mein Hijack-Logfile

von **douceange** am 29.04.2004, 23:17

hi,

ich hoffe ihr könnt mir helfen. ich hab heute das erste mal mit hijack gearbeitet und tu mir noch ein bischen schwer. ich hab gesehen dass es hier leute gibt die sich damit auskennen. bitte bitte helft mir, ich möcht meinen pc bereinigen! das wäre super nett von euch.

Logfile of HijackThis v1.97.7
Scan saved at 22:50:29, on 29.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\norton internet security\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\antivir 6.24.00.10\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\antivir 6.24.00.10\AVGUARD.EXE
D:\antivir 6.24.00.10\AVWUPSRV.EXE
D:\norton internet security\ccPxySvc.exe
D:\norton2003\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
D:\desktimer\Desk-Timer\DeskAlarm.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\hijack this 1.97\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\acrobat reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\norton2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\norton2003\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] D:\antivir 6.24.00.10\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] E:\test\PICOZI~1\PICOZIP\PicoZipTray.exe
O4 - Startup: Wallpaper Aktualisieren.lnk = D:\desktimer\Desk-Timer\Desk-Timer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0625CF-7EC9-4E8B-BFD1-B1E982546289}: NameServer = 195.34.133.19,195.34.133.20

von **douceange** am 30.04.2004, 09:20

mag mir keiner helfen ? :cry:

hab ich was falsch gemacht ? :?:

von **Nikita** am 30.04.2004, 10:22

Nein, ist alles o.k. ich schaue es mir an .
Nikita

von **Nikita** am 30.04.2004, 10:31

Zuerst laedst du folgende Tools:

Lade den CWShredder (von dieser Site laden )
http://board.protecus.de/showtopic.php?threadid=9373

Lade Search&Destroy ...updaten.
http://www.snapfiles.com/get/spybot.html

Lade AdAware....updaten.
http://download.com.com/3000-8022-10214 ... ag=lst-3-8

Lade Antiviren-Tool:
http://www.soft411.com/company/MicroWor ... oolkit.htm

bei diesem Downoad akzeptierst du <save to disc< und suchst dann die mwav.exe ...entpacken

http://www.clearprog.de/

-----------------------------------------------------------------------------------------------------------------------------------------
Mit dem HijackThis fixt du folgendes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/

O4 - HKCU\..\Run: [PicoZip] E:\test\PICOZI~1\PICOZIP\PicoZipTray.exe

Dieses Programm PicoZip solltest du nach dem Booten deinstallieren !
der Disclaimer muss nicht raus, hast du recht ....

Dann machst du den Computer aus , bootest .

Dann scannst du den Computer mit dem AdAware, dem Search&Destroy (alles vorher aktualisieren, updaten), dem CWShredder und dem mwav.

Dann saeuberst du mit dem ClearProg den Browser und stellst unter Internet-Optionen die Startseite neu ein.

(du solltest nich zwei Virenscanner haben, soweit wie ich denke , hast du eventuell den Aveguard und was von Norton.
Der Aveguard (antivirus free) ist gut, aber er vertraegt sich nicht mit anderen Virenscannern.... der Comp. wird extrem langsam und friert ein ....
Schreib mal , was du konkret hast, damit ich keine sinnlosen Ratschlaege gebe,

POSTE DEIN LOG NOCH EINMAL

MfG
Nikita

von **douceange** am 30.04.2004, 10:38

super danke Nikita,

werd ich gleich machen. kleine FRage vorher: wieso soll ich den Desktimer auch fixen? ist ein programm das ich immer wieder verwende. oder vermutest du dahinter was? (geht es dann noch)

ich hab wirklich keine Erfahrungen bis jetzt sammeln können... :cry:

booten = neustarten?

welches ClearProg?

was ist eigentlich das 04 - dumprep?
04 - ctfmon
04 - osa.exce
017

sind die "gesund" oder "normal"

von **Nikita** am 30.04.2004, 10:39

fixen bedeutet beim HijackThis nicht loeschen...der HijackThis loescht nichts.
So kommt es nur aus dem Autostart.

http://www.clearprog.de/ hab ich vergessen...

das 04 - dumprep .. ....dein Comp. ist wohl mal abgestuerzt ....kannst du auch aus dem Autostart nehmen.

Start<Ausfuehren<msconfig reinschreiben <Systemstart...den Haken dafor rausnehmen und neustarten (booten)

booten ist neustarten...
Nikita

von **douceange** am 30.04.2004, 10:44

hier nochmal mein Hijack

Logfile of HijackThis v1.97.7
Scan saved at 10:42:27, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\norton internet security\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\antivir 6.24.00.10\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\antivir 6.24.00.10\AVGUARD.EXE
D:\antivir 6.24.00.10\AVWUPSRV.EXE
D:\norton internet security\ccPxySvc.exe
D:\norton2003\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
D:\desktimer\Desk-Timer\DeskAlarm.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\hijack this 1.97\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\acrobat reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\norton2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\norton2003\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] D:\antivir 6.24.00.10\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] E:\test\PICOZI~1\PICOZIP\PicoZipTray.exe
O4 - Startup: Wallpaper Aktualisieren.lnk = D:\desktimer\Desk-Timer\Desk-Timer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0625CF-7EC9-4E8B-BFD1-B1E982546289}: NameServer = 195.34.133.19,195.34.133.20

mir wurde zu diesen Programmen geraten,

von anfang an hatte ich Norten 2003, der fand aber NIE etwas daher wurde ich skeptisch und hab jetzt am PC

trojancheck
adaware
antivir
spyware blaster

ich werd mal fixen

von **Nikita** am 30.04.2004, 10:46

ICH wollte das GEREINIGTE LOG ...bitte

Lade also genau die Programme, die ich gepostet habe, reinige den Comp. , deinstalliere PicoZip wie erklaert und dann poste das Log noch einmal.

