigenschaftsseite des Microsoft-Exchange-Profils an. rundll32.exe desk.cpl,InstallScreenSaver c:\windows\system\ssaver.scr Installiert einen vorhandenen Bildschirmschoner. rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl @1 Zeigt (bei installiertem Internet Explorer) den Dialog "Benutzereinstellungen - Benutzerliste" an. rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0 Zeigt (bei installiertem Internet Explorer) den Dialog "Eigenschaften von Internet - Allgemein" an. Rundll32.exe user,ExitWindows Beendet Windows. Rundll32.exe user,ExitWindowsExec Startet Windows neu. Rundll32.exe krnl386.exe,exitkernel Beendet Windows auf eine unsanfte Art... Rundll32.exe user,disableoemlayer Lässt Windows die grafische Oberfläche deaktivieren. Man sieht nur noch einen Blinkenden Cursor... Netter Gag. Rundll32.exe user,repaintscreen Aktualisiert die Anzeige (F5). Rundll32.exe user,setcursorpos Setzt den Mauscursor in die linke obere Ecke. Rundll32.exe user,swapmousebutton Vertauscht bis zum nächsten Neustart die beiden Maustasten. Rundll32.exe keyboard,disable Deaktiviert bis zum nächsten Neustart die Tastatur. Rundll32.exe mouse,disable Deaktiviert bis zum nächsten Neustart die Maus. http://www.masterbootrecord.de/deutsch/rundll.php |
Hallo Matze04! Deine Logfileauswertung ist vom FEINSTEN. Ich habe eine kleine Bedienungsanleitung auf meiner HP für HJT geschrieben, bei der Suche nach weiteren HJT Anleitungen bin ich auf den Thread im WinFuture-Forum gestossen und war begeistert. Habe deine Auswertung verlinkt, hoffe du bist damit einverstanden. Solltest du besondere Wünsche haben, bitte mitteilen, da derzeit die HP wegen der Umstellung auf 1.98 im Umbau ist ( noch nicht im Netz ). Aber so schaut es derzeit aus Zu meiner HJT HP Wenn ein LINK zu WinFutur oder auch hier zu Trojaner-Info.de (Lutz) gewünscht wird, bitte ebenfalls hier rückmelden. Internet(t)e Grüsse aus Österreich :party: Passat2002 |
hallo zusammen, bisher habe ich hier nur gelesen um meine probleme zu beheben, jetzt muss ich aber doch mal nachfragen: ich habe seit längerem keinen zugriff auf "software" in der systemsteuerung. das icon ist zwar vorhanden, aber auf anklicken passiert nichts. Zitat:
Zitat:
Zitat:
vorab vielen dank |
Hallo smart112 Zitat:
Ich glaube nicht, das die automatische logfileauswertung etwas damit zu tun hat. Wichtig, bei Anfragen sind welches Betriebssystem was wurde schon unternommen ( wurde ein Virus gemeldet ) wenn ja von welchem Antiviren-Programm und welche Datei wurde hier beanstandet, bzw in welchem Pfad wurde der Virus gefunden. HijackThis Beschreibung und zur Auswertung des Logfile mfg Passat2002 |
@DonQuijano RunDll.exe ist unter Windows98 normal und kein Virus. Habe die Auswertung aktualisiert. @Passat2002 Danke und ich habe nichts dagegen, das du die Seite dort erwähnst. @smart112 Welches Betriebssystem benutzt du? Ein HijackThis-Log wäre auch nicht schlecht. |
Hallo, nach etwas "Verzweiflung" benötige ich noch einmal Hilfe. Ich poste mal mein Logfile (Auswertung schien ok zu sein), denn das problem mit der unveränderbaren Startseite besteht weiterhin. Ebenfalls habe ich eben einmal im abgesicherten Modus e-scan testen lassen, aber das o.g. Problem ist nicht behoben. Weiß jemand Rat oder kann mir einen Tipp geben? Danke!! Vielen Grüße Logfile of HijackThis v1.97.7 Scan saved at 13:16:58, on 12.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\System32\CePMTray.exe C:\PROGRA~1\EzButton\CPATR10.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Winamp3\winampa.exe C:\Programme\HP Share-to-Web\hpgs2wnd.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\HP Share-to-Web\hpgs2wnf.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Dokumente und Einstellungen\Heftrich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE O4 - HKLM\..\Run: [CeEKey.exe] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QOELOADER] C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab |
ok, dann beschreibe ich nun mal meine probleme: 1.)wenn ich mit aol online bin (dsl-verbindung) erscheint nach kurzer zeit eine seite(hardcore), dann eine weitere in der ich ein ein modem auswählen soll. schließe ich diese seiten ist auch die aol verbindung unterbrochen. 2.) ich habe seit keinen zugriff auf "software" in der systemsteuerung. das icon ist zwar vorhanden, aber auf anklicken passiert nichts. spybot zeigt dazu folgendes an: Comload: <REG_SETTINGS> (Registrierungsdatenbank-Wert, nothing done) HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Location Dialler: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hardcore Dialler: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Hardcore ich habe das schon unzählige male gelöscht, es erscheint immer wieder. mein hijack this log sieht so aus: Logfile of HijackThis v1.98.0 Scan saved at 17:12:55, on 11.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\shico.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINNT\qservice.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 8.0\waol.exe C:\Programme\AOL 8.0\shellmon.exe D:\SOFTWARE\CWshredder\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O13 - DefaultPrefix: O13 - WWW Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{65CBE6DB-5E15-46A4-8B1A-959DE85677B7}: NameServer = 195.93.69.134 vielleicht kann jetzt jemand helfen danke |
