hijackthis.log --> hab aber keine ahnung was damit anzufangen |
||
---|---|---|
#0
| ||
06.09.2004, 23:34
Member
Themenstarter Beiträge: 19 |
||
|
||
07.09.2004, 00:18
Ehrenmitglied
Beiträge: 29434 |
#32
Um zu wissen, was denn nun wirklich aus dem Autostart verschwunden ist, muss du mir posten, was es genau war.
So ein Geraet ???? http://www.golem.de/0404/30946.html Oder was anderes ? Wenn man Programme anklickt, tragen sie sich normalerweise wieder automatisch im Autostart ein, sie sind nicht etwa geloescht. Erklaere also bitte, was das fuer ein Profgramm oder Tool war, damit ich dir raten kann, es auf dem PC wieder zu finden. Du kannst auch deine Autostarteintraege (04) vom HijackThis (vor der Reinigung und im jetzigen Zustand ) ueberpruefen. O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe Was das Loeschen der Spyware betrifft, so kannst du den Tools vertrauen. Lass die Malware einige Zeit in der Quarantaene und wenn keine Probs auftreten, loesche sie. obj[0]=IECache Entry : Cookie:huber@servedby.advertising.com/ obj[1]=IECache Entry : Cookie:huber@advertising.com/ obj[2]=IECache Entry : Cookie:huber@mediaplex.com/ gehoeren zu :Huber Dialer.DialWeb. Ich habe alle diese Tools auch auf dem PC und update sie regelmaessig.(wenn diese Moeglichkeit besteht) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.09.2004 um 01:15 Uhr von Sabina editiert.
|
|
|
||
07.09.2004, 00:38
Member
Themenstarter Beiträge: 19 |
#33
also das eine gerät das ich über dieses symbol entfernen konnte ist folgendes:
http://www.lacie.com/products/product.htm?id=10106 das andere ist folgendes: http://www.avm.de/de/Produkte/FRITZ/FRITZ_Card_PCMCIA/index.js.html beides konnte jedoch über das gleiche symbol aufgerufen werden. es diente einfach zur sicheren entfernung der objekte. wahrscheinlich eine funktion von windows und nicht der geräte selber?! bei den cookies komme ich noch nicht wirklich draus... sind das dialer? und das löschen von registry einträgen durch regclean kann ich auch vertrauen? einfach alles löschen was es mir angibt und gut? oder muss ich jedes mal wieder nachschauen ob ich es wirklich löschen kann? |
|
|
||
07.09.2004, 01:12
Ehrenmitglied
Beiträge: 29434 |
#34
1.Poste mal das neue Log vom HijackThis, damit ich vergleichen kann
2. Nach dem Scann mit Regcleaner verbleibt eine <Sicherung<, die loesche nicht. Im Bedarfsfall macht man das Loeschen damit rueckgaengig. 3. Cookies sind keine Dialer, sondern sind auf deinen PC gelangt, als du auf der betreffenden Site warst, wo du dir den Dialer eingefangen hast. http://www.www-kurs.de/cookies.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.09.2004 um 01:16 Uhr von Sabina editiert.
|
|
|
||
07.09.2004, 07:59
Member
Themenstarter Beiträge: 19 |
#35
hallo
dss problem mit dem symbol hat sich gelöst, hab ihn vorhin mal wieder neu starten müssen und jetzt ist es wieder da... komisch, aber immerhin da! wäre es gut wenn man jedesmal nachdem man eine software deinstalliert hat mit regcleaner die registry zu säubern? da bleiben doch jeweils "reste" übrig, oder? _____________________________________________________________ hier das neue! Logfile of HijackThis v1.98.2 Scan saved at 07:59:07, on 07.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe C:\Programme\EPFL\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Logitech(Maus)\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\RegCleaner\RegCleanr.exe C:\WINDOWS\System32\WISPTIS.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Huber\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sg.hubermonsch.ch:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: E-Mail.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: MSN Messenger 6.2.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094387217801 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5916E459-9CE3-4021-8C8C-5FF4704944C7}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = epfl.ch O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = epfl.ch O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = epfl.ch Dieser Beitrag wurde am 07.09.2004 um 08:23 Uhr von chrischtbaum editiert.
|
|
|
||
07.09.2004, 11:14
Ehrenmitglied
Beiträge: 29434 |
#36
Webrecomendada LLC:
Preis pro Minute: 63,6 euros/Stunde Thawte Server CA "Thawte certifated NRSGROP-Software" Bloiscom S.L. Copyright de la página: Web Recomendada LLC - 2711 Centerville Road , Suite 400 - Wilmington - DE - USA ___________________________________________________________________________________ http://www.spychecker.com/program/lspfix.html Lade mal dieses Tool und poste, was dort aufgefuehrt wird (nichts loeschen !!!) Suche diese Eintraege auf dem PC: c:\WINDOWS\Downloaded Program Files\WebRecomendada.dll c:\WINDOWS\Coder\_222-tat-1-0-.exe-> c:\WINDOWS\Coder\_2-tto-1-0-.exe-> c:\WINDOWS\Coder\_151-a2p-8-0-.exe-> c:\WINDOWS\Coder\_3-kun-0-0-.exe-> c:\WINDOWS\Coder\_1-tat-0-0-.exe-> Laufwerk C: eine Datenträgerbereinigung vornehmen. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.09.2004 um 11:23 Uhr von Sabina editiert.