Du hast einen Hijacker , der deine Startseite verstellt, keinen Virus und keinen Trojaner...

Kannst den Firefox als Zweitbrowser laden, ist viel scneller und sicherer, als der IE (den musst du aber trozdem immer aktualisieren)
http://www.firebird-browser.de/

Nikita

von **douceange** am 30.04.2004, 11:48

hallo, ich hab alle Programme ausgeführt und noch ein Logfile erstellt.

Logfile of HijackThis v1.97.7
Scan saved at 11:41:45, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\norton internet security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\antivir 6.24.00.10\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\antivir 6.24.00.10\AVGUARD.EXE
D:\antivir 6.24.00.10\AVWUPSRV.EXE
D:\norton internet security\ccPxySvc.exe
D:\norton2003\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
D:\hijack this 1.97\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\acrobat reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\norton2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\norton2003\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] D:\antivir 6.24.00.10\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0625CF-7EC9-4E8B-BFD1-B1E982546289}: NameServer = 195.34.133.19,195.34.133.20

picozip hab ich noch nicht deinstalliert. weisst du welches Programm das ist ?
ich hab echt keinen Virus? und keinen Trojaner?

freu

von **Nikita** am 30.04.2004, 11:55

PicoZip solltest du loeschen ...wozu brauchst du denn das ? Und es ist potenzielle Spyware.
-------------------------------------------------------------------------------------
Hab ich im Net gelesen:
I couldn't identify this. If you know what it is and that it is safe, leave it alone. If you don't, find the file and check Properties to see what it says.

O4 - HKCU\..\Run: [PicoZip] C:\PROGRA~1\PicoZip\PicoZipTray.exe

I also recommend fixing this. It may be okay, but it will get restored when you visit the site again if it is:
-----------------------------------------------------------------------------------

Jetzt ist es ja aus dem Autorun raus., aber es muss auch geloescht werden .
Hatben denn die Tools irgendetwas angezeigt ??

Einen Virus oder Trojaner hast du nicht drauf.
Oder bemerkst du irgendetwas , was nicht "normal" ist ?

Dein Log ist sauber .

Hast du wirklich den ADAware und Search&Destroy und mwav.exe geladen ???

Kannst den Firefox als Zweitbrowser laden, ist viel scneller und sicherer, als der IE (den musst du aber trozdem immer aktualisieren)
http://www.firebird-browser.de/

Pass auf , dass dein Comp. nicht einfriert, weil du neben Symantec noch den AntiVir draufhast. Der Antivir vetraegt sich normalerweise nicht mit anderen Virenscannern.

Nikita

von **douceange** am 30.04.2004, 12:09

vielen Dank,

ich hab wirklich alle Programme ausgeführt

es hat nur adware was gefunden. 3 infizierte Dateien (glaub es waren viren) bin mir aber nicht mehr sicher.

es ist nur so dass immer wieder ein virus gefunden wird von ad-ware und das ohne dass ich das Programm starte. dann sag ich ihm verschieben und später ist es wieder da.

firefox hab ich mir auch schon geladen. es gibt ja noch einen IE ausser Microsoft und Firefox. welcher ist denn da am besten? vielen Dank
was meinst du mit einfrieren?

das Programm Picozip find ich bei den Programmen net... :?:

von **Nikita** am 30.04.2004, 12:38

Es gibt noch mehr Browser, aber Firefox ist der Beste.

Geh mal in den abgesicherten Modus ...Comp. ausschalten und beim Hochfahren F8 druecken...dann waehlst du abgesicherter Modus.
Mache dort den Scann mit AdAware.

Oder du schaust, was AdAware anzeigt, d.h. wo die 3 Spyware sind und suchst dann mit der Suchfunktion vom Computer diese Datei und loescht sie.

Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"

Hast du schon diese PicOZip geloescht ?

Nikita

von **douceange** am 30.04.2004, 12:49

picozip kann ich einfach nciht löschen. ich hab nochmal bei den Programmen nachgeschaut, dort war es aber nicht aufgelistet, dann hab ich den PC danach suchen lassen und hab jetzt einfach mal den ganzenOrdner genommen und gelöscht.

was meinst du mit PC einfrieren?

von **Nikita** am 30.04.2004, 13:14

PicoZip ist also geloescht ?

Einfrieren bedeutet, wenn der Computer immer langsamer wird, und ploetlich sich die Maus nicht mehr von der Stelle ruehrt.

Hast du schon entdeckt, wo AdAware die 3 Spyware aufgespuert hat ?
Diese Dateien musst du dann suchen und loeschen.
Nikita

von **douceange** am 30.04.2004, 13:23

naja gelöscht ich hoffe sie ist auch deinstalliert aber ich denk schon denn sonst hätte der PC eh schon gemerkert oder?

ich hab adware noch mal laufen lassen aber jetzt findet er nichts mehr :lol:

mein Hijack-Logfile

mein Hijack-Logfile

Ähnliche Themen

Wer ist online?