Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Software (https://www.dedies-board.de/wbb2/board.php?boardid=15)
-- Windows 2000 / XP (https://www.dedies-board.de/wbb2/board.php?boardid=19)
--- HiJackThis log (https://www.dedies-board.de/wbb2/thread.php?threadid=965)
Geschrieben von madball am 27.10.2005 um 05:51:
HiJackThis log
Hallo an Alle!!
Habe mein Rechner vor 2 Tagen erst aus der Reparatur wieder bekommen.
Mein Medion Notebook MD40100 wurde ziemlich heiß, wodurch ich entschloss es doch mal einzuschicken.
Fehler war dann ein stark verschmutzter Lüfter und ein Software Problem mit dem Treiber (letzteres stand auf der Reparaturkarte!???) egal
Der Rechner wurde mit einem System Recovery Tool wieder in den Auslieferungszustand versetzt. Da ich meinen Rechner immer und viel benötige habe ich sofort angefangen die unnötigen Programme runter zu schmeißen. Hätte "Ihn" doch im Nachhinein neu aufsetzen sollen
Original war auf dem Notebook ETrust AV drauf, den habe ich deinstalliert, aber unter dem HiJackThis.log ist dort immer noch was drin von und ich bekomme es nicht weg. .../CA/SharedCompnets/lic.....
Daten: 2,8 Ghz, 1Gb RAM, WINDOWS XP Home SP1 (find ich besser)
Mein .log jetzt
Logfile of HijackThis v1.99.1
Scan saved at 05:43:48, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis v1.99.1\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D564DF-C60B-451D-9BD4-0922260AE2FC}: NameServer = 10.128.128.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
bin morgen so gen Mittag wieder on und werde das Board besuchen kommen...
Danke im Voraus
p.s mit dem Internet Explorer war ich noch nicht einmal online...
Geschrieben von deoroller am 27.10.2005 um 10:53:
Fixe doch einfach mal im abgesicherten Modus.
Eventuell findest du einen Treiber im Gerätemanager ("ausgeblendete Geräte anzeigen" aktivieren) und dann unter nichtPnP-Treiber gucken.
---------------------------------------------
Brauchst du den ganzen Kram von Adobe und Nero im Autostart?
Dazu noch BHO´s und Toolsbars, obwohl du den IE anscheinend nicht nutzt.
Das wären dann:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (eventuell im Benutzerkonto mit eingeschr. Rechten nötig!)
unnötig sind auch:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
Weitere Sachen zum Fixen, wären dann Sachen, wenn du sie gar nicht selbst nutzt:
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
Dann solltest du mal genau überlegen, ob
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
dich vor Gefahren eher bewahrt oder sogar verunsichert hat und damit neue heraufbeschwört, z.B. durch Fehlbedienung.
Ich hatte die Sygate über ein Jahr am laufen und ich war lange Zeit aufgrund der zahlreichen und wenig durchschaubaren Meldungen verunsichert und es konnten auch keine echten Angriffe abgewehrt werden, weil das BS und die Programme (relativ) sicher konfiguriert sind und stets aktuell gehalten werden. Gegen Gefahren aus dem Inneren des PC kann Sicherheitssoftware nicht wirklich schützen, wenn blindlings Software installiert oder das unkontrollierte Installieren zugelassen wird (z.B. empfohlene Einstellungen anstelle Benutzerdefiniert oder das Übersehen von Adware/Spywarekomponenten, die in der EULA auch noch angekündigt werden) und dann hinterher Anwendungen, die als Wirt dienen, der Zugriff doch erlaubt ist.
Ich habe die Sygate trotzdem bis zum Neuaufsetzen des BS weiterlaufen lassen, um mich mit ihren Abwehrmöglichkeiten auseinanderzusetzen. Sie hat zwar auch gute Ansätze, wie eine umfangreiche Protokollierung des Traffics, geringen Ressourcenbedarf und hohe Kompatibilität. Das hat aber relativ wenig mit Gefahrenabwehr zu tun und ist mit diversen OpenSource- oder Freewaresystemtools auch zu regeln und das mit minimalen Eingriffen in das System.
Dazu war mir die Konfiguration der Filter mit Regeln einfach zu stressig.
