[mink]

Vorab meinen höchsten Respekt für deine Mühe.

C:\Programme\Winbond\HWDoctor\HWDOCTOR.EXE

ähnlich Motherboardmonitor usw zum Auslesen von Temps und Fandrehzahlen.

wird als unbekannt eingestuft obwohl die englische Erklärung bereits was anderes aussagt.

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm

Ebay-Suchleiste in den neueren Versionen von Irfanview Bildbearbeitung- kann aber in den Optionen ausgeschaltet werden - war bei mir auch so, sollte ich den Eintrag trotzdem fixen?.
Die Suche geht über die Server http://adfarm.mediaplex.com/ad/ck....,
wahrscheinlich selbe "Problematik" wie bei Firefox
cu mink

[Major König]

Habe jetzt mal die verbesserte Suche genutzt und da sind mehrere Einträge wo er meint es ist eventuell böse allerdings verwechselt das Programm die Einträge mit anderen Programmen. zum besseren auswerten habe ich die Log gespeichert hier der Link dazu.

http://www.hijackthis.de/logfiles/ff78f75a...50b070b6be.html

P.S. Keines der vermeintlich bösen Programme ist böse.
P.P.S. Warum ist da eigentlich immer noch 1.98.2 als neuste Version angegeben? Es gibt doch schon 1.99

MfG

Dieser Beitrag wurde von Major König bearbeitet: 12. Dezember 2004 - 02:02

[Matze]

@reboot: Einträge werden erkannt.

@mink: Hardware Doktor wird erkannt. Den eBay-Button habe ich auch als gut eingestuft weil ich daran nichts schlechtes entdecken kann.

@Major König:
Du hast noch die Powerquest-Version von 'PQV2iSvc.exe' die neuste Version gehört zu Norton, deshalb wird als Standardpfad auch der von Norton ausgegeben.
Deine PestPatrol-Prozesse laufen ja auch im richtigen Ordner, nur weiß das Script nicht das Pestpa~1, Pestpatrol lauten soll. (Hat einer eine Idee wie man das erkennen könnte?)
Dynwin.exe und javaw.exe werden nun richtig erkannt.

Hinweis: Eventuell Böse soll nicht Böse heißen, sondern den Benutzer lediglich darauf hinweisen, dass er das genauer überprüfen soll.

Die aktuelle offizielle Version ist 1.98.2! Die 1.99.0 ist eine Beta-Version und beinhaltet laut Merijn noch einen Fehler. Deshalb sollte die 1.99.0 noch eigentlich nicht benutzt werden. Erst wenn die 1.99.0 offiziell als Final erscheint, wird es auch so angegeben.

[Major König]

Einen Fehler? Oh, dass wusste ich nicht. Ist der Fehler relevant für eine Fehlerfreie Auswertung des Systems?
Dann mache ich mal wieder 1.98.2 drauf.

Darf ich noch was sagen oder liege ich dann wieder falsch? Bei deinem Script wird angegeben: Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106!

Die neuste Version ist aber doch 6.00.2900.2180
Müsste glaube ich die Version ohne SP2 sein?!

[Matze]

"Merijn" sagte:

Please refrain from using the HijackThis 1.99 beta, it has a crash bug and is not finished yet. Be patient and wait for the final version, which should be out soon. 'Beta' does not mean 'pretty much ready anyway'.

Die neuste Version ohne SP2 ist 6.00.2800.1106. Da viele Leute noch kein SP2 installieren wollen und sich gewundert haben, warum es keine IE-Updates gibt habe ich das als die aktuelle Version genommen.

[Rika]

@Major König:
Ich würde sagen daß dort doch viel Böses ist.

[Major König]

Hä? Das ist doch nicht mehr meine Logdatei. Wieso ist in meinem Link plötzlich eine andere Log?

Kapier ich nicht.

Ich habe nix böses ausserdem wäre es mir völlig neu das ich plötzlich Windows Me und IE 5.5 habe.

