HijackThis-Logfile (aktuellste Version)
4 Beiträge • Seite 1 von 1
HijackThis-Logfile (aktuellste Version)
von narcotic am 20.10.2004, 20:50
Hi,
folgendes Logfile stelle ich hier mal rein zwecks Überprüfung - ich glaub aber, dass alles sauber ist.
Ich hab das Problem, dass mein Anti-Viren-Programm nicht mehr lief, nicht mehr zu deinstallieren und nun auch nicht mehr zu installieren geht.
Rechner ist mit F-Prot aus dem abgesicherten Modus mit Eingabeaufforderung gescanned, nichts gefunden.
Ich hab aber mit einigen anderen Programmen bereits nach adware und Hijackern geschaut, und seit ich den Rechner vor kurzem neu installiert habe, war ich auch nur auf einer Internetseite, wo ich mir überhaupt einen Hijacker gefangen haben könnte (und es auch getan habe, aber sofort entfernt). Mywebsearch
Die letzten beiden Einträge kommen mir allerdings komisch vor
------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 20:41:02, on 20.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\HPHipm09.exe
D:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-watch] "D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v ... te.cab?109
8114483375
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
folgendes Logfile stelle ich hier mal rein zwecks Überprüfung - ich glaub aber, dass alles sauber ist.
Ich hab das Problem, dass mein Anti-Viren-Programm nicht mehr lief, nicht mehr zu deinstallieren und nun auch nicht mehr zu installieren geht.
Rechner ist mit F-Prot aus dem abgesicherten Modus mit Eingabeaufforderung gescanned, nichts gefunden.
Ich hab aber mit einigen anderen Programmen bereits nach adware und Hijackern geschaut, und seit ich den Rechner vor kurzem neu installiert habe, war ich auch nur auf einer Internetseite, wo ich mir überhaupt einen Hijacker gefangen haben könnte (und es auch getan habe, aber sofort entfernt). Mywebsearch
Die letzten beiden Einträge kommen mir allerdings komisch vor
------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 20:41:02, on 20.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\HPHipm09.exe
D:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-watch] "D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v ... te.cab?109
8114483375
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
- narcotic
- Beiträge: 4
- Registriert: 20.10.2004, 19:09
von miezmutz am 21.10.2004, 00:28
Hallo narcotic,
unter http://hijackthis.de/ kannst du dein logfile selbst mal auswerten lassen...
danach sieht es so aus, als solltest du die folgenden mal fixen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
einfach noch mal mit HijackThis scannen, danach Häkchen setzen vor die Einträge, die ich geschrieben habe und anschließend auf Fix Checked klicken
dann nochmal scannen und das aktuelle logfile selbst überprüfen und falls es noch nicht sauber erscheint noch mal hier posten...
Am Ende deiner Auswertung steht noch:
Sie benutzen anscheinend kein Antivirenscanner oder ihr Scanner ist nicht aktiv.
hast du etwa ungeschützten Datenverkehr
unter http://hijackthis.de/ kannst du dein logfile selbst mal auswerten lassen...
danach sieht es so aus, als solltest du die folgenden mal fixen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A197CEB-7467-41EE-BAD6-EE4604D680D0}: NameServer =
217.237.149.161 217.237.151.225
einfach noch mal mit HijackThis scannen, danach Häkchen setzen vor die Einträge, die ich geschrieben habe und anschließend auf Fix Checked klicken
dann nochmal scannen und das aktuelle logfile selbst überprüfen und falls es noch nicht sauber erscheint noch mal hier posten...
Am Ende deiner Auswertung steht noch:
Sie benutzen anscheinend kein Antivirenscanner oder ihr Scanner ist nicht aktiv.
hast du etwa ungeschützten Datenverkehr
- miezmutz
- Moderator
- Beiträge: 2411
- Registriert: 19.07.2004, 13:04
- Wohnort: Rendsburg
von Nikita am 21.10.2004, 16:56
Hallo @narcotic
Fixe mit dem HijackThis\dann neustarten
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
neustarten
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files
# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen
Das eScan AV Toolkit (mwav.exe) herunterladen, (loescht nicht, zeigt nur an)
http://www.rokop-security.de/board/inde ... topic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
mfg
Nikita
Fixe mit dem HijackThis\dann neustarten
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
neustarten
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files
# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen
Das eScan AV Toolkit (mwav.exe) herunterladen, (loescht nicht, zeigt nur an)
http://www.rokop-security.de/board/inde ... topic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
4 Beiträge • Seite 1 von 1
Ähnliche Themen
| spyware: bitte HiJackThis Logfile und Panda Logfile ansehen Forum: Online- und PC-Sicherheit Autor: tovv Antworten: 11 |
HijackThis Logfile Forum: Online- und PC-Sicherheit Autor: CoolCasimir Antworten: 9 |
hijackthis logfile ok? Forum: Online- und PC-Sicherheit Autor: Kim.Ki Antworten: 2 |
Hijackthis Logfile Forum: Online- und PC-Sicherheit Autor: N_Man Antworten: 8 |
logfile von HijackThis Forum: Online- und PC-Sicherheit Autor: slowhand Antworten: 3 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste