Fehler während Fix-Prozedur mit HijackThis

#1 Hallo ihr Sicherheitschefs ,
folgendes Prob: ich wollte mit HijackThis einige einträge fixen, aber egal was ich fixen will, das programm bringt folgenden fehler:

---------------------------
HijackThis
---------------------------
An unexpected error has occurred at procedure: cmdFix_Click()

Error #75 - Path/File access error (24 items in results list)



Please email me at merijn@spywareinfo.com, reporting the following:

* What you were doing when the error occurred

* How you can reproduce the error

* A complete HijackThis scan log, if possible



Windows version: Windows NT 5.01.2600

MSIE version: 6.0.2600.0000

HijackThis version: 1.98.0



---------------------------
OK
---------------------------

mich was ich tun kann um die einträge doch noch zu fixen, es ging vorher auch problemlos... der hijacker nervt ziemlich ab, hier mal mein log:

Logfile of HijackThis v1.98.0
Scan saved at 19:25:43, on 27.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\The Bat!\thebat.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\NaT\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {10000030-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\\MAIN.MHT!http://hq-dialer.com/dial.chm?wmid=3304::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q383304.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5595F166-B860-4663-B32B-3A7BBF6B66B6}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{5595F166-B860-4663-B32B-3A7BBF6B66B6}: NameServer = 139.18.25.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{5595F166-B860-4663-B32B-3A7BBF6B66B6}: NameServer = 139.18.25.3


wäre supi wenn ihr da n schlauen tip hättet.

thx NaT

#2 Hallo,

aktualisiere zuerst mal dein System!

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

http://v4.windowsupdate.microsoft.com/de/default.asp

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken. Danach die "kavupd.exe" (Update) ausführen.

In den abgesicherten Modus wechseln und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.

Neustart und neues Log-File posten.

Ps.
Welche Internet Verbindung hast du (DSL,ISDN...)?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 ähm thx 4 hlp aber wenn ich aber mein system net updaten will?

teil 2 hab ich schon ausgeführt, funktioniert aba net

meine inet verbindung is uninetz die O17 einträge

#4

Zitat

ähm thx 4 hlp aber wenn ich aber mein system net updaten will?

Dann handelst du grobfahrlässig und bist eine Gefahr für die Allgemeinheit sprich Internet.
Du beteiligst dich also aktiv und vorsätzlich an der Verbreitung von Malware, ist nicht dein ernst!
Vor was hast du Angst?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 wovor ich angst habe? : das ich vorm dauerndem am pc sitzen n krummen rücken bekomme... oder was meinst du?

ich denke ich ziehe das updaten mal in erwägung hilft mir aber noch net bei meinem problem, warum ich aber vorsätzlich an der verbreitung von malware beteiligt bin entzieht sich aber meinem verständnis

#6

Zitat

ich denke ich ziehe das updaten mal in erwägung hilft mir aber noch net bei meinem problem

Oh doch, es wird dein Problem bzw. die Ursache beseitigen. Lass es mich so sagen, dein System ist momentan offen wie eine Scheunentor.
Der Browser Hijacker den du dir installiert hast, kommt von deinen nicht gepatchten IE, d.h. weder SP1 noch weitere sicherheitsrelevante Patches wurden aufgespielt und von der falschen Konfiguration des IE.
Der IE an sich ist eine Sicherheitslücke, daher Alternativ Browser verwenden wie z.B. Mozilla oder Firefox, sind sicherer und bieten mehr komfort.

Zitat

warum ich aber vorsätzlich an der verbreitung von malware beteiligt bin entzieht sich aber meinem verständnis

Für Malware ist es ein leichtes Spiel, diese Sicherheitslücken die bei dir offen sind auszunützen, um sich dann auf deinen kompromittierten System auf andere Rechner weiter auszubreiten.
Du solltest dir mal ein Sicherheitskonzept zulegen, lies dir bitte diesen Link durch:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 jop thx 4 info, also ich hab nun den hijacker runter und hab mich nun für firefox entschieden.
sp1 lad ich mir morgen mal runter, ist das der richtige link zum sp1 file?

http://download.microsoft.com/download/a/4/c/a4ce1a3b-fac8-4597-be33-c10ced905c3b/xpsp1a_de_x86.exe?1090960418-1090967618-f924bd-C-025e8a0d27107850d109cd70316db3d6.exe

danke für deine hilfe, by the way dein link funktioniert leider nit :/

schönen abend noch

NaT

#8 Der Link zum Sp1a ist goldrichtig.
Hier ist nochmal der Link:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
Ebenfalls einen schönen Abend

Ps
Poste danach nochmal ein Log-File
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 ähm jo mach ich, noch ne frage, hast du ne ahnung was für n tools man sicherheitsmässig laufen lassen sollte um sein system safe zu halten?

atm hab ich norton AV 2004 und ad-watch von adware laufen... anscheinend reicht das ja net aus :/

btw... der link funzt bei mir immer noch net... liegt das jetzt an mir?

#10 Dir sollte klar sein, das deine Viren-,Adware- oder Spywarescanner die letzte Verteidigungslinie in deinem System bzw. des Sicherheitskonzept darstellen. Soweit darf es gar nicht kommen!

