HijackThis klappt nicht

#0
20.11.2005, 16:34
Member

Beiträge: 14
#1 Hallo,

ich habe heute den HijackThis ausprobiert und wollte anschließend einiges fixen, aber es geht nicht.
Wenn ich auf fix checked gehe erscheint nothing selected. Ich klicke dann ja an und verschwinden alle Einträge nur um beim nächsten Scan wieder zu erscheinen. Allerdings auch der der gefixt werden sollte.
Was mach ich falsch ???


Danke Felsen
Seitenanfang Seitenende
22.11.2005, 12:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 kopiere mal das Log vom HijackThis hier, sonst weiss ich auch nicht, was los ist .... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 19:55
Member

Themenstarter

Beiträge: 14
#3 So hier hab ich jetzt was reinkopiert. Ich hoffe es ist das richtige. :-)

MfG Kerstin

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wowokay.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O1 - Hosts: 84.191.190.208 L2testauthd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1132426500\ee\AOLHostManager.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{191F34C8-5FF2-458E-BFBD-881BE5B37CE0}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{191F34C8-5FF2-458E-BFBD-881BE5B37CE0}: NameServer = 205.188.146.145
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Seitenanfang Seitenende
22.11.2005, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Felsen

da ist ein Hijacker drauf....die Startseite ist verstellt.....

wende CleanUp an

http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

CWShredder
http://virus-protect.org/antispytools.html
* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
Log-->"make Report"-->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2005, 22:07
Member

Themenstarter

Beiträge: 14
#5 Hallo,

eigentlich hatte ich alles kopiert und hier eingefügt is aber wohl nicht da wie ich jetzt sehe. Also der CWShredder hat nix gefunden. Soll ich die Seiten von Dat.find hier auch mal reinkopieren oder lieber nochmal HiJackThis durchlaufen lassen und reinstellen ???
MFG Kerstin
Seitenanfang Seitenende
23.11.2005, 00:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 11:33
Member

Themenstarter

Beiträge: 14
#7 Verzeichnis von C:\WINDOWS\SYSTEM32

23.11.2005 11:24 889 vsconfig.xml
23.11.2005 11:24 67.424 Status.MPF
23.11.2005 11:23 14.273 LVCOMSX.LOG
20.11.2005 15:49 2.206 WPA.DBL
09.11.2005 18:53 274.168 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 09:57 381.692 PERFH009.DAT
30.10.2005 09:57 53.436 PERFC009.DAT
30.10.2005 09:57 392.512 PERFH007.DAT
30.10.2005 09:57 64.452 PERFC007.DAT
30.10.2005 09:57 902.476 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
18.09.2005 00:35 16.832 amcompat.tlb
18.09.2005 00:35 23.392 nscompat.tlb
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll

Verzeichnis von C:\DOKUME~1\Kerstin\LOKALE~1\Temp

17.11.2005 19:27 102 8A56EAB7.TMP
01.01.1970 01:00 2.200 ryttnesarfyrs.ABI
2 Datei(en) 2.302 Bytes
0 Verzeichnis(se), 49.904.930.816 Bytes frei

Verzeichnis von C:\WINDOWS

23.11.2005 11:28 1.044 WIN.INI
23.11.2005 11:24 0 0.LOG
23.11.2005 11:23 1.501.987 WindowsUpdate.log
23.11.2005 11:23 159 WIADEBUG.LOG
23.11.2005 11:22 50 WIASERVC.LOG
23.11.2005 11:22 2.048 BOOTSTAT.DAT
22.11.2005 22:56 32.634 SchedLgU.Txt
20.11.2005 17:14 116 NeroDigital.ini
20.11.2005 15:59 227 SYSTEM.INI
20.11.2005 15:51 385.926 ntbtlog.txt
17.11.2005 23:12 1.409 QTFont.for
17.11.2005 23:12 54.156 QTFont.qfn
17.11.2005 22:23 38 AviSplitter.INI
17.11.2005 20:39 136.474 WMSETUP.LOG
09.11.2005 11:55 50.518 IIS6.LOG
09.11.2005 11:55 118.962 COMSETUP.LOG
09.11.2005 11:55 71.755 ntdtcsetup.log
09.11.2005 11:55 1.374 imsins.log
09.11.2005 11:55 132.766 TSOC.LOG
09.11.2005 11:55 18.440 OCMSN.LOG
09.11.2005 11:55 11.806 KB896424.log
09.11.2005 11:55 16.920 MSGSOCM.LOG
09.11.2005 11:55 174.570 OCGEN.LOG
09.11.2005 11:55 343.338 FaxSetup.log
09.11.2005 11:55 673.900 setupapi.log
09.11.2005 11:55 20.584 updspapi.log
07.11.2005 21:26 263 SPRUDEL.INI
25.10.2005 10:50 1.924 WINNT32.LOG
25.10.2005 10:50 1.517 UPGRADE.TXT
25.10.2005 10:50 150 wsdu.log
25.10.2005 10:50 1.389 setupact.log
25.10.2005 10:50 178 DHCPUPG.LOG
23.10.2005 16:41 20 comctt64.dll
23.10.2005 16:38 148 kodakpcd.Kerstin.ini
18.10.2005 21:35 21.007 KB901017.log
18.10.2005 21:35 23.248 KB902400.log
18.10.2005 21:35 14.119 KB896688.log
18.10.2005 21:34 13.604 KB905414.log
18.10.2005 21:34 13.433 KB900725.log
18.10.2005 21:34 11.244 KB904706.log
18.10.2005 21:34 11.886 KB905749.log
09.10.2005 12:37 379 wmsetup10.log
29.09.2005 09:48 493 cncscore.ini
29.09.2005 09:48 37 wbo2setting.INI
18.09.2005 14:39 10.313 CDPLAYER.INI
18.09.2005 02:40 315 ST6UNST.000
18.09.2005 02:40 5.892 SETUP.LST
18.09.2005 01:48 121 GEARInstall.log
17.09.2005 21:23 33.786 Directx.log

