[Spezi]

noch ein paar falsch gemeldete dinge:

C:\Programme\MYIE2\MyIE.exe ist gut
C:\WINDOWS\System32\cmd.exe würde ich vielleicht auf eventuel böse machen
C:\Programme\Macromedia\HomeSite 5\HomeSite5.Exe ist gut
C:\Programme\FlashGet\flashget.exe ist gut
C:\Programme\WinRAR\WinRAR.exe ist auch gut

Das sind eigentlich nur gute: (sind ja eigentlich nur seiten wo der ie suchen soll)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.co...l={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.co...l={SUB_RFC1766}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.co...l={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s

[Tacito]

HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
--> Nero DriveSpeed is defintiv NICHT böse

E:\Programme\getright\GRdownload.htm
E:\Programme\getright\GRbrowse.htm
--> Und auch GetRight ist nicht böse, nicht mal eventuell, sondern einfach nur ein Downloadmanager

Ansonsten aber super Arbeit! Der Vollständigkeit halber eventuell noch Trillian einfügen, so unbekannt ist es denn ja nicht, aber wirklich klasse gemacht !

Voll zufrieden!

[achilleus]

so hab noch nen paar rechner hier gescannt:

router

C:\WINDOWS\system32\serverappliance\appmgr.exe - Microsoft Remoteserver-Manager
C:\WINDOWS\System32\dns.exe - Microsoft Domänennamenserver (DNS)
C:\WINDOWS\system32\serverappliance\elementmgr.exe - Microsoft Webelement-Manager
C:\Programme\GFI\DownloadSecurity\msecatt.exe - GFI Software Ltd. Attendant Service
C:\WINDOWS\system32\cba\pds.exe - Intel CBA -- Ping Discovery Service (ist von den Netzwerkkartentreibern)
C:\Programme\Microsoft SQL Server\MSSQL$MSFW\Binn\sqlservr.exe - Microsoft SQL Server Windows NT
C:\WINDOWS\system32\ntfrs.exe - Microsoft Dateireplikationsdienst
C:\WINDOWS\system32\serverappliance\srvcsurg.exe - Microsoft Remoteverwaltungsdienst
C:\Programme\TightVNC\WinVNC.exe - Tightvnc VNC Server
C:\SUS\wusync\WUSyncSvc.exe - Microsoft Windows Update Synchronization Service
C:\Programme\GFI\DownloadSecurity\autdlsvc.exe - leider ist GFI Software sehr zurückhaltend mit infos darüber, ist aber nichts böses;)
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe - Intel AMS2 Handler Manager Service (also wieder Netzwerkkarte)
C:\WINDOWS\system32\MsgSys.EXE - CBA -- Message System (intel .....)
C:\WINDOWS\system32\ams_ii\iao.exe - intel Alert Originator Manager
C:\WINDOWS\system32\cba\xfr.exe - CBA - Message Resource (soviel Intel sachen;D)
C:\Programme\Microsoft ISA Server\mspadmin.exe - Microsoft Internet Security and Acceleration Server 2004 RC Control Service
C:\Programme\Microsoft ISA Server\W3Prefch.exe - Microsoft Web Proxy Cache Pre-fetch Service
C:\WINDOWS\system32\dllhost.exe - Microsoft COM Surrogate
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe - Microsoft SQL Server Service Manager
C:\Programme\cFos\cFosDNT.exe - cFos halt;)
C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe - ip blocker, schöne software http://www.methlabs.org/methlabs.htm
----
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.winfuture.de/ <- hehe :D
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Startup: T-Online DSL.lnk = ?
O4 - Startup: Verknüpfung mit dnetc.lnk = C:\Programme\distributed.net\dnetc.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = home
O17 - HKLM\Software\..\Telephony: DomainName = home
O17 - HKLM\System\CCS\Services\Tcpip\..\{9953C5DC-D682-48A1-8B90-191509BD84AD}: NameServer = 217.237
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = home
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = home

