hijackthis.log --> hab aber keine ahnung was damit anzufangen

#0
06.09.2004, 01:08
Member

Themenstarter

Beiträge: 19
#16 also habs jetzt irgendwie hinbekommen dass er alles durchmacht.

das folgende sind all die einträge mit "no action taken"


Mon Sep 06 00:02:24 2004 => File C:\Dokumente und Einstellungen\Huber\Desktop\hijackthis\backups\backup-20040905-172525-877.dll tagged as not-a-virus:pornWare.Dialer.DialWeb. No Action Taken.


Mon Sep 06 00:43:08 2004 => File C:\WINDOWS\Downloaded Program Files\WebRecomendada.dll tagged as not-a-virus:pornWare.Dialer.DialWeb. No Action Taken.
Dieser Beitrag wurde am 06.09.2004 um 23:26 Uhr von chrischtbaum editiert.
Seitenanfang Seitenende
06.09.2004, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 @chrischtbaum

Loesche manuell:

Einstellungen\Huber\Desktop\hijackthis\backups\backup-20040905-172525-877.dll
Also loesche das BackUp vom HijackThis.
C:\WINDOWS\Downloaded Program Files\WebRecomendada.dll

und loesche die Dialer (nicht in der Quarantaene von Symantec lassen (!) ;)
_________________________________________________________________________-
#Loesche in Windows und der Registry, was ich dir schon geschrieben hatte.
"nCase" verbraucht ...80-100MB Speicher.

Gehe in die Registry
Start<Ausfuehren<regedit
loesche auf der rechten Seite der Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb HKEY_CURRENT_USER\Software\180solutions.

neustarten

#Loesche:
C:\WINDOWS\System32\cuxhdl.exe
Msbb.exe
delmsbb.exe,
dnxf.exe
delmsbb.exe
ncmyb.dll
______________________________________________________________________
Beim naechsten Durchlauf mit mwav.exe muesste dann alles sauber sein.

#Dann poste das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 01:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 01:17
Member

Themenstarter

Beiträge: 19
#18

Zitat

Sabina postete
"nCase" verbraucht ...80-100MB Speicher.

Gehe in die Registry
Start<Ausfuehren<regedit
loesche auf der rechten Seite der Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb HKEY_CURRENT_USER\Software\180solutions.

neustarten

#Loesche:
C:\WINDOWS\System32\cuxhdl.exe
Msbb.exe
delmsbb.exe,
dnxf.exe
delmsbb.exe
ncmyb.dll

#suche nach allen Eintraegen von : nCase (mit der Suchfunktion von Windows) und loesche sie.


mfg
Sabina
alle diese einträge habe ich nicht gefunden, weder diese in der registry noch im system32 ordner!


ist das gut oder schlecht?
Seitenanfang Seitenende
06.09.2004, 01:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Vor oder nach dem Scann mit mwav.exe ?

O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe

Post unbedingt noch mal das neue Log vom HijackThis ;)

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 01:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 01:27
Member

Themenstarter

Beiträge: 19
#20 nach dem scan mit mwav.exe!

dort wo ich folgende datei gelöscht habe hat es noch mehrere backups... diese auch löschen?


Einstellungen\Huber\Desktop\hijackthis\backups\backup-20040905-172525-877.dll


diese datei ( C:\WINDOWS\Downloaded Program Files\WebRecomendada.dll ) finde ich auch nicht!


die quarantäne habe ich gelöscht!

und wie geseagt finde ich all die anderen dateien nicht!

dies ist die aktuelle log vom hijackthis:





brauche ich nerocheck,quicktime und directCD?
und der nokia pc suite muss eigentlich auch nicht jedes mal geladen werden!
Dieser Beitrag wurde am 06.09.2004 um 23:26 Uhr von chrischtbaum editiert.
Seitenanfang Seitenende
06.09.2004, 01:35
...neu hier

Beiträge: 4
#21 @ Sabina

Sagen wir es so, habe den abgesicherten Modus noch nie benutzt, also dort auch nie mit antivir gescannt. :-) Wo ist der Unterschied zum normalen Scan, sollte ich diesen Scan unbedingt durchführen?

