Hijackthis Website zum Auswerten der Logs °°Hier keine eigenen Logs posten°°

#16 Vielen Dank Matze!!!

Gruß Legato

#17 hab noch was unbekanntes gefunden:
C:\WINDOWS\SYSTEM\PSTORES.EXE
danke

#18 PSTORES.EXE ist hinzugefügt. Was es ist kannst du hier nachlesen.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de

#19 Inzwischen habt ihr es auch auf Englisch/Franzoesisch uebersetzt. Nun kann der Traffic kommen!

by the way: Hast du nicht ein Franz/englisch sprachiges Forum zur Hand?
__________
MfG Ralf
SEO-Spam Hunter

#20 Englisches Forum: http://forums.spywareinfo.com/
Ein Französisches kenne ich leider nicht.
Wenn hier im Forum einer Lust hat HijackThis.de in andere Sprachen zu übersetzen, dann kann er mich gerne Kontaktieren. Ich schicke dann das Übersetzungsfile zu.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de

#21 Folgender Eintrag wurde von der Auswertung einfach ignoriert:

O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Warum ? Klingt irgendwie gefährlich: "auhook" :-(

Gruß Sniek
[/img]

#22 O20, O21 und O22 Einträge habe ich noch nicht eingebaut. (Habe gerade erst gesehen, dass es die ja seit HijackThis 1.98 neu gibt.) -
Werde das nachholen.

Zu deiner Frage:
"HijackThis benutzt eine Whitelist verschiedener 'SSODL'-Einträge. Wird ein solcher Eintrag im Log angezeigt handelt es sich um einen unbekannten Eintrag, der >>möglicherweise<< schadhaft ist.
Hier gefundene Einträge sollten mit besonderer Vorsicht behandelt werden."

Edit:
Um diese Einträge (O20-O22) auch auswerten zu können, muss ich wissen was die Einträge genau machen, wann diese angezeigt werden und natürlich wie man erkennt ob es positiv oder negativ ist.
Kennt sich mit diesen Einträgen schon jemand aus?
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de

#23 Also wirklich dass ist ein echt gutes prog...
hätt aber leider noch ein paar unbekannte files...kann mir da bitte jemand weiterhelfen??

O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINDOWS\System32\wuamagr32.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINDOWS\System32\pctspk.exe
C:\OfficeScan NT\ntrtscan.exe

Vielen Dank.
tysia

#24 Wurm(gaobot?):
C:\WINDOWS\System32\wuamagr32.exe

Hat wohl was mit deinem Modem zu tun:
C:\WINDOWS\System32\pctspk.exe

Hast du Trend Micro als Virenscanner:
C:\OfficeScan NT\ntrtscan.exe

Ist Standardmaessig auf Del Rechnern installiert(notebook?):
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Dell\AccessDirect\dadapp.exe

ICQ ist halt ICQ :

C:\Programme\ICQ\Icq.exe -trayboot
__________
MfG Ralf
SEO-Spam Hunter

#25 Hey, tolle Idee mit der Selbstauswertung!

"Gut" ist bei mir:

D:\Programme\Star Downloader\stardown.exe (Download-Manager) &

O4 - HKCU\..\Run: [Star Downloader] D:\Programme\Star Downloader\stardown.exe (Ist halt bei mir im Auto-Start)

Außer die kostenlose Version des Stardownloader behinhaltet Spyware, die weder von Adaware, noch Spybot etc. gefunden werden...

Völlig überfragt bin ich allerdings hier:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Gehe aber davon aus, daß es nichts fieses ist

Grüße

Nada

#26 >O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
Klick mal auf den "Resultate"-Link bei der Auswertung. Dort siehst du welche Dateien gefunden wurden. Der Eintrag ist dabei. Warum er aber bei der Auswertung nicht erkannt wird, weiß ich selbst nicht.

