|
Hallo, hab mal wieder HijackThis durchlaufen lassen und folgende LogFile erhalten. Könntet Ihr bitte mal gucken, ob da alles i.O. ist bzw. ob da was schädliches drin ist. Vielen Dank im voraus. Gruss Barny ******************************************************************** Logfile of HijackThis v1.97.7 Scan saved at 14:51:18, on 04.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Convar\TaskManager\ctm.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\a2\a2guard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\HardCopy Pro\HardCopy Pro.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\a2\a2guard.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [Soundman] C:\WINDOWS\SOUNDMAN.EXE O4 - Startup: HardCopy Pro.lnk = C:\Programme\HardCopy Pro\HardCopy Pro.exe O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...657.0299189815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab [img]graemlins/bussi.gif[/img] |
Haallooo ........ will mir keiner antworten ???? [img]graemlins/koch.gif[/img] |
</font><blockquote>Zitat:</font><hr />Hallo, hab mal wieder HijackThis durchlaufen lassen </font>[/QUOTE]Vllt. hast du etwas in Erinnerung vom letzen Mal ;) </font><blockquote>Zitat:</font><hr />Haallooo ........ will mir keiner antworten ???? </font>[/QUOTE]Es ist WE,das Wetter ist schön und alle sitzen VOR dem PC um auf wiederholte Fragen zu antworten [img]tongue.gif[/img] Möchtest du BITTE mal hier schauen HJT Anleitung Und dann kannst du noch im HJT unter " Info for selected Item " schauen |
Nun denn, hab mir mal die HijackThis Anleitung reingezogen und soweit ich das verstehe, dürfte in meiner Log-File wohl nichts gravierendes drin sein. Außer zu den nachfolgenden Zeilen, konnte ich keine Erklärung finden: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab Kann mir da mal jemand sagen, was diese Einträge bedeuten. Gruss Barny :rolleyes: |
</font><blockquote>Zitat:</font><hr /> Kann mir da mal jemand sagen, was diese Einträge bedeuten. </font>[/QUOTE]Hallo barny - Erklärung steht da ;) </font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf </font>[/QUOTE]R0, R1, R2, R3 - Internet Explorer Start- /Suchseiten Beispieleinträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R2 - (this type is not used by HijackThis yet) R3 - Default URLSearchHook is missing Was zu unternehmen ist: Handelt es sich bei der URL am Ende des Eintrags um eine bekannte, bzw. selbst ausgewählte Seite oder Suchmaschine ist der Eintrag OK. Handelt es sich um einen unbekannten Eintrag, sollte dieser mit HijackThis gefixt werden. Einträge unter 'R3' sollten immer gefixt werden, es sei denn, es wird ein bekanntes Programm erwähnt (z.B. Copernic). ............................................... </font><blockquote>Zitat:</font><hr /> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx </font>[/QUOTE]O3 - Internet Explorer Werkzeugleiste (Toolbar) Beispieleinträge: O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL Was zu unternehmen ist: Ist der Name der Toolbar unbekannt, kann in TonyK's BHO & Toolbar List anhand der Class ID ('Class Identifier' -> Zahlen-/Buschstabenkolonnen in geschweiften Klammern {} ) ermittelt werden, ob es sich um einen 'guten' oder 'schlechten' Eintrag handelt. In dieser Toolbar List, bedeutet 'X' Spyware und 'L' sicherer Eintrag. Wenn sich ein gesuchter Eintrag nicht in der Liste befindet, der Name aus zufälligen Zeichen besteht und sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet (wie der untere Beispieleintrag), handelt es sich sehr wahrscheinlich um Lop.com und sollte zwingend mit HijackThis gefixt werden. ................................................. </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k </font>[/QUOTE]O4 - Autostartaufrufe aus der Registry Beispieleinträge: O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: winlogon.exe Was zu unternehmen ist: In PacMan's Startup List den Eintrag suchen und feststellen, ob dieser als 'gut' oder 'schlecht' gekennzeichnet ist. Befindet sich der Eintrag in einer 'Startup-Gruppe' (wie der untere Beispieleintrag), kann HijackThis diesen Eintrag nicht fixen, solange sich dieser im Speicher befindet. Mit dem 'Windows Task Manager' (TASKMGR.EXE) muss ein solcher Prozess zunächst beendet werden, bevor er gefixt werden kann. ................................................. </font><blockquote>Zitat:</font><hr /> O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab </font>[/QUOTE]O16 - ActiveX-Objekte (auch bekannt als Downloaded Program Files) Beispieleinträge: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Was zu unternehmen ist: Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Javacool's SpywareBlaster beinhaltet eine große Datenbank gefährlicher ActiveX-Objekte. Dieses kostenlose Tool kann bequem nach CLSID's ('Class Identifier' -> Zahlen-/Buschstabenkolonnen in geschweiften Klammern {} ) durchsucht werden. Dies geschieht mit einem Rechts-Klick in die Liste zum Öffnen der Suchen-Funktion. |
Hallo Nangie, danke erstmal. Die R1 + O3 Einträge konnte ich finden und feststellen, dass harmlos. 016 ist ein Online Scan von Housecall Was ist jedoch mit O4 – nach was muss ich denn in der „Startup Applications List“ suchen? Gruss Barny [img]graemlins/bussi.gif[/img] |