weiterer rechner

C:\WINNT\system32\drivers\KodakCCS.exe - Kodak DC Ring 3 Conduit (Win32)
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe - KODAK PTS service
C:\WINNT\system32\regsvc.exe - Microsoft Remote Registry Service
C:\Programme\Symantec AntiVirus\SavRoam.exe - Symantec SAVRoam
C:\WINNT\system32\MSTask.exe - Microsoft Taskplaner-Engine
C:\WINNT\system32\stisvc.exe - Microsoft Still-Image-Gerätemonitor
C:\WINNT\System32\WBEM\WinMgmt.exe - Windows-Verwaltungsinstrumentation
C:\Programme\RealVNC\WinVNC\WinVNC.exe - RealVNC VNC Server (k ... muss ich mal auf tightvnc updaten;))
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe - HP DeskJet Treiber
C:\Programme\ScanSoft\OmniPageSE\opware32.exe - ScanSoft OCR Aware
C:\Corel\Graphics8\Programs\MFIndexer.exe - Utility which indexes Corel Media Folders
C:\Programme\Trillian\trillian.exe - Tillian;)
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2003\EDICT.EXE - Microsoft Encarta Dictionary Tools
----
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank - johh is ne böse Seite, gell;)
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe 
O4 - Startup: Verknüpfung mit dnetc.lnk = C:\Programme\distributed.net\dnetc.exe  
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe 
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\ 
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL 
O9 - Extra button: Recherchieren (HKLM) 
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) 
O9 - Extra button: Real.com (HKLM) 
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - ht 
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http:
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zo
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft 
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx - hmm ... böse ... wo waren die denn wieder am rumsurfen :D
O17 - HKLM\System\CCS\Services\Tcpip\..\{A05BD628-1386-4B30-902C-75B7D8779029}: NameServer = 192.168

weitere werden noch folgen

[pSyCHo_SolDiEr]

Zitat (MatzeSZ @ 13.06.2004: 10:00)

@pSyCHo_SolDiEr:
Die Zeile die du mir gestern von Winamp gegeben hast, stuft er bei mir als Gut ein. Hast du die gleiche Zeile genommen?

Also wenn ich die Zeile einzeln verarbeiten lasse stuft er sie als gut ein das stimmt.
Jedoch im zusammenhang mit meiner ganzen Logfile stuft er sie immer noch als Böse ein und bringt folgenden Fehler:

Einige Programme sind hier schlecht. Das eingegebene Programm ([WinampAgent] - Treffer: Win l5oahder) wurde überprüft. (InfoUp)

[Rika]

fast.exe gehört zur MS-Office-Indexerstellung.
alg.exe = Windows-Dienst "Application Layer Gateway" und ist, außer bei ICS, total überflüssig.

[Matze]

@Spezi und Tacito:
Sollte nun nicht mehr als unbekannt eingestuft werden.
Systemprozesse deklariere ich nicht als böse denn dann kann ja jede Systemdatei als Böse gelten kann, weil sie von einem Virus/Wurm befallen sein könnte.

@achilleus:
Größtenteils sind die Fehler behoben. Noch nicht behobene Sachen stehen im Ersten Post von mir.

@shelby:
Auch das ist behoben.

@pSyCHo_SolDiEr:
Hm... Ich werde mal gucken woran es liegt.
Edit: War ein kleiner Datenbank Fehler. Sollte nun gehen.

@Rika:
Werde beim alg.exe Prozess eine Entsprechende Meldung ausgeben.

Thx an alle

Dieser Beitrag wurde von MatzeSZ bearbeitet: 13. Juni 2004 - 11:41

[BlueDarknezz]

hab einen weiteren durchlauf machen lassen...

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts --- Dieser Eintrag muss sofort gefixt werden. --- Böse

...die hosts ist die standard-hosts, ohne weitere einträge...also auch "Gut"

Edit:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6259FFE-EFE4-4802-AE75-6B2D528F58A6}: NameServer = 217.237

...wird als "Eventuell Böse" eingestuft, hier sollte nicht nur "Gut" kommen, sondern evtl. gleich noch ein hinweis, dass der eintrag automatisch für den provider t-online gemacht wird

müsste es dann mit anderer ip-range auch von anderen providern in der reg geben, wenn ich mich nicht täusche

------

C:\WINDOWS\system32\LEXBCES.EXE --- Laufender Prozess. (LEXBCES.EXE) --- Unbekannt