Ohne eine korrekte und sinnvolle Konfiguration ist jede Sicherheitssoftware selbst ein Sicherheitsrisiko! Und dazu muss man auch diese noch zusätzlich pflegen und überwachen.
>WINDOWS XP Home SP1 (find ich besser)
Aber nur bis zum 30.06.2006. Danach gibt es nämlich keine Updates/Patches von MS dafür.
Du kannst dich aber schon mal bis dahin auf das Neuaufsetzen vorbereiten, indem du das SP2 oder falls es vorher noch rauskommt, SP3 in die XP-Installations-CD integrierst.
Einfach Updaten kann ja jeder.
Ist keine XP Installations-CD vorhanden (Recovery-CD) solltest du dein frisch aufgesetztes und konfiguriertes XP als Abbild (Image) sichern. Ansonsten wiederholst du die Prozedur immer wieder.
Geschrieben von MobyDuck am 27.10.2005 um 11:35:
Erstmal willkommen on board!
Ich gehe mal davon aus, dass sich die von deo erwähnten BHO's und Toolbars durch diese Recovery-CD automatisch installiert haben. Das ist eine Frechheit.
Du erwähnst etwas von "neu installieren". Falls du die legale Möglichkeit dazu hast, etwa mit einer Win-CD von einem nicht mehr benutzten System, dann tue es. Sonst hast du bei jeder Wiederherstellung des Auslieferungszustandes diesen Mist wieder drauf. Mal abgesehen von den sonstigen Nachteilen dieser Recovery-Lösungen.
Zu ETrust AV: Falls deos Vorschläge nichts bringen sollten, poste bitte den kompletten Pfad und den Dateinamen.
BTW:
Deine Lösung ungepatchtes System / Personal Firewall ist indiskutabel.
Schau dich hier mal ein wenig um:
http://derbilk.de/malware/index.php
http://www.cidres-security.de/
Dann brauche ich mir nicht die Finger wund zu schreiben.
Geschrieben von madball am 27.10.2005 um 15:59:
Hallo,
also erstmal ein fettes Danke für die recht präzisen und genauen Antworten!!!!!! G
Nun unter dem Geräte-Manger unter nichtPnP Treiber (p.s SSDP Dienst ist bereits deaktiviert!?) kann ich nichts finden was ich noch rausschmeißen könnte, zumindest weis ich auch nicht was ich da entfernen bzw deaktivieren kann!???
Mit der Sygate bin ich seid Jahren zufrieden, mich hat auf jeden Fall noch keiner verhaftet!!!
muahhh
Das mit den System Recourcen find ich auch geil bei dem Teil + updaten!!!
Also habe Sachen wie:
• NDIS User Mode I/O driver
• Application Layer Gateway
• LSA Shell (Export Version)
• NT Kernel & System - brauche ich nur für Outlook2003 & Kaspersky update
Deaktiviert!
Aber nun gut man lernt Nie aus. Was könntet Ihr empfehlen??!
Und unter Optionen alles angeschaltet!
„Ist keine XP Installations-CD vorhanden (Recovery-CD) solltest du dein frisch aufgesetztes und konfiguriertes XP als Abbild (Image) sichern. Ansonsten wiederholst du die Prozedur immer wieder.“
Ja ist klar, Danke noch mal für den Tipp, werde mir dann mal soo langsam eine XP SP2 cd besorgen!!! Habe vorher auch immer den PC komplett platt gemacht und neu aufgesetzt. Nur jetzt wo er wieder kam hatte ich kein Bock,….
(hier sollte eigentlich eine Grafik hin, weiß aber nicht mehr wie des geht)
So nun in den abgesicherten Modus:
HiJackThis.log:
Logfile of HijackThis v1.99.1
Scan saved at 15:12:39, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis v1.99.1\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} -
http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D564DF-C60B-451D-9BD4-0922260AE2FC}: NameServer = 10.128.128.1
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Nach dem fixen:
Logfile of HijackThis v1.99.1
Scan saved at 15:21:19, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis v1.99.1\HijackThis.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D564DF-C60B-451D-9BD4-0922260AE2FC}: NameServer = (IP) geändert madball
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
So ich hoffe das ich euren Rat richtig befolgt habe und alles richtig gemacht habe!!!!?