Dieser Beitrag wurde von Major König bearbeitet: 12. Dezember 2004 - 20:59

[Matze]

@Major König: Hast du eventuell noch andere Logfiles nach deinem ausgewertet?
Der HTML Dateiname wird aus IP-Adresse und einer Zufallszahl generiert. Maximal sind 9 Logfiles pro IP-Adresse möglich. (Andere werden dann überschrieben.)

[Major König]

Zitat (Matze: 12.12.2004, 21:42)

@Major König: Hast du eventuell noch andere Logfiles nach deinem ausgewertet?
Der HTML Dateiname wird aus IP-Adresse und einer Zufallszahl generiert. Maximal sind 9 Logfiles pro IP-Adresse möglich. (Andere werden dann überschrieben.)
<{POST_SNAPBACK}>

Ähh hehe ja stimmt ich halte mich auch auf dem Trojaner-Board auf und habe mir da einige Logs angesehen, ich habe nicht gewusst, das er die dann automatisch speichert.
Windows ME und IE 5.5 kam mir gleich so bekannt vor weil ich das heute erst ausgewertet habe.

[Speedyfree]

Hi
Vorab auch meinen höchsten Respekt für deine Mühe.

Ich hab hier noch etwas entdeckt dass definitiv nicht Böse ist.

Zitat

O23 - Service: Intel NCS NetService - Intel® Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe 

Böse

Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.

Dieser Dienst (NetSvc.exe) scheint böse zu sein.

Und zwar ist dieser Service für die Wlan Verbindung via Intel® PRO/Wireless LAN 2100 3B Mini PCI Adapter zuständig.

Wenn diese Netzwerkkarte Installiert ist, muß auch dementsprechend die Treiber und obiger Dienst Installiert/aktiv sein. Da XP-Pro SP2 diese nicht von Haus aus Unterstützt.
Ich habe obigen Eintrag gefixt, anschkießend hatte ich kein zugriff mehr zum Wlan. Danach hab ich es über die Backup funktion wiederhergestellt und hatte wieder Verbindug.
Falls noch fragen offen sind, steh ich dir gerne zur Verfügung.

[Major König]

Habe da wieder etwas.

C:\Programme\Java\jre1.5.0\bin\jusched.exe Laufender Prozess. (jusched.exe)

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\j2re1.4.2_05\bin\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.


Das könnt ja Verwirrungen auslösen oder nicht? Ausserdem ist j2re1.4.2_05 auch nicht die neuste Version sondern j2re1.4.2_06

Hier ist es allerdings die neue Version

C:\Programme\Java\jre1.5.0\bin\javaw.exe Laufender Prozess. (javaw.exe)

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\j2re1.4.2_06\bin\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.


C:\WINDOWS\system32\javaw.exe Laufender Prozess. (javaw.exe)

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\j2re1.4.2_06\bin\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

[Matze]

Ja ich weiß. Mit der Verzeichnisüberprüfung gibt es noch einige Probleme (deshalb auch noch Beta), da es ja immer Hersteller geben muss, die für jede neue Revisionsnummer einen neuen Ordner haben möchten.

Aber ein Vorteil hat die erweiterte Überprüfung schon. Die O4-Einträge werden in der verbessten Überprüfung viel genauer erkannt als vorher. Zudem gibt es zu jedem Eintrag ein kleines Info-Fenster, mit allgemeinen Informationen zu den Eintragen. (Wird auch noch ausgebaut)

[sensi]

Bei mir gibts das gleiche Ergebnis wie bei shadar.logoth:

Zitat

Mein Kaspersky wird erkannt. Erhalte aber trotzdem:
Sie benutzen anscheinend kein Antivirenscanner oder ihr Scanner ist nicht aktiv. Nur ein Antivirenscanner kann Sie ... Informieren Sie sich ...

[Matze]

Bitte immer das Logfile dazu posten. (Zumindest die laufende Prozessliste im Logfile)

[shadar.logoth]

Was ist
C:\WINDOWS\system32\dae.dll

Google sagt da nix zu.