...auch noch ein lexmark-service

------

UserInit = C:\WINDOWS\system32\userinit.exe, --- Laufender Prozess. (userinit.exe,) --- Unbekannt

...logon-skript von ms

Dieser Beitrag wurde von BlueDarknezz bearbeitet: 13. Juni 2004 - 12:13

[ichbines]

ich poste auch mal meine Log, zur verbesserung des Skriptes:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 13:00:01, on 13.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Nod32\nod32krn.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Nod32\nod32kui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\VMware\VMware Workstation\vmware.exe
C:\Programme\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\System32\cmd.exe
D:\xampp\apache\bin\Apache.exe
C:\WINDOWS\System32\cmd.exe
D:\xampp\mysql\bin\mysqld.exe
D:\xampp\apache\bin\Apache.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\wscite\SciTE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Miranda\miranda32.exe
C:\Programme\WinRAR\WinRAR.exe
D:\temp\temp\temp\Rar$EX00.781\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {02E09B2E-2A03-4572-9291-69900C068564} (LCSim Control) - http://www.learnitco.../cabs/lcsim.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/V5co...b?1086184996453
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://81.223.149.227/tsweb/msrdp.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\AutoCAD 2002\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/....com_medium.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\AutoCAD 2002\AcPreview.ocx
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwn...m/cab/crack.CAB
O16 - DPF: {FC7DCECC-801C-42D0-B080-B68A2C18B095} (eMedia ActiveSearch) - file://D:\ct\asearch\asearch.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A8BEE56-D464-4A18-8D18-7EB2D467FE82}: NameServer = 193.101.111.10,192.168.0.2

Dieser Beitrag wurde von ichbines bearbeitet: 13. Juni 2004 - 12:17

[sensi]

Zitat (ichbines: 13.06.2004, 13:01)

ich poste auch mal meine Log:

Laut automatischer Auswertung:

O10 - Broken Internet access because of LSP provider 'imon.dll' missing
Diese Einträge sollten nicht manuell gelöscht werden!
Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org , oder Spybot S&D von Kolla.de.
Böse
Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de!

[ichbines]

Zitat (sensi: 13.06.2004, 13:11)

Laut automatischer Auswertung:

Ja, das ist mir auch aufgefallen.
Auf wintotal.de steht aber folgendes:

Zitat

O10 = Winsock-Veränderungen (Beispiel durch New.Net), Hinweis: wer NOD32 oder Norman Antivirus benutzt sollte "imon.dll missing" bzw. "normanpf.dll missing" ignorieren.

Ja, und ich verwende NOD32. Also kann ich es ignorieren.

[Matze]

>O10 - Broken Internet access because of LSP provider 'imon.dll' missing
Ist definitiv böse. Da hat das Script Recht
Aus Gründen der Systemsicherheit sollte der Eintrag nicht mit HijackThis gefixt werden. Also erst einmal Spybot oder LSPFix drüber laufen lassen.

Edit: hm... davon steht auch nichts in der Anleitung von HijackThis. Wusst' ich nicht. Werde das beheben.

Edit2: Behoben.

Dieser Beitrag wurde von MatzeSZ bearbeitet: 13. Juni 2004 - 12:28

[Spezi]

und nochwas:

O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

-> sind gut

[Matze]

@BlueDarknezz:
Hatte deinen Post übersehen.
Seit wann zeigt denn HijackThis "O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts" an? HijackThis zeigt den Eintrag doch nur an wenn der Verweis auf eine andere Stelle ist oder irre ich mich da jetzt?
Die Einträge werden als evtl. Böse eingestuft, weil das Script nicht wissen kann, ob die IP gut oder schlecht ist. Hier muss der User schon selbst wissen, ob er die IP kennt. Ich kann aber eine IP Überprüfung einbauen, wenn es verlangt wird.
Prozesse sind eingefügt.

@Spezi:
Eingefügt.

[BlueDarknezz]

also das mit der hosts war einmal, hab es nochmal nachprüfen lassen, nachdem ich in der hosts einen absatz entfernt hatte und hijackthis hat es nicht ein weiteres mal erkannt...lag also auch nicht unbedingt an deinem skript

die ips waren auch alle korrekt, hab auch die aus der reg per nslookup auflösen lassen zu t-online