|
|
|
||
07.09.2004, 11:46
Member
Themenstarter Beiträge: 19 |
#37
kann ich hier keine bilder einfügen?
es kommen unter keep folgende 3 dateien: -mswsock.dll (TSP/IP) -winrnr.dll (NTDS) -rsvpsp.dll (Protocol handler) bei remove nichts datenträgerbereinigung kann ich irgendwie nicht druchführen.... bleibt immer bei alte dateien komprimieren stehen! die dateien suche ich mal noch! _____________________________________________- die dateien finde ich leider immernoch nicht. webrecomendada nicht manuel und auch nicht mit der suche funktion. bei den anderen das gleiche! den ordner coder in windows wo die anderen dateien drin sein sollten habe nicht! habe 2 beiden optionen in extras-> ordneroptionen eingestellt und auch in der suche funktion die von dir bereits schon einmal erwähnte option getätigt! ______________________________________________ aber eigentlich kann mir dieser webrecomendada dialer ja eigentlich egal sein, da ich an jedem mir zur verfügung stehendem ort sowieso adsl habe, oder nicht? Dieser Beitrag wurde am 07.09.2004 um 12:08 Uhr von chrischtbaum editiert.
|
|
|
||
07.09.2004, 12:11
Ehrenmitglied
Beiträge: 29434 |
#38
Nun, der Dialer scheint nicht aktiviert zu sein.
Was findesr du denn unter <c:\WINDOWS\Downloaded Program Files\ ?????? .................................................................................................................... Versuche es mal mit http://www.chip.de/artikel/c_artikelunterseite_10641790.html?tid1=26116&tid2=0 Registry Toolkit Vielleicht findest du die dll noch in der Registry. (oder gib die dll in die Suchfunktion oben links in der Registry ein. Start<Ausfuehren<regedit ________________________________________________________________________ Downloaden und installieren: Advanced Process Manipulation http://www.diamondcs.com.au/index.php?page=apm <APM starten, im oberen Fenster explorer.exe und/oder iexplore.exe c:\WINDOWS\Downloaded Program Files\WebRecomendada.dll suchen und markieren. <Dann werden im unteren Fenster alle geladenen Module von explorer.exe angezeigt. <Rechtsklick auf die gefundene DLL/Eintrag im unteren Fenster -> Unload Dll. Danach noch die Upgedateten Spyware-Tools drüberlaufen lassen um die Registry-Einträge zu bereinigen, und Temp-Ordner + Temporäre-Internetfiles Ordner leeren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.09.2004 um 12:19 Uhr von Sabina editiert.
|
|
|
||
07.09.2004, 12:47
Member
Themenstarter Beiträge: 19 |
#39
kann ich hier irgendwie bilder ins forum einfügen, damit ich dir zeigen kann was gefunden wurde?
____________________________________- achso, die einträge die in der registry gefunden wurden sind einfach die suchanfragen, welche ich in der suchen funktion gemacht hab... sonst nichts ____________________________________---- auch mit dem APM finde ich die datei nicht! aber eben, ist es nicht egal, wenn ich den dialer drauf hätt, weil ich sowieso immer an dsl bin? Dieser Beitrag wurde am 07.09.2004 um 14:12 Uhr von chrischtbaum editiert.
|
|
|
||
07.09.2004, 23:09
Ehrenmitglied
Beiträge: 29434 |
#40
@chrischtbaum
Der Dialer an sich ist ja schon runter, nur die dll wird noch angezeigt. Scanne noch mal im abgesicherten Modus mit deinem Symantec-Antivirentool und dann lasse es gut sein. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2004, 23:30
Member
Themenstarter Beiträge: 19 |
#41
ok,werde ich morgen mal durchlaufen lassen...
melde mich dann nochmals aber danke vielmals für deine hilfe! echt super! danke und gruss chrischtbaum ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::. symantec hat auch nichts gefunden im abgesicherten Dieser Beitrag wurde am 08.09.2004 um 10:16 Uhr von chrischtbaum editiert.
|
|
|
||
ArchiveData(auto-quarantine- 2004-09-06 23-29-20.bckp)
Referencefile : SE1R6 30.08.2004
======================================================
TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:huber@servedby.advertising.com/
obj[1]=IECache Entry : Cookie:huber@advertising.com/
obj[2]=IECache Entry : Cookie:huber@mediaplex.com/
ist das säubern der registry mit so einem programm durch so einen leien wie mich nicht riskant? ich meine, dass ich dann nicht weiss was ich löschen kann und was nicht? oder findet es wirklich nur dateien die ich löschen kann?
muss ich dei quarantäne von spy sweeper auch löschen?
und ist denn jetzt alles soweit ok? was ist mit all den datein die ich nicht finde, sie es mir aber einzeigt bei den durchläufen? z.b. webrecomendada?
welches der programme hast du permanent drauf? und wie häufig schaust du dir das zeugs an um zu sehen, was sich eingeschlichen hat?
und wie krieg ich denn jetzt dieses symbol für das mobile laufwerk wieder rein?
danke,
chrischtbaum