>O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
>C:\Programme\Dell\AccessDirect\DadTray.exe
>C:\Programme\Dell\AccessDirect\dadapp.exe
Hinzugefügt, Dell.
>C:\WINDOWS\System32\pctspk.exe
Hinzugefügt, Modemtreiber
>C:\OfficeScan NT\ntrtscan.exe
Hinzugefügt, TrendMicro Office Scan
>C:\WINDOWS\System32\wuamagr32.exe
Hinzugefügt (BÖSE), Wurm
>D:\Programme\Star Downloader\stardown.exe
>O4 - HKCU\..\Run: [Star Downloader] D:\Programme\Star Downloader\stardown.exe
Hinzugefügt, Download Manager

>O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Unnötig, weil nichts aufgerufen wird. -(no file)- Kann bedenkenlos entfernt werden.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de

#27 Hi leute!
also das mit der automatischen auswertung ist echt klasse!
allerdings hätte ich dazu eine frage:
C:\Programme\SYBEX Personal Firewall\sos.exe Böse
das ist ein prozess meiner firewall! wieso ist der böse?

dann noch folgende unbekannte prozesse, weiß wer was darüber?:

C:\WINDOWS\jimjnzga.exe Unbekannt
Unbekannt Laufender Prozess. (jimjnzga.exe)
Dies ist ein unbekannter Prozess.
C:\WINDOWS\xjdgplqr.exe Unbekannt
Unbekannt Laufender Prozess. (xjdgplqr.exe)
Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\SOSsrv.exe Unbekannt
Unbekannt Laufender Prozess. (SOSsrv.exe)
Dies ist ein unbekannter Prozess.

O4 - HKLM\..\Run: [90ae34.exe] 90ae34.exe Unbekannt
Unbekannt Zum eingegebenen Programm 90ae34.exe haben wir folgendes Programm gefunden: Kein. Trefferquote: 7,14 % (Resultate) Nicht bekanntes Programm.

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6E7233-0BE3-4999-8FA3-4C6F0057CD0F}: NameServer = 195.3.9 Eventuell Böse
Eventuell Böse
außerdem kann ich SMSS.EXE weder beenden noch löschen, da er ein "kritischer Systemprozess ist"
schon im vorhinein danke!

#28 >C:\Programme\SYBEX Personal Firewall\sos.exe
Wird nun als Gut erkannt. Einträge á la "O4 - [Sos] sos.exe" stehen für den Phillis Virus, deshalb wurde es irrtümlich als böse erkannt.

>C:\WINDOWS\jimjnzga.exe
>C:\WINDOWS\xjdgplqr.exe
>O4 - HKLM\..\Run: [90ae34.exe] 90ae34.exe
Sind mit Sicherheit böse. Checke die mal hier: http://www.kaspersky.com/remoteviruschk

>C:\WINDOWS\System32\SOSsrv.exe
Sieht nach einem Bestandteil deiner Firewall aus. Guck dir mal die Dateieigenschaften an.

> O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6E7233-0BE3-4999-8FA3-4C6F0057CD0F}: NameServer = 195.3.9
Nicht böse.

>außerdem kann ich SMSS.EXE weder beenden noch löschen, da er ein "kritischer Systemprozess ist"
Warum willst du die löschen??? smss.exe wird definitiv benötigt, da es ein bestandteil von Windows ist. Poste doch mal den _kompletten_ Eintrag.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de

#29 hi!

ich habe jetzt einiges gefixt. danke für die hilfe
nun sollte alles ok sein


Logfile of HijackThis v1.98.2
Scan saved at 17:10:31, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
F:\AntiVir\AVWUPSRV.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\RhinoSoft.com\AllegroSurf\NetMonNT.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\FireFox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Registry Clean Expert\RCScheduler.exe
F:\AntiVir\AVWIN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Widmann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://wc3online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {130E3E4E-380C-4EED-9B3C-99B4A9C388E1} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {130E3E4E-380C-4EED-9B3C-99B4A9C388E1} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {4A00ECBC-333A-4D14-B4A4-B084C76E0548} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://81.10.189.233/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6E7233-0BE3-4999-8FA3-4C6F0057CD0F}: NameServer = 195.3.96.67 195.3.96.68



nur noch das: also ich habe mozilla firefox, weiß nicht ob du dich da auskennst und seit heute "hüpfen" bei mir einige seiten rauf und runter. als ob ich die ganze zeit im sekundentakt rauf und runterscrollen würde... weißt du was das sein könnte?

#30 >O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
Unnötig

>nur noch das: also ich habe mozilla firefox, weiß nicht ob du dich da auskennst und seit heute "hüpfen" bei mir einige seiten rauf und runter. als ob ich die ganze zeit im sekundentakt rauf und runterscrollen würde... weißt du was das sein könnte?
Ich habe zwar auch den Firefox, weiß aber auch nicht warum das passiert.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de