Anzeige

Am Puls von Microsoft

Anzeige

System Hijack This – Logfileauswertung

Alte Seele

gehört zum Inventar
Hallo ihr Lieben,
Ich habe mein System aufgeräumt, so gut wie ich konnte.
Etliches Deinstalliert, und mal Richtig durch gefegt.

Ich habe aber noch nie was mit HijackThis gemacht, ich habe es als Admin installiert und ausführt.
Könnt ihr Bitte mal einen Blick drauf werfen, ob es so richtig war, oder was fehlt.

Und natürlich was ich davon noch Fixen muss, ich hoffe es hält sich in grenzen.
Da ich mich eigentlich sehr umsichtig im Internet bewege, und auf passe was ich mache, aber man weiß ja nie.
Zitter+Angst+Panik
Also als leihe kommt mir zum Beispiel das Ding komisch vor:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:24, on 31.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3831261580-3808816560-736829855-1001\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'martin')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

--
End of file - 3512 bytes
 
Anzeige

ArctiCMooN

gehört zum Inventar
Schaut für mich sauber aus, lobenswert noch dazu, dass dies kein zugemülltes System zu sein scheint, manche Logfiles waren ja ungelogen 5 mal so lang.

Denke nicht, dass es bedenklich ist, schaut für mich nach einem überbleibsel einer Deinstallation in der Registry aus. Kannst du bedenkenlos fixen. Vllt mal CCleaner drüberlaufen lassen - "Clean Registry".
 
G

Gast

Gast
Also diese Zeile kannst du auf jeden Fall fixen

Ansonsten - selten so einen aufgeräumten PC gesehen....
 

Alte Seele

gehört zum Inventar
Vielen Dank für die schnelle Hilfe...:blumen
Und ein bisschen komm ja auch wieder drauf, dann lasse ich es noch mal durchlaufen.

Ich kann ja im Forum nicht immer Predigen, passt auf wo ihr euch was runter zieht,
und immer wieder betonen das man sich ja auch nur Sachen Installieren soll, die man auch wirklich braucht,
und sich selber nicht an die Regeln Hält.:D

In meinem Freundes Kreis darf ich des öfteren mal einen Rechner wieder auf touren bringen,
wen die Dinger nur noch im Schnecken Tempo Arbeiten.
:insane
Und jetzt könnt ihr mich für verrückt erklären, den ich Führe mit OO.Calc Buch darüber was ich mir Installiert habe, und auf welcher Platte oder Partition, und wen ich was Deinstalliere wird es wieder aus der Tabelle Gelöscht.:bekloppt
LG
 

RobertfH

Foren-Wischmopp
Dann bin ich also nicht der einzige Irre hier!
Im Ernst: Da ich sehr viel Software teste (meistens Utilities u.ä.) mache ich mir auch mit calc eine Liste um uptodate zu sein. Zusätzlich trage ich auch immer die Versionsnummer ein, um später festzustellen ob es Updates gab. Außerdem ein Extrafeld für Besonderheiten/Schwierigkeiten bei der Installation.
 

Alte Seele

gehört zum Inventar
Tja da können wir uns ja die Handreichen.
Extrafelder für Besonderheiten oder Schwierigkeiten bei der Installation habe ich auch.

Aber die Idee mit der Extra Spalte für die Versionsnummern ist Super, (y)
das hab ich gleich mal bei mir nachgetragen...:)
 

Robert B.

Ich knipse so rum
das habe ich auch lange Zeit gemacht, nur steckt da auch sehr viel Arbeit drin.
Wenn man das nicht konsequent auf dem Stand hält, macht es schnell keinen Sinn mehr.