Ich geb dir mal einen groben Umriss eines Sicherheitskonzept:
- Eingeschränktes Benutzerkonto erstellen und benutzen
- Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ ,also nach außen hin keine Dienste anbieten
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp und ständig aktuell halten, das gilt auch für jede weitere installierte Software
- IE sicherer konfigurieren und nur zum updaten deines Systems benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Browserwechsel wie z.B. Mozilla oder Firefox, hast du bereits vollzogen
- Image deiner Systempartition erstellen
- Surfverhalten überdenken
- keine Attachments bei eMails öffnen
- kein Outlook verwenden, alternativ Mozilla Thunderbird einsetzen
- Keine nicht vertrauenswürdige Software (z.B. aus dubiosen Quellen) nutzen, nur Original-Software einsetzen
- Downloads mit aktualisierten Virenscanner überprüfen
usw. usw.

Norton AV2004 ist imho sehr ressourcenfressend, aber das mußt du selber beurteilen. Es sollte immer nur ein Virenscanner aktiv zu sein, sonst blockieren sie sich gegenseitig oder es kommt zu unnötigen Fehlermeldungen.

Ps
Der Link funktioniert.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#11 hehe jetzt funktioniert der link ja auch, keine ahnung was da gestern war, server down?

also wenn ich das alles mache, was du mir da freundlicherweise empfohlen hast, dann hätte ich am ende doch noch ne sicherere variante: das netzkabel aus der dose ziehen. (oder glei linux only nutzen )
schon die inet firewall, würde teile meiner internet benutzung stark einschränken

will damit sagen, ich hatte auch mit geringen updates der feinen microsoft produkte fast nie probleme, patches gegen diese rpc sachen muss man natürlich installen. aber ich hab xp ca 2-3 jahre ohne deine sicherheits tips laufen lassen denn meine meinung ist: läuft was, doktore ich da net rum.

email anhänge is klar...
aber surfverhalten einschränken is mal so ne sache, das meine mutti nie n hijacker bekommt is klar, die surft ja nur bei web.de ....
aber wenn man sich heutzutage mal n crack zieht- was ja net verboten is, mich nervts einfach bei meinem broodwar die cd im drive zu lassen- dann bekommst oft so schöne popups (die auch mein popup blocker net schafft) und du bist schon mal n ziemlich sicherer kandidat für browser hijacking...

bis jetzt hab ich alles an verunreinigungen selbst (auf die schulter klopf) wieder hinbekommen und gestern wars net ganz so einfach, weil ich da ein hijacker hatte, der relativ unbekannt war. der is aba nu auch runter.

dennoch werde ich einige deiner tips berücksichtigen (updaten des systems :/ )
aber meinst du net, das du da n bissel die pferde zu scheu machst?

norton AV find ich eigentlich gar net ressourcen fressend ganz im gegenteil, schon mal mc affee ausprobiert?

ich dank dir auf jeden fall für deine unterstüzung und n hijackthis log file kommt dann auch glei.

frage: kann man die patches u. sicherheits updates die man während der online installation runterläd, in irgend nem ordner finden und dann per hand eventuell auf nem anderen system installen (zB pc ohne inet zugang)

so hier mein log: (das dürfte dich nun mehr erfreuen, habs mit hijackthis.deausgewertet und s kam nur gutes )

Logfile of HijackThis v1.98.0
Scan saved at 08:08:21, on 28.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Dokumente und Einstellungen\NaT\Desktop\NichtInstalliert\security-tools+updates\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5595F166-B860-4663-B32B-3A7BBF6B66B6}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{5595F166-B860-4663-B32B-3A7BBF6B66B6}: NameServer = 139.18.25.3



übrigens, das war mein prob: h*tp://www.virus-infected.de/thread.php?threadid=24

#12

Zitat

also wenn ich das alles mache, was du mir da freundlicherweise empfohlen hast, dann hätte ich am ende doch noch ne sicherere variante: das netzkabel aus der dose ziehen. (oder glei linux only nutzen )

Selbst das würde dich nicht schützen, wenn du wiederum nicht vertrauenswürdige Dateien von Cd oder Diskette auf dein System installierst.

Zitat

aber meinst du net, das du da n bissel die pferde zu scheu machst?

Ich denke nicht, wenn jeder sich mit seinem System auseinandersetzen würde, dann könnten sich Würmer wie Blaster, Welchia, Sasser usw. weniger schnell bzw. gar nicht verbreiten, d.h. zeitnahes einspielen von Sicherheitspatches usw siehe oben.

Zitat

aber wenn man sich heutzutage mal n crack zieht- was ja net verboten is, mich nervts einfach bei meinem broodwar die cd im drive zu lassen- dann bekommst oft so schöne popups (die auch mein popup blocker net schafft) und du bist schon mal n ziemlich sicherer kandidat für browser hijacking...

Wenn du dein IE sicherer konfigurierst kann dir schon mal weniger passieren, wie gesagt am besten wäre Alternativ Browser wie Firefox, da bekommst mit Sicherheit keinen Browser Hijacker mehr und wenn doch dann hast du ihn selbst installiert.

Zitat

norton AV find ich eigentlich gar net ressourcen fressend ganz im gegenteil, schon mal mc affee ausprobiert?

Nein, ich erspars mir. Eine sehr gute Alternative wäre KAV.

Zitat

frage: kann man die patches u. sicherheits updates die man während der online installation runterläd, in irgend nem ordner finden und dann per hand eventuell auf nem anderen system installen (zB pc ohne inet zugang)

http://v4.windowsupdate.microsoft.com/de/default.asp?corporate=true

Ps.
Diese zwei Alexa Spyware Einträge solltest du noch fixen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#13 kk so tu ischs mal
dank dir!