C:\WINNT\shico.exe C:\WINNT\qservice.exe Bitte hier prüfen: http://www.kaspersky.com/de/scanforvirus |
hallo, die shico.exe gehört zu einem kartenlesegerät von hama. die überprüfung von C:\WINNT\qservice.exe bei http://www.kaspersky.com/de/scanforvirus ergab nichts. |
Hi, qservice.exe ist defenitiv irgendeine Malware! Ein Bekannter von mir hatte das Teil auch auf seinem Rechner, unter anderem. Ursprünglich hiess die Datei SHMAN.EXE. Nachdem wir den Task beendet und die Datei aus dem Windows Verzeichnis entfernt hatten, hat mein Bekannter aus versehen (kein kommentar) die Datei ausgeführt. Daraufhin hat sich das Proggie wieder unter anderem Namen installiert. Diesmal eben als QSERVICE.EXE. Keine Ahnung, kannste ja selber mal testen ob sie sich nach dem entfernen und erneutem starten wieder selbst installiert... Wenn Du die Datei mit Notepad öffnest wirst Du am Ende irgendwas mit "..by Anakin..".finden. CU Sadhu |
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe Böse Zum eingegebenen Programm svchost haben wir folgendes Programm gefunden: svchost. Trefferquote: 95,83 % (Resultate) Unbedingt fixen hmm....... |
@ bowle_EQ Zitat:
Du kannst die "C:\WINDOWS\svchost.exe" mit dem online-scan von Kaspersky prüfen. Lass uns das Ergebnis wissen. SD |
Hallo! wer kann mir helfen? ich habe versucht alleine die Adware zu beseitigen, bin aber mit meinem Latein am Ende. Hier ist mein Logfile of Hijack. Kann jemand das auswerten?? Logfile of HijackThis v1.98.2 Scan saved at 18:08:33, on 09.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\Analog Devices\SoundMAX\PmProxy.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\system32\TPWRTRAY.EXE C:\WINDOWS\system32\TFNF5.exe C:\Programme\Toshiba\ConfigFree\NDSTray.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Browser MOUSE\mouse32a.exe C:\Programme\Winamp\winampa.exe C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\NISUM.EXE C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Norton Internet Security Professional\ccPxySvc.exe C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [PmProxy] C:\Programme\Analog Devices\SoundMAX\PmProxy.exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\Toshiba\ConfigFree\NDSTray.exe" O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Danke |
Eröffne bitte einen eigenen Thread ! ! ! |
Zitat:
habs mit hijackthis gefixt weils wohl ein falscher eintrag war. ist n feines tool! |
könnt ihr mir die hijack auslesen hallo, ich habe mit hijack-seiten noch überhaupt keine erfahrung, und hijackthis kann ich auch noch nicht auswerten. kann mir jemand meine log auswerten und vielleicht beschreiben wie ich meinen hijack (ncm search [http://195.225.176.14/]) für immer loswerde? kann ich mich in zukunft davor schützen? hier meine log: Logfile of HijackThis v1.98.2 Scan saved at 14:36:08, on 13.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec\Norton Antivirus\navapsvc.exe C:\WINNT\System32\nvsvc32.exe C:\Programme\System\Kamera\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ScsiAccess.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.exe C:\WINNT\monitor.exe C:\WINNT\system32\dla\tfswctrl.exe C:\PROGRA~1\TOOLS\0190WA~1\WARN0190.EXE C:\WINNT\system32\carpserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\UMonit2k.exe C:\WINNT\msexploren.exe C:\Programme\Tools\Daydisplay\DayDisplay.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayTBar.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\WINNT\system32\taskmgr.exe C:\Programme\System\Maus\System\Em_exec.exe C:\Programme\Tools\SmartSurfer\SmartSurfer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Outlook Express\msimn.exe C:\PROGRA~1\GEMEIN~1\Logitech\WebColct\WebColct.exe C:\WINNT\system32\NOTEPAD.EXE C:\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayBand.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\tools\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayBand.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\TOOLS\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Tools\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [cpl] C:\WINNT\msgaol.exe /i O4 - HKLM\..\Run: [NAVCheck] C:\WINNT\ssvr.exe /i O4 - HKLM\..\Run: [OfficeDeamon] C:\WINNT\cApp.exe /i O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\UMonit2k.exe O4 - HKLM\..\Run: [WinAmpAgent] C:\WINNT\msexploren.exe /i O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [DayDisplay] C:\Programme\Tools\Daydisplay\DayDisplay.exe O4 - HKCU\..\Run: [monitor] monitor.exe O4 - Startup: Taskmanager.lnk = C:\WINNT\system32\TASKMGR.EXE O4 - Startup: Maus.lnk = ? O4 - Global Startup: eBay Toolbar.LNK = C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayTBar.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\CONFLICT.4\eBayBand.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Tools\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Tools\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://dot-jessy.nu-1104381.namezero.com/de/webupdate.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4E0CBF14-B46A-4AFC-9671-0F9A9A3CBE90}: NameServer = 62.104.191.241 62.104.196.134 |
Bitte benutze einen eigenen Thread. Ich verstehe nicht, warum diese Threads nicht geschlossen werden. :dummguck: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board