WinFuture-Forum.de: Hijackthis Hilfe - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Hijackthis Hilfe


#1 Mitglied ist offline   Balder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 168
  • Beigetreten: 03. Juni 06
  • Reputation: 0

geschrieben 20. Juni 2007 - 20:51

morgen.
ich habe gerade hijackthis durchlaufen lassen und dabei folgende einträge gefunden:

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan....s/ascinstie.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.1.2.cab

Weiß einer wie ich diese einträge wegbekomme?
Dann noch die Frage nachdem ich den PC gestartet habe werden erstmal sehr viele Daten gescannt nur ich weiß nicht wieso selbst mit ausgeschalteten Antivir rechnet der PC nicht gut 45 Minuten bis er ruhe findet nur weiß ich leider nicht genau was er da macht.
Mit angeschalteten Antivir sehe ich ja welche DAteien der Guard scannt allerdings ist dies halt meine halbe Festplatte.
Weiß einer was das sein könnte?
Würde denken dieses Antivirus Programm von Windows kann man das irgendwie wieder deinstallieren oder so?bzw deaktivieren?
0

Anzeige



#2 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 20. Juni 2007 - 20:55

http://www.heise.de/...ung/print/88336

wenn ich z.b sowas schon lese vermute ich mal das dein System kompromittiert wurde. Wenn du weisst woher du das Zeug hast wären weitere Informationen praktisch oder dein komplettes log um es auf der hijackthis Seite zu bewerten.
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
0

#3 Mitglied ist offline   Balder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 168
  • Beigetreten: 03. Juni 06
  • Reputation: 0

geschrieben 20. Juni 2007 - 21:58

Danke für die schnelle Antwort.
So hier einige DAten zu den PC:

AMD64 3500+
2 GB Ram
Windows 2k Prof. SP4 ( auf neusten Stand )

Antivir als Antivirenprogramm ( hätte zwar noch ne gültige Gdata Lizenz allerdings finde ich die CD nicht ) neuster Stand
Firewall Hardware Firewall im Router
Adware 2007 ( neusten Updates )
Spybot Search and Destroy 1.5 beta

hier der Hijackthis Log

Zitat

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:53:44, on 20.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
D:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LVCOMSX.EXE
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Razer\Copperhead\razerhid.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\gammacontrol1031\Gammacontrol.exe
D:\Programme\Razer\Copperhead\razertra.exe
D:\Programme\Razer\Copperhead\razerofa.exe
D:\AntiVir PersonalEdition Classic\avcenter.exe
D:\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HiJackThis_v2\HiJackThis_v2.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clan-zdg.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copperhead] D:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKCU\..\Run: [cstrike.de - GammaControl] C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\gammacontrol1031\Gammacontrol.exe
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...kr.cab31267.cab
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=58813
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative....026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zon...1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1153926332421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative....15028/CTPID.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AEBF7E5-185B-4339-A1B5-22BBDB98EA00}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B163401-0150-4F21-9BFD-2B754B97D410}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AEBF7E5-185B-4339-A1B5-22BBDB98EA00}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AEBF7E5-185B-4339-A1B5-22BBDB98EA00}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - D:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 8136 bytes

Dabei habe ich die oben genannten Fehler schon selber gefunden und gelöscht.

Hoffe auf hilfe <_<

Dieser Beitrag wurde von Balder bearbeitet: 20. Juni 2007 - 22:00

0

#4 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 21. Juni 2007 - 18:35

Hallo Balder

Ich gehe mal davon aus, das dir bekannt ist, wie man Malware aus dem System entfernt. Auch bescheinige ich dir so viel Sachverstand, einen Text aus einem Editor in eine Textbox deines Browsers zu kopieren und per Mausdruck einen Button mit der Aufschrift [Auswerten] zu betätigen. Allerdings erscheint es dir unmöglich zu sein, einen Text auf http://www.trojaner-info.de/anleitungen/hi...ogtutorial.html zu lesen und mit dem Ergebnis deiner HjT-Auswertung in die richtige Relation zu bringen.

Was mir besonders auffiel war wohl, das System und Programme auf zwei verschiedenen Partitionen existieren. Warum du es so angeordnet hast, wird wohl ewig dein Geheimnis bleiben. Denn wenn du jetzt gezwungener Maßen die C: plättest und neu installierst, besitzt du auf der D: einen unheimlich großen Haufen Datenschrott. und muß ebenfalls neu installiert werden. Ich kenne keine Methode die ein solches Vorgehen umgehen könnte.

Hättest du im Gegensatz, so wie viele tot-diskutierte andere Anwender auch, auf der C: System und Programme installiert, den Daten die D: zugewiesen, so könntest du problemlos mit einem der vielen kostenlosen Image-Tools aus den Bunten oder dem Web die C: auf der E: in einem Archiv (Image) sichern und im Ernstfall innerhalb von 10 Minuten mit einem Restore ein funktionsfähiges System einschlieslich der Programme und registrierten Internetzugang wieder herstellen.

Nun, du hastdich anders entschieden und weißt nicht, wie du das Problem lösen sollst. Das Jammertal ist unendlich groß und es ist kein Ende zu sehen. Dein System von Malware zu reinigen (falls es überhaupt möglich ist) sollte wesentlich länger dauern, als das Löschen der vorhandenen Partitionen und die Neuinstallation von w2k. Zuvor kannst du noch ein paar private, selbst angelegte Daten auf einer CD sichern und 4 Wochen später unter Anwesenheit eines aktiven+alktuellen OnAcces-Scanners wieder auf die Festplatte kopieren. (4 Wochen, weil danach vermutlich der Scanner die Malware erkennt)

Aber es ist deine Entscheidung! Wie auch der Besitz eines Bots, welcher vom Downloader auf dein System installiert wurde oder das Testen einer Betaversion eine unausgekochten Software.
0

#5 Mitglied ist offline   Balder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 168
  • Beigetreten: 03. Juni 06
  • Reputation: 0

geschrieben 24. Juni 2007 - 15:35

Die Antwort war kein Virus oder sonstiges sondern ne Fehleinstellung bei Adware 2007 ;)
dennoch danke :wink:
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0