Automatische Auswertung Von Hijackthis
#136
geschrieben 29. Juni 2004 - 13:20
>C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe Unbekannt
>Laufender Prozess. (mcregwiz.exe)
>Dies ist ein unbekannter Prozess.
Gehört auch zu Mcafee Virenscanner.
Und ich find die Seite echt toll gemacht!
>Laufender Prozess. (mcregwiz.exe)
>Dies ist ein unbekannter Prozess.
Gehört auch zu Mcafee Virenscanner.
Und ich find die Seite echt toll gemacht!
Anzeige
#137
geschrieben 30. Juni 2004 - 15:12
Hallo hab da mal paar fragen zu den ergebnissen von dem Hijackthis
hab zuerst meinen PC mit Antivir,Spybot und ewido duchgescannt trotzdem bekomme ich bösartige meldungen wie zb.
C:\WINDOWS\system32\slserv.exe
F0 - system.ini: Shell=
und dann bekomme ich noch welche mit einem fragezeichen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvi
O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
möchte gerne wissen was das für sachen sind und wenn sie gefährlich sind wie man sie loswird
und noch ne frage hätte ich was ist fixen?steht auch nicht im computer-lexikon
wäre euch für aufklärungen und lösungen sehr dankbar
achja ich habe XP-home+Sp1 und alle patch
hab zuerst meinen PC mit Antivir,Spybot und ewido duchgescannt trotzdem bekomme ich bösartige meldungen wie zb.
C:\WINDOWS\system32\slserv.exe
F0 - system.ini: Shell=
und dann bekomme ich noch welche mit einem fragezeichen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvi
O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
möchte gerne wissen was das für sachen sind und wenn sie gefährlich sind wie man sie loswird
und noch ne frage hätte ich was ist fixen?steht auch nicht im computer-lexikon
wäre euch für aufklärungen und lösungen sehr dankbar
achja ich habe XP-home+Sp1 und alle patch
#138
geschrieben 30. Juni 2004 - 15:35
> C:\WINDOWS\system32\slserv.exe
Es könnte der Virus W32/Gaobot.CR sein. Scanne das File mal mit einem aktuellen Antivirenscanner. Wenn du SIS-Treiber installiert hast, ist dieser Prozess aber normal.
> F0 - system.ini: Shell=
F0 Einträge (Autostart-Programmeinträge in INI-Dateien) sind immer schlecht und müssen gefixt werden.
> O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvi
> O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
>O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
Nicht böse. Ungefährliche IP-Adressen.
>F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Wenn nach userinit.exe wirklich ein ',' steht, dann kann es BÖSE sein. Wenn danach noch eine Datei steht definitiv BÖSE.
> O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Überflüssig, also nicht benötigt.
Es könnte der Virus W32/Gaobot.CR sein. Scanne das File mal mit einem aktuellen Antivirenscanner. Wenn du SIS-Treiber installiert hast, ist dieser Prozess aber normal.
> F0 - system.ini: Shell=
F0 Einträge (Autostart-Programmeinträge in INI-Dateien) sind immer schlecht und müssen gefixt werden.
> O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvi
> O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
>O17 - HKLM\System\CCS\Services\Tcpip\..\{28498A0E-BA8B-42CC-A0CC-E970BEA11BA4}: NameServer = 195.3.9
Nicht böse. Ungefährliche IP-Adressen.
>F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Wenn nach userinit.exe wirklich ein ',' steht, dann kann es BÖSE sein. Wenn danach noch eine Datei steht definitiv BÖSE.
> O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Überflüssig, also nicht benötigt.
Dieser Beitrag wurde von MatzeSZ bearbeitet: 30. Juni 2004 - 15:47
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
#139
geschrieben 30. Juni 2004 - 16:21
C:\WINDOWS\System32\wiaacmgr.exe
Unbekannt Laufender Prozess. (wiaacmgr.exe)
Dies ist ein unbekannter Prozess. <<< ?
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Unbekannt Zum eingegebenen Programm C:\WINDOWS\system32\userinit.exe, haben wir folgendes Programm gefunden: .
Nicht bekanntes Programm. <<< ?
F0 - system.ini: Shell=
Böse Solche Einträge sollten unbedingt gefixt werden.
Sofort fixen! <<< ist die system.ini nicht Windowseigentum?
D:\System\Ultra Edit 10\uedit32.exe
Unbekannt Laufender Prozess. (uedit32.exe)
Dies ist ein unbekannter Prozess. <<< Ist clean, ist ein Editor!
D:\GhostTyperXML\GhostTyp.exe
Unbekannt Laufender Prozess. (GhostTyp.exe)
Dies ist ein unbekannter Prozess. <<< Ist clean, ist ein Typetool!
O4 - Startup: GhostTyp.lnk = D:\GhostTyperXML\GhostTyp.exe
Unbekannt Zum eingegebenen Programm 'GhostTyp.lnk (GhostTyp.exe)' haben wir folgendes Programm gefunden: 'Kein '. (Resultate)
Nicht bekanntes Programm. <<< Ist clean, ist ein Typetool!
Was mich eigentlich interessiert ist das mit der F0 - system.ini, fixen oder noch Fehler in Hijackauswertung?
Unbekannt Laufender Prozess. (wiaacmgr.exe)
Dies ist ein unbekannter Prozess. <<< ?
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Unbekannt Zum eingegebenen Programm C:\WINDOWS\system32\userinit.exe, haben wir folgendes Programm gefunden: .
Nicht bekanntes Programm. <<< ?
F0 - system.ini: Shell=
Böse Solche Einträge sollten unbedingt gefixt werden.
Sofort fixen! <<< ist die system.ini nicht Windowseigentum?
D:\System\Ultra Edit 10\uedit32.exe
Unbekannt Laufender Prozess. (uedit32.exe)
Dies ist ein unbekannter Prozess. <<< Ist clean, ist ein Editor!
D:\GhostTyperXML\GhostTyp.exe
Unbekannt Laufender Prozess. (GhostTyp.exe)
Dies ist ein unbekannter Prozess. <<< Ist clean, ist ein Typetool!
O4 - Startup: GhostTyp.lnk = D:\GhostTyperXML\GhostTyp.exe
Unbekannt Zum eingegebenen Programm 'GhostTyp.lnk (GhostTyp.exe)' haben wir folgendes Programm gefunden: 'Kein '. (Resultate)
Nicht bekanntes Programm. <<< Ist clean, ist ein Typetool!
Was mich eigentlich interessiert ist das mit der F0 - system.ini, fixen oder noch Fehler in Hijackauswertung?
#140
geschrieben 30. Juni 2004 - 16:27
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Benutzt Ihr die neue Version von HijackThis? Ich habe gerade mal die neuste gestestet und gesehen, das es bei mir diese Einträge auch gibt. In der Vorgängerversion hat er das noch nicht angezeigt. Da das bei mir angezeigt wird und mein System 100% Sauber ist, sind diese beiden Einträge wohl auch in Ordnung.
@Xander unbekannte Prozesse werde ich gleich eintragen.
Prozess wiaacmgr.exe gehört zur Geräteintegration in Windows XP. Wenn es Interessiert: http://archiv.tu-che...ata/ws04-2.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Benutzt Ihr die neue Version von HijackThis? Ich habe gerade mal die neuste gestestet und gesehen, das es bei mir diese Einträge auch gibt. In der Vorgängerversion hat er das noch nicht angezeigt. Da das bei mir angezeigt wird und mein System 100% Sauber ist, sind diese beiden Einträge wohl auch in Ordnung.
@Xander unbekannte Prozesse werde ich gleich eintragen.
Prozess wiaacmgr.exe gehört zur Geräteintegration in Windows XP. Wenn es Interessiert: http://archiv.tu-che...ata/ws04-2.html
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
#141
geschrieben 30. Juni 2004 - 17:03
Hoi Matze,
wie kann das sein dass ich als ersten Eintrag (Gut!) folgendes bekomme:
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2142)
Gut Zeig die Version des InternetExplorers an. Neuste Version 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2900.2142)
und als Eintrag (eventuell veraltet) etwas später dies:
C:\Programme\Internet Explorer\iexplore.exe
Eventuell veraltet Zeig die Version des InternetExplorers an. Neuste Version 6.00.2800.1106!
Ihre Version () ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!
öh?
Xander
wie kann das sein dass ich als ersten Eintrag (Gut!) folgendes bekomme:
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2142)
Gut Zeig die Version des InternetExplorers an. Neuste Version 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2900.2142)
und als Eintrag (eventuell veraltet) etwas später dies:
C:\Programme\Internet Explorer\iexplore.exe
Eventuell veraltet Zeig die Version des InternetExplorers an. Neuste Version 6.00.2800.1106!
Ihre Version () ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!
öh?
Xander
#142
geschrieben 30. Juni 2004 - 17:09
"...wie kann das sein.."
Mein Gehirn war nicht so schlau, wie das Script. Dämliche Logik. Naja, ist jetzt behoben.
Mein Gehirn war nicht so schlau, wie das Script. Dämliche Logik. Naja, ist jetzt behoben.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
#143
geschrieben 30. Juni 2004 - 18:52
Sooo, Testrechner auch mal gescannt und ich habe wieder Arbeit für dich
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
Unbekannter Prozess gehört aber zu meiner TV-Karte Winfast TV 2000 XP von Leadtek
-----------------------------------------------------------------------------------------------
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
Unbekannter Prozess gehört aber zu Nokia PC Suite
-----------------------------------------------------------------------------------------------
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
Unbekannter Prozess gehört aber zu meiner TV-Karte Winfast TV 2000 XP von Leadtek
-----------------------------------------------------------------------------------------------
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
Unbekannter Prozess gehört aber zu Nokia PC Suite
-----------------------------------------------------------------------------------------------
#144
geschrieben 30. Juni 2004 - 19:27
Naja, was heißt Arbeit.... Ich klicke auf Einfügen, fülle das Formular mit deinen Daten aus, klicke auf Speichern, hoffe das es klappt und mache das gleiche nochmal mit dem nächsten Prozess.
Tadaaa
Tadaaa
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
#145
geschrieben 30. Juni 2004 - 22:01
HijackThis 1.98 erzeugt etwas andere Logfiles als der Vorgänger. Es kann zu ein paar Bugs kommen, da ich noch nicht 100%-ig weiß, was genau anders oder neu ist.
O9 Einträge die mit HijackThis 1.98 gefunden wurden, lassen sich nun auch wieder auswerten.
Vorher:
O9 - Extra button: ICQ Lite (HKLM)
Seit 1.98:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 Einträge die mit HijackThis 1.98 gefunden wurden, lassen sich nun auch wieder auswerten.
Vorher:
O9 - Extra button: ICQ Lite (HKLM)
Seit 1.98:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
#146
geschrieben 01. Juli 2004 - 14:53
@MatzeSZ
danke für deine schnelle antwort
bin leider noch nicht so gut am pc und habe keine ahnung von fixen und weiss auch mit dem ausdruck nichts anzufangen da es auch nicht im computerlexikon zufinden ist .
kann mir in dieser richtung wer weiterhelfen ? währe sehr dankbar
danke für deine schnelle antwort
bin leider noch nicht so gut am pc und habe keine ahnung von fixen und weiss auch mit dem ausdruck nichts anzufangen da es auch nicht im computerlexikon zufinden ist .
kann mir in dieser richtung wer weiterhelfen ? währe sehr dankbar
#147
geschrieben 01. Juli 2004 - 14:56
Schau mal in deinem English Dictonary unter dem Wort "fix" nach. "to fix up" - in Ordnung bringen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#148
geschrieben 01. Juli 2004 - 22:10
Hallo MatzeSZ!
ein kleins script *kopfschüttel* ich würde eher sagen ein traum für alle die sich mit der auswertung von hjt logfile etwas beschäftigen. an und für sich ist das programm hjt schon eine feine sache, aber mit dieser auswertung
avast antivirenprogramm (gut)
traffic-aufzeichnungsprogramm von Mirco Böer (gut)
Altavista Toolbar (gut)
gespeichert unter http://www.hijackthis.de/logfiles/34a59bf2...fb6f095288.html
mfG
Passat2002
ein kleins script *kopfschüttel* ich würde eher sagen ein traum für alle die sich mit der auswertung von hjt logfile etwas beschäftigen. an und für sich ist das programm hjt schon eine feine sache, aber mit dieser auswertung
Zitat
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe Unbekannt
Unbekannt Laufender Prozess. (aswUpdSv.exe)
Dies ist ein unbekannter Prozess.
C:\Programme\Alwil Software\Avast4\ashServ.exe Unbekannt
Unbekannt Laufender Prozess. (ashServ.exe)
Dies ist ein unbekannter Prozess.
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe Unbekannt
Unbekannt Laufender Prozess. (ashDisp.exe)
Dies ist ein unbekannter Prozess.
Unbekannt Laufender Prozess. (aswUpdSv.exe)
Dies ist ein unbekannter Prozess.
C:\Programme\Alwil Software\Avast4\ashServ.exe Unbekannt
Unbekannt Laufender Prozess. (ashServ.exe)
Dies ist ein unbekannter Prozess.
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe Unbekannt
Unbekannt Laufender Prozess. (ashDisp.exe)
Dies ist ein unbekannter Prozess.
Zitat
F:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE Unbekannt
Unbekannt Laufender Prozess. (TRAFFICMONITOR.EXE)
Dies ist ein unbekannter Prozess.
Unbekannt Laufender Prozess. (TRAFFICMONITOR.EXE)
Dies ist ein unbekannter Prozess.
Zitat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.altavista.com/ Eventuell Böse
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://de.altavista.com/ ' nicht kennen, sollte der Eintrag entfernt werden.
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://de.altavista.com/ ' nicht kennen, sollte der Eintrag entfernt werden.
gespeichert unter http://www.hijackthis.de/logfiles/34a59bf2...fb6f095288.html
mfG
Passat2002
#149
geschrieben 02. Juli 2004 - 07:13
Folgende Einträge werde ich demnächst hinzufügen:
>O9 - Extra button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - res://snipit.dll/101 (file
>O9 - Extra button: Favorites Search - {FF925300-80E6-11D4-A15B-FFF9086C1A3C} - C:\PROGRA~1\FAVORI~1\
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.altavista.com/
Hinzugefügt
Weitere Ideen, die bald umgesetzt werden:
- Prüfung ob die aktuelle Version von HijackThis verwendet wird. Hinzugefügt
- Systemprozesse werden nur noch als Gut erkannt, wenn sie im Ordner "system32" liegen. Hinzugefügt
->Frage: Gibt es unter Windows98 auch einen System32 Ordner?
Damit ich auch etwas entlastet werde, werde ich ein Webinterface erstellen, indem Prozesse, Startups und CLSID's eingefügt und gepflegt werden können. Zugang zum Webinterface werde dann nicht nur ich haben sondern auch andere _vertrauenswürdige_ User.
Ich denke auch über eine Mailingliste nach aber ich weiß noch nicht ob Ich eine erstellen werde. (Es sei denn es besteht großes Interesse)
>O9 - Extra button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - res://snipit.dll/101 (file
>O9 - Extra button: Favorites Search - {FF925300-80E6-11D4-A15B-FFF9086C1A3C} - C:\PROGRA~1\FAVORI~1\
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.altavista.com/
Hinzugefügt
Weitere Ideen, die bald umgesetzt werden:
- Prüfung ob die aktuelle Version von HijackThis verwendet wird. Hinzugefügt
- Systemprozesse werden nur noch als Gut erkannt, wenn sie im Ordner "system32" liegen. Hinzugefügt
->Frage: Gibt es unter Windows98 auch einen System32 Ordner?
Damit ich auch etwas entlastet werde, werde ich ein Webinterface erstellen, indem Prozesse, Startups und CLSID's eingefügt und gepflegt werden können. Zugang zum Webinterface werde dann nicht nur ich haben sondern auch andere _vertrauenswürdige_ User.
Ich denke auch über eine Mailingliste nach aber ich weiß noch nicht ob Ich eine erstellen werde. (Es sei denn es besteht großes Interesse)
Dieser Beitrag wurde von MatzeSZ bearbeitet: 02. Juli 2004 - 12:49
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.