Verzeichnis von C:\

23.11.2005 11:33 0 sys.txt
23.11.2005 11:33 9.429 system.txt
23.11.2005 11:33 350 systemtemp.txt
23.11.2005 11:32 106.629 system32.txt
23.11.2005 11:22 266.407.936 hiberfil.sys
23.11.2005 11:22 402.653.184 pagefile.sys
21.11.2005 11:10 182.722 reclock_log.txt
20.11.2005 15:59 211 BOOT.INI
19.11.2005 18:48 443.782 MSIInstall.log
15.10.2005 14:48 73.728 T.EXE
29.09.2005 19:51 700.416 StubInstaller.exe
17.09.2005 15:12 4.128 INFCACHE.1
12.08.2005 13:37 275.968 Setup.exe
12.08.2005 13:36 173.568 clokspl.exe
12.08.2005 13:34 0 CONFIG.SYS
12.08.2005 13:34 0 AUTOEXEC.BAT
22.11.2004 19:44 3.080 DELL.SDR
18.08.2004 14:18 0 IO.SYS
18.08.2004 14:18 0 MSDOS.SYS
04.08.2004 15:00 4.952 BOOTFONT.BIN
04.08.2004 15:00 47.564 NTDETECT.COM
04.08.2004 15:00 251.184 NTLDR
22 Datei(en) 671.338.831 Bytes
0 Verzeichnis(se), 49.904.930.816 Bytes frei
Seitenanfang Seitenende
23.11.2005, 11:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\StubInstaller.exe
C:\Setup.exe
C:\clokspl.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 11:50
Member

Themenstarter

Beiträge: 14
#9 EEm welche Datei soll ich mir denn aussuchen ??? :-)
Seitenanfang Seitenende
23.11.2005, 11:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 habe ich die nicht mit hingeschrieben ???????????????? lol
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 11:53
Member

Themenstarter

Beiträge: 14
#11 Nee leider nicht. :-)
Seitenanfang Seitenende
23.11.2005, 15:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ich hoffe, diesmal siehst du die Dateien unten...schoen fett gekennzeichnet ... lol

Zitat

Sabina postete
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\StubInstaller.exe
C:\Setup.exe
C:\clokspl.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13

Zitat

Hier das Ergebniss von Norman Sandbox:
orman Scanner Engine 5.83. 7
Sandbox 05.83, dated 10/10-2005

Your message ID (for later reference): 20051123-486

stubinstaller.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 700416 bytes.

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.


setup.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "Worms Armageddon [class NULL]" on desktop.
* File length: 275968 bytes.


clokspl.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 173568 bytes.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hast du Microtests Virtual CD ?

das musst du loeschen:
C:\StubInstaller.exe

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2005, 11:51
Member

Themenstarter

Beiträge: 14
#15 Nein die CD habe ich leider nicht.
Hier ist der Scanreport.


Incident Status Location

Adware:adware/wupd Not desinfected C:\WINDOWS\SYSTEM32\ide21201.vxd
Adware:adware/dyfuca Not desinfected Windows Registry
Virus:W32/Savno.A Disinfected C:\Dokumente und Einstellungen\Peter\Desktop\CD\EMUS\GBA\ROMS\FINAL_FANTASY_TACTICS_GBA_U.EXE
Virus:W32/Savno.A Disinfected C:\Dokumente und Einstellungen\Peter\Desktop\CD\EMUS\GBA\ROMS\GBA_REAL_FINAL_FANTASY_TACT.EXE
Adware:Adware/IST.YourSiteBar Not desinfected C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2PCR6VYR\CADOG75P.HTM
Adware:Adware/EShopper Not desinfected C:\Programme\AnyKeySoft\Worms Breakout 2\Uninstal.exe
Adware:Adware/EShopper Not desinfected C:\Programme\Install Creator\Uninstal.exe


MfG Kerstin
Seitenanfang Seitenende