Frage HijackThis Logfile-Auswertung

[Hubert V]

Habe mit Hijackthis eine "LogfileAuswertung" gemacht. Jetzt habe ich 3xstck.
verschiedene Mitteilungen gefunden, die als schädlicheingestuft wurden.
Kann mit jemand sagen, was ich damit jetzt machen sollte, bzw. muss ?
Ob die wirklich so gefährlich u. schädlich sind ?
Shell=INI sectia not found
HKCU/../Policies:Shell=Registry key not found
/full-to include several rarely-important sections

Die Logfileauswertungkonnte ich nicht hochladen, da die Meldung
ungültige Dateiangezeigt wurde.
Vielleicht kann ja jemand die startuplist.txtselbst zur Auswertung bringen.
Danke.
Hubert

ein screenshot geht immer
Hubert

 

[metacom]

Verwende bitte die version von www.hijackthis.de

l.g.
"nachtrag"
Deine Datei muss auf *.LOG enden und nicht auf *.TXT
"hijackthis" von TrendMicro erstelt eine "Hijackthis.log" beim drücken auf "Do a systemscan and save a Log file"

den inhalt des logs - auswerten lassen auf http://hijackthis.de

"woher kommt diese startuplist.txt" ??

 

[metacom]

"woher kommt diese startuplist.txt" ??

Wird von Hijackthis erstellt und ist "mehr oder minder" eine art Infoliste, jedoch nicht zu analysezwecken gedacht

(trendmicro -> Hijackthis -> Miscs )
l.g.

 

[Hubert V]

Die Version von "HijackThis" funktioniert nicht bei mir.
Habe ich 2x ausprobiert, wird kein Logfile erstellt !
Habe von Chip.de downgeloadet !
Die funktioniert.
Hubert

 

[Ari45]

Hallo HubertV!

......
Habe ich 2x ausprobiert, wird kein Logfile erstellt !
.....

Aber einen Scan hat das HijackThis (das von der Trend Micro Seite) gemacht?
Dann hast du sicherlich auf "Do a system scan only" geklickt und nicht auf "Do a system scan and save a logfile"
Oder du hast HijackThis nicht mit "als Administrator ausführen" gestartet.
Überprüfe das noch mal, es muss gehen.

Aber die Version 2.04 von der Chip.de-Seite geht auch.

 

[Hubert V]

Hallo Aribert !
Habe ".....scan and save a logfile" geklickt. Ging damals NICHT, jedoch heute morgen !!
Hier ist das Logfile :

Ausgeblendet

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:27:25, on 19.04.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\SSS\SimpleScreenshot.exe
C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\Ocster Backup\bin\backupClient-ox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\taskeng.exe
c:\Program Files\Ocster Backup\bin\oxHelper.exe
C:\Users\Hubert Volk.WINDOWS-ZU82E2U.000\Downloads\GehtNicht.HijackThisAusführbare18.04.2011.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SBCONVERT - {31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: GrabberObj Class - {FF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\SPEEDB~1\Toolbar\grabber.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [Ocster Backup] "C:\Program Files\Ocster Backup\bin\backupClient-ox.exe" --hidden
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\Hubert Volk.WINDOWS-ZU82E2U.000\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} (PhotoboxPhotowaysUploader5 Control) - http://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20090529154730
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - Unknown owner - C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Program Files\Common Files\G DATA\GDScan\GDScan.exe
O23 - Service: Google Update Service (gupdate1c9b4f35bb665) (gupdate1c9b4f35bb665) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Ocster Backup (ocster_backup) - Unknown owner - c:\Program Files\Ocster Backup\bin\backupService-ox.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Unknown owner - C:\Program Files\Norman\Npm\Bin\scheduler.exe (file missing)
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~2\VideoAcceleratorService.exe

--
End of file - 8242 bytes

Hubert

 

[metacom]

... jedoch heute morgen !!
Hier ist das Logfile

...und das sieht sauber aus

 

[Galdumir]

Guten Morgen !