Benutze gerade eben den Trend Micro Online-Scan...
Seitenanfang Seitenende
06.09.2004, 01:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 @DonM
Im abgesicherten Modus hat man Administratorenrechte , gleichzeitig laufen viel weniger Programme.
Weil du im Normalmodus gescannt hast, ist bestimmt deshalb der PC immer abgestuerzt.
__________________________________________________________________________
#TemporaryIntenetfiles loeschen:
Loesche die Files mit <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
_______________________________________________________________________
Vermutlich hast du die Dateien im Windows Explorer gesucht. Dieser ist von Haus aus so eingestellt, das er versteckte Dateien nicht anzeigt. Öffne den Windows Explorer. Unter dem Punkt Extras findest du den Unterordner Ordneroptionen. Wähle diesen an. Markiere nun <alle Dateien anzeigen<. Danach kannst du das Fenster wieder schliessen.
Nimm das Haekchen auch raus vor: geschuetzte Dateien ausblenden.

In der Suchfunktion von Windows stelltst du ein: auch in versteckten Ordnern suchen.
Du hast doch bestimmt noch diesen Ordner:
C:\WINDOWS\Downloaded Program Files\WebRecomendada
dort mueste die dll sein.

Scanne noch mal mit mwav.exe (hoffentlich gibts keine Abstuerze mehr) und poste, was noch angezeigt wird.


Ds musst du noch fixen: ;)
O4 - Global Startup: MSN Messenger 6.2.lnk = ?

Der Eintrag ist unnötig und kann entfernt werden!
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?

Aus dem Autostart kannst du eigentlich alles bis auf den Virenscanner nehmen.
Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

Vergiss nicht, die Wiederherstellung abzustellen, booten und wieder aktivieren

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 01:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 01:51
Member

Themenstarter

Beiträge: 19
#23 bin jetzt mal am suchen...

doch der ordner C:\WINDOWS\Downloaded Program Files\WebRecomendada existiert bei mir wirklich nicht...!
Seitenanfang Seitenende
06.09.2004, 01:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Dann arbeite alles noch ab , was ich einen Thread darueber gepostet habe, dann scanne noch mal mit mwav.exe, poste das Ergebnis und das neue Log vom HijackThis.

Ds musst du noch fixen:
O4 - Global Startup: MSN Messenger 6.2.lnk = ?

Der Eintrag ist unnötig und kann entfernt werden!
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?

mfg
Sabina (bis morgen !) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 01:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 01:54
Member

Themenstarter

Beiträge: 19
#25 die folgende möchte ich eigentlich drinnen lassen, so startet es mir jeweils gleich outlook, den msn messenger und das bluetooth

O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MSN Messenger 6.2.lnk = ?
Seitenanfang Seitenende
06.09.2004, 01:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 in der automatischen Hijackauswertung wird angegeben:
O4 - Global Startup: MSN Messenger 6.2.lnk = ?... Unbedingt fixen!
http://www.hijackthis.de/index.php

Ich muss mich mal schlau machen, warum......ist bestimmt ein Bug vom HijackThis....Also, lass es drin ;)

mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 02:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 01:57
Member

Themenstarter

Beiträge: 19
#27 ok, ich melde mich dann gerne morgen nochmals!

vielen dank für deine hilfe! echt super!

gute nacht,
chrischtbaum


_______________________________________________________________

auch mit den einstellungen im explorer und im suchen-fenster finde ich keine der dateien.

für msbb habe ich folgendes gefunden:

http://tv.180solutions.com/showme.aspx?keyword=%3dautos+autos&did=841&ver=5.12&duid=244xvlazlklgtshhkdojmlkivqsjxe&partner_id=232444040&product_id=841&browser_ok=y&rnd=31&basename=msbb&tzbias=-1&MT=0190E2EB55862818F89331BA75DD37B1FD74E409E48A37D590ADCE42D0DA15BE43&DMT=0190E2EB55862818F89331BA75DD37B1FD74E409E48A37D590ADCE42D0DA15BE43&MT2=0191D1A2C1AF66EEB3C4211F551CC44838FF429848&MT3=01A7113E398653EBEC40028C7BDE3ADE43E2BE3EA3&WID=01C3B47586AA8000&GMA=1&GVI=1&GPI=1&HMP=EDD7E04335AC12994E4B2FF0BFC1E713A6361A3C&bid=0&SID=URYJMFKZ&OS=5.1.2600.2&SLID=1031&ULID=2055&TLOC=2055&ACP=1252&OCP=850&DB=iexplore.exe&IEV=6.0.2800.1&TPM=536199168&APM=167198720&TVM=2147352576&AVM=2025574400&FDS=957362176&LAD=1601:1:1:0:0:0&WE=5
(von denen hatte es vorhin noch mehr... hab sie dann alle gelöscht, neu gestarten und diese war dann wieder da!)

MSBBS.HT_

msbbs.ht_

auch die in der registry finde ich nicht und auch diese mit webrecomendada nicht!


und was ist das? brauch ich das?
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe

ich hatte vorhin in der taskleiste immer so ein symbol neben der uhr um hardware auszuwerfen, habe eine externe mobile festplatte über usb, dieses symbol zeigt es mir nun nicht mehr an... wie bring ich das wieder hin? oder hat es keinen zusammenhang?

hab den mwav nochmals durchlaufen lassen und er hat webrecomendada.dll gefunden. ich kann diese datei aber wirklich nicht finden. ich habe die 2 optionen die du mir geschrieben hast aktiviert und dann selber und auch über das suchen-fenster danach gesucht, nichts gefunden!
habs dann mal noch bei google eingegeben. für webrecomendada.dll findet er praktisch nichts.. ausser ein paar spanische foren in denen evt. etwas stehen würde. verstehs aber leider nicht...
wenn man nur webrecomendada eingibt, hat es sehr viele seiten mit webrecomendada.cab. hat das einen zusammenhang?


folgend noch das neue log des hijackthis:
Dieser Beitrag wurde am 06.09.2004 um 23:27 Uhr von chrischtbaum editiert.
Seitenanfang Seitenende
06.09.2004, 15:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 @chrischtbaum

um das Symbol in der taskleiste wiederzubekommen, gehst du wieder in Start<Ausfuehren<msconfig
und setzt unter Systemstart das Heakchen vor den betroffenen Eintrag.

Scanne mit Spysweeper
http://www.spysweeper.com/
Nimm das Tool dann wieder aus dem Autostart

Suche dann noch AdAware (free) von Lavasoft, lade und scanne alle Dateien.


Und loesche die TemporaryInternetfiles unter <Internetoptionen< (auch die Offline und die Cookies)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 15:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 22:57
Member

Themenstarter

Beiträge: 19
#29 hab jetzt mal spy sweeper laufen lassen. der hat nochmals 24 dateien gefunden. muss ich von dem jetzt die quarantäne auch löschen?

mach jetzt gleich noch mal adaware.

wenn ich mit msconfig etwas verändere kommt mir bei jedem neustart so ein komisches fenster, dass er jetzt irgendwie nicht im normalen modus startet. und es hat nur kästchen die bereits mit einem häckchen ausgefüllt sind. sprich ich kann dieses für das symbol in der taskleiste nicht aktivieren!
Seitenanfang Seitenende
06.09.2004, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 im Prinzip duerfte das nur eine Nachricht erscheinen, dass du die Aenderung nach dem Neustarten akzeptierst.
Aber mache es so wie ich, lade RegCleaner, stelle das Tool in Deutsch ein , dann findest du unter <Autostart< alle 04-Eintraege vom HijackThis, also alle alle Startup-Eintraege.
Da nimmst du das Haekchen raus\rein, bootest .
Ds ist viel eleganter als ueber <msconfig<

Ausserdem kannst du ueber <Tools<Registry saeubern<alles durchfuehren< dein System von unnoetigem Ballast befreien, (es bleibt immer eine Sicherung )
http://www.chip.de/downloads/c_downloads_8830516.html

Bitte: Loesche mal bitte einen Teil von dem ellenlangen Link weiter oben......es ist alles verzerrt deswegen. (Danke)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 23:07 Uhr von Sabina editiert.
Seitenanfang Seitenende