Ich habe im Groben nur das drauf was ich auch benötige, nach einem Test kommt es auch gleich wieder runter, es sei den ich bin begeistert. Dann bleibt es wohl für die Ewigkeit :funny
 
BHO = Browser Helper Object
Kann muss aber keine Malware sein - allgemein gesagt​


Bing Toolbar:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files

Kein Grund zu Panik :)

WinStart Manager - Autostart Manager

Habe heute erst die BING Toolbar de-installiert -
kein Software Tester sondern Software-Vorsteller und Screenshot-Ersteller. :D
 

prinblac

Moderator
Guckst Du...
Kleiner Ausschnitt aus meinem :D
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:

Schau einmal genau nach...
Kannst auch andere Logs von Usern unserer Seite einsehen...

;) Lou
 

Alte Seele

gehört zum Inventar
Hallo ich bin es noch mal.

@JoKeR
Das ist auch mehr so ein Hobby, und ich Spiele gerne mit Tabelle und Listen Rum.
Arbeit ist das für mich nicht, ich habe mir ja nach eigenen wünschen Vorstellung eine Tabelle zusammen geschustert.

@all

Aber jetzt noch mal zum HijackThis, was sollte ich den jetzt noch mal alles Fixen.. :nuts..:D

Ich Frage mal anders, was würdet ihr davon Fixen wen es euch drauf wäre.
Werde mich dann nach der Mehrzahl der meinigen richten, muss ja irgendwie eine Entscheidung Treffen..:unsure:

Auf jeden Fall schon mal an alle Danke,
das ihr euch die zeit genommen habt

Der Eintrag ist schon weg vom Fenster.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:24, on 31.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3831261580-3808816560-736829855-1001\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'martin')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.d ll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

--
End of file - 3512 bytes
 

prinblac

Moderator
Hallo @All :eek:

Da war ich wohl tüchtig auf dem Holzweg... :unsure:
Irgendwie mag ich mich erinnern, da war mal was mit dem Eintrag..?! Ist schon eine Weile her, doch den Eintrag hatte ich so in Erinnerung, Tja... :(

:eek: Sorry...

Dies noch aus Trojaner Board Anleitung:
O13 - Veränderung der Standard Voreinstellungen (DefaultPrefix) des IE
Beispieleinträge:

O13 - DefaultPrefix: auto buch business computer computerspiele at pixpox.com
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Was zu unternehmen ist:
Einträge in diesem Bereich sind immer 'schlecht' und sollten mit HijackThis gefixt werden.
Habe den Eintrag auch mal gefixt und er erscheint nicht mehr :)
Dennoch habe ich nun in einigen Foren nachgelesen, dass er seit Windows Vista normal sein soll... hmmmh :unsure:

Gruß
Lou ;)
 
Zuletzt bearbeitet:
T

Tales

Gast
@Alte Seele: wurde der Eintrag O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) wirklich von Hijack This gefixt?

In Deinem letzten Logfile ist er noch vorhanden. ;)

Hab heute mein System neu aufgesetzt und ziemlich entrümpelt. So ein Mißt, Alte Seele hat ca. 200 bytes weniger im Logfile... :ROFLMAO:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:30, on 31.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: O&O DiskImage - Unknown owner - C:\Program Files\OO Software\DiskImage\oodiag.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 3740 bytes
 

prinblac

Moderator
Hallo Tales
Den Eintrag O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
kannst Du deaktivieren,
Systemsteuerung/ Java/ Register Aktualisierung; Häkchen entfernen bei "Automatisch nach Aktualisierungen suchen entfernen.

Bei Java sollte man ab und zu (1 x im Monat) hier Java SE Downloads - Sun Developer Network (SDN) nach der neusten JRE Version Ausschau halten.
Und immer die alte Version erst deinstallieren, dann die neue installieren. Bei der Aktualisierung wird sonst nur die alte überschrieben, doch dann ist die Gefahr groß das die Sicherheitslücken bestehen bleiben.
Wichtiges Java-Update: So gehts richtig - PCtipp.ch - Sicherheit

;) Lou
 
T

Tales

Gast
Hallo Lou, vielen Dank. :) Wieder etwas gelernt! Wird auch dann gleich in die Tat umgesetzt. ;)
 
Anzeige
Oben