Gern geschehen barny [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr /> Was ist jedoch mit O4 – nach was muss ich denn in der „Startup Applications List“ suchen? </font>[/QUOTE]z.B. gibst du das in die Startup Applications List ein : C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg und mal sehen sehen ob dein PC überlebt oder nicht [img]graemlins/crazy.gif[/img] nein - Quatsch - gib es ein und lese [ 07. Juni 2004, 12:11: Beitrag editiert von: Nangie ] |
Also wenn ich "C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg" eingebe - findet er nischt. Wenn ich nur "VOBREGCheck.exe" eingebe - bringt er mir folgendes: "Part of Pinnacle Systems InstantCD/DVD and InstantCopy CD/DVD copying software that verifies drive settings. Once loaded it doesn't use any resources so you can leave it enabled" Ich denke, das kann bleiben. Was ist denn mit den ganzen exe-Files am Anfang der LogFile. Sollte ich die mal Online auf Viren scannen lassen? Gruss Barny [img]graemlins/balla.gif[/img] |
Habe auch mal "C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg" eingegeben - Ergebnis > Klick Ein Onlinescan kann nicht schaden ;) Ein bisserl viel EXE Dateien hast du IHMO - mal horchen was die Profis dazu sagen - ich möchte dir da nix falsches raten :rolleyes: |
Naja - dieses Bildchen hab ich auch gesehen, aber was sagt mir das - werd nicht schlau draus ??? Die Bitte an die Experten, was die exe-Dateien angeht - seht Ihr da was Verdächtiges ??? Gruss Barny [img]graemlins/party.gif[/img] |
Hallo ich bin´s nochmal. :cool: Leider hat sich noch niemand zu meiner Frage bezüglich der exe-File´s in meiner LogFile geäussert. Möchte nochmal drum bitten. [img]graemlins/kloppen.gif[/img] Habe die mir unbekannten File´s fett markiert, vor allem die „lsass.exe“ beunruhigt mich doch sehr. Es muss doch jemand geben, der sich mal dazu äussert und wenn es nur Bullsh**t ist, was ich hier schreibe, dann sagt mir dass, dann weiss ich woran ich bin. [img]graemlins/koch.gif[/img] *********************************************************************************************** Logfile of HijackThis v1.97.7 Scan saved at 17:33:00, on 18.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Convar\TaskManager\ctm.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\a2\a2guard.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\a2\a2guard.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\Downloads\HijackThis.exe |
Hallo barny, du kannst nicht (oder besser solltest nicht) erwarten, dass dir hier jemand sämtliche bei Deinem Rechner laufenden Prozesse vorbetet. Schau als erstes mal in die jeweiligen Dateieigenschaften, ob der Zweck der Datei nicht zu erkennen ist. Falls das nichts bringt, solltest Du mal auf http://www.reger24.de/prozesse.html nachsehen. Ist die Datei dort nicht gelistet, hilft Dir evtl. ein Blick unter http://www.sysinfo.org/ in der Startup-Info. Wenn dann noch ein oder zwei Prozesse übrig bleiben, die Du nicht zuordnen kannst, kannst Du diese noch einmal gezielt nachfragen... |
Hallo Lutz, werd ich gerne machen. Man muss halt nur wissen, wo man suchen muss. [img]graemlins/aplaus.gif[/img] Auf der anderen Seite dachte ich, dass man anhand des Datein-Namens sofort erkennen kann, ob die Datei schädlich oder notwendig ist - quasi so aus dem Stehgreiff. [img]graemlins/sleepy.gif[/img] Danke also erstmal. [img]graemlins/party.gif[/img] Gruss Barny |
Nochmal ne Frage, damit ich´s richtig verstehe. [img]graemlins/headbang.gif[/img] Wenn ich z.B. in der lsass.exe Datei unter Eigenschaften nachsehe, sehe ich den Install.-Pfad, Erstell.-Dat., Änd.-Dat., letzter Zugriff und die Datei-Attribute. Woran erkenn ich nun, welchen Zweck die Datei hat; bzw. ob sie schädlich ist? Wenn ich in der “Prozess-Liste (reger24)“ suche, erhalte ich folgende Meldung: „You cannot end this process from Task Manager....usw“ D.h. doch ich kann den Prozess nicht beenden, weil dieser von WIN benötigt wird – oder ? Wenn ich nun wiederum in der „Startup Applications List“ nachsehe, bekomme ich folgende Anzeige: Status „X“ (bedeutet doch gefährlich) und die Description: „Added as a result of the RATSU.B VIRUS! Note - this is not the legitimate Lsass.exe system file should normally NOT figure in Msconfig/Startup!“ Was heisst das für mich – mein Englisch ist nicht so toll. [img]graemlins/balla.gif[/img] Ich hoff ich frag nicht wieder zu blöd oder zuviel [img]graemlins/dummguck.gif[/img] Gruss Barny |
</font><blockquote>Zitat:</font><hr /> Wenn ich z.B. in der lsass.exe Datei unter Eigenschaften nachsehe, sehe ich den Install.-Pfad, Erstell.-Dat., Änd.-Dat., letzter Zugriff und die Datei-Attribute. Woran erkenn ich nun, welchen Zweck die Datei hat; bzw. ob sie schädlich ist? </font>[/QUOTE]lsass.exe vllt.hilft dir das etwas weiter ... </font><blockquote>Zitat:</font><hr /> Ich hoff ich frag nicht wieder zu blöd oder zuviel </font>[/QUOTE]Quatsch - Hauptsache es bleibt auch was hängen [img]tongue.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board