@ Metacom:

Es ist schon grundsätzlich richtig, dass HJT die Ergebnisse des Systemscans standardmäßig als *.log-Datei speichert.
Aber von ein paar Experten wird sogar ausdrücklich geraten (Quelle Internet - weiß leider nicht mehr wo ich's gelesen hab'... ) die Log-Datei als *.txt abzuspeichern und auch umzubenennen, wenn der Verdacht auf Virenbefall gegeben ist!
Der Grund dafür ist, dass manche Viren die Log-Datei entweder manipulieren oder löschen oder sonstwie unauswertbar machen, damit man ihnen nicht auf die Schliche kommt.

Viele Grüße aus Österreich

 

[RobertfH]

Mir fällt auch nichts Unangenehmes auf. Die Google Updater würde ich entfernen (fixen). Ist aber eigentlich nur ein Schönheitsfehler.

 

[metacom]

Der Grund dafür ist, dass manche Viren die Log-Datei entweder manipulieren oder löschen oder sonstwie unauswertbar machen,

HJT gibt es schon seit ewigkeiten als Analysetool, und ich bezweifle stark (ist mir noch nie untergekommen als Operator) das ein Virus genau dieses logfile findet

Gemeint sind damit log´s vom System selbst - spricht Protokolierungen die das System vornimmt um dem Benutzer aufzeigen zu können was gewisse dienste machen. Wenn dieser dienst (und das ist für den Virus einfacher zu finden als irgendein log auf laufwerk x: | da dienste zu 99% in C:\Win arbeiten) von einem Virus manipuliert werden soll ist es "logisch" das deren spuren auch im log auftauchen. Um diese dann zu vernichten versucht es der virus zuerst bei "log´s die er kennt" ( Eine system zu infizieren das man nicht kennt ist schließlich kein Kinderspiel )

l.g.

 

[Galdumir]

Hi Metacom!

Also ich lass mich gern belehren !
Vielleicht hab' ich das etwas falsch verstanden oder es war auf den Standardspeicherpfad dieser Log-Datei bezogen. HJT möchte diese Datei ja glaube ich, standardmäßig in den Eigenen Dokumenten des Benutzer ablegen.?

Aber deine Erklärung macht auf jedenfall Sinn

 

[metacom]

Hi Metacom!

Also ich lass mich gern belehren !

Ich lauf ja gleich rot an hier
Ich versuch´s nur für lesende Richtig zu stellen

... oder es war auf den Standardspeicherpfad dieser Log-Datei bezogen. HJT möchte diese Datei ja glaube ich, standardmäßig in den Eigenen Dokumenten des Benutzer ablegen.?

Und genau das ist "neu" in dieser version.
Beim vorgänger wurde das log im Extrahierten verzeichniss von HJT erstellt, somit "kann" theoretisch kein programm den genauen pfad dieses jenigerwelcher wissen bzw. kennen.

*dont worry* Erfarung ist es die man sammelt im leben - so lange man es Lebt

l.g.

 

[Hubert V]

Wie kann ich den diese GoogleUpdater entfernen ?

Mir fällt auch nichts Unangenehmes auf. Die Google Updater würde ich entfernen (fixen). Ist aber eigentlich nur ein Schönheitsfehler.

Ohne Schaden anzurichten

Hubert

 

[metacom]

Ein Ganz undbedenklicher service der entweder über Hijackthis (häckchen rein und auf FIXED klicken) gefixt werden kann oder peer hand zum wieder Reaktivieren über die Dienste.
Dazu im Startmenü -> Dienste < suchen und öffnen,
danach rechter hand "Google Updater Service" Suchen -> Doppelklicken -> Beenden !
Danach noch den dienst auf MANUEL stellen und Schließen!

Dieser dienst sucht für Google komponenten nach updates (dh. ein schönheitsfehler)

l.g.

 

[Franz]

Kurz ein Einwurf und zum Logfile:

Offenbar scheint hier Doppelmoppel und DoppelDoppelmoppel recht beliebt zu sein:

GDATA
ASDR
Norman
Windows Defender
--------
Toolbar Google
Toolbar Windows Live
---------
nVidia Graphics
Speedbit Accelerated Graphics
---------
Ocster Backup
Windows Backup (Sichern und Wiederherstellen)

Und letztlich:
Programmen von Dritthertsellern, die den Winsock überschreiben, habe ich noch nie vertraut:

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~2\sblsp.dll