Dieser Wert ist immer noch gesetzt: Ist aber auf der Platte nirgends mehr zu finden, da habe ich schon aufgeräumt. Dürfte eigentlich nichts mehr anhaben…..
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
Mit freundlichen Grüßen
Madball MR
Geschrieben von DerBilk am 27.10.2005 um 16:21:
Hi Madball,
ich beziehe mich jetzt mal nur auf den 023-Service:
| Zitat: |
| Das 'Fixen' eines 023-Eintrages beendet und deaktiviert lediglich einen solchen Dienst. Es ist daher erforderlich, den Dienst entweder manuell oder mit einem entsprechenden Tool aus der Registry zu entfernen. In HijackThis 1.99.1 oder höher kann die Option 'Delete NT Service' unter 'Misc Tools' hierfür genutzt werden. |
|
Quelle:
http://derbilk.de/malware/1_hjtlogtutorial.php#o23
Geschrieben von madball am 27.10.2005 um 16:40:
ahhhh
muss das im abgesicherten Modus durchgeführt werden??
Muss man eigentlich mit HiJackThis immer im abdesicherten Modus arbeiten???
Geschrieben von dedie am 27.10.2005 um 18:15:
| Zitat: |
| Muss man eigentlich mit HiJackThis immer im abdesicherten Modus arbeiten??? |
|
Nicht immer aber es ist immer öfter sinnvoll damit im abgesicherten Modus zu arbeiten.
PS: Welcome on Board
Geschrieben von madball am 27.10.2005 um 23:45:
yes of course thank you dedie!!!
Aber des weiteren bräuchte ich mal euer Wissen ob mein HiJackThis.log jetzt in Ordnung ist!!!???
Danke im Voraus
Geschrieben von dedie am 27.10.2005 um 23:50:
Mal diplomatisch ausgedrückt
"in Ordnung ist ansichtssache" ich würde es mal so formulieren
"es ist akzeptabel"
Geschrieben von deoroller am 27.10.2005 um 23:57:
Einen Dienst kann man auch unter services.msc abschalten und deaktivieren.
Dann ist er zwar noch installiert, aber stillgelegt.
Manche besonders hartnäckige Einträge habe ich meist mit Regcool wegbekommen. Das ist ein erweiterter Registryeditor mit einer erstklassigen Suchfunktion, die alle Einträge eines bestimmten oder mehrerer Suchwörter auflistet und in einem Rutsch die gefundenen Einträge löschen kann.
Nach einem Neustart sollte dann auch wirklich alles davon weg sein.
Aber vorsicht: Vor dem Einsatz die gesamte Registry sichern.
Das kann man zwar mit dem Tool auch (glaube ich) aber sicherer ist das mit ERUNT, weil man damit die Registry auch wiederherstellen kann, wenn Windows nicht mehr startet, und dann nutzt einem eine Sicherung nichts, die nur unter Windows wiederhergestellt werden kann.
Man kann auch einen Systemwiederherstellungspunkt in XP setzten, aber darauf würde ich mich nicht unbedingt verlassen.
Geschrieben von madball am 28.10.2005 um 00:02:
jaa aber ich möchte ehrlich gesagt das dass alles tip top in Ordnung ist!!
Ich weiß ja das es schwierig ist mit Windows aber sollte so schon sein....
best regards
Geschrieben von DerBilk am 28.10.2005 um 08:56:
| Zitat: |
Original von deoroller
Einen Dienst kann man auch unter services.msc abschalten und deaktivieren.
Dann ist er zwar noch installiert, aber stillgelegt... |
|
Kurzer Halb-OffTopic-Einwurf:
Das ist dann aber
genau das Ergebnis, welches sich mittels 'fixen' in HiJackThis auch erzielen lässt. Deswegen mein Hinweis von gestern...
Geschrieben von deoroller am 28.10.2005 um 11:56:
@DerBilk
Das ist aber noch nicht alles gewesen.
Wenn der Dienst, der gelöscht werden soll, in der Diensteverwaltung services.msc aufgeführt wird, kann er mit Delsrv.exe aus dem Windows 2000 Ressourcenkit endgültig gelöscht werden.
Download und Anleitung gibt es
hier