[sonja]

Da ich ein Cram Toolbar bei mir gefunden habe, ließ ich hijackthis ein Log machen. Sieht jemand darin ein Problem?:

Logfile of HijackThis v1.99.1
Scan saved at 11:51:09, on 29.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\internet\ZoneAlarm\zlclient.exe
C:\Programme\tools\Antivirus\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\internet\K9\K9.exe
C:\Programme\tools\dllscan\DllScan.exe
C:\PROGRAMME\TOOLS\ANTIVIRUS\AVGUARD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\tools\Antivirus\INETUPD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.co...ss/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Grafik\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTB00429 - {1395A06F-EEA0-4445-BA0C-E8B56B48E244} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Media\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\internet\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\tools\NG2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\tools\Antivirus\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Phase One Media Reader] C:\PROGRA~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart
O4 - HKLM\..\RunOnce: [VcCleanUp.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VcCleanUp.exe /F C:\PROGRA~1\GEMEIN~1\SYMANT~1\LiveReg\ /RemoveAll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Launch K9.lnk = C:\Programme\internet\K9\K9.exe
O4 - Startup: DLL-Scan.lnk = C:\Programme\tools\dllscan\DllScan.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{546C450A-23EE-4D36-AB74-578D3C6F2D19}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C96B2C62-C85B-4497-9591-B07B180B6533}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{546C450A-23EE-4D36-AB74-578D3C6F2D19}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{546C450A-23EE-4D36-AB74-578D3C6F2D19}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\TOOLS\ANTIVIRUS\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\tools\Antivirus\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\tools\NG2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[Urne]

O Ha! Da ist einiges nicht so tolles dabei. Zur Auswertung->Klick!

[aplo]

da würde ich vorschlagen: Formatieren... da is nicht mehr viel zu retten

[JollyRoger2408]

Hallo,
ich befürchte, da hast du dir einiges eingefangen, sieht nicht gut aus.

[Urne]

Zitat

Lach mich kaputt, diese vermeintlichen Experten. Was hat sonja sich denn eingefangen!?

Mach doch! Für mich sehen die Einträge nach Spyware, Keylogger o.ä. aus. Es hat auch noch kein Feedback gegeben, welcher sagt woher die Einträge kommen. Woher soll hier jemand wissen was das genau ist. Es kennt schließlich niemand den Rechner.

[flo]

Zitat

Für mich sehen die Einträge nach Spyware, Keylogger o.ä. aus

Welche denn? Ich sehe da nicht wirklich was schlimmes, aber ich sehe das das Windows mit nLite bearbeitet wurde..

[Urne]

Hmm und was ist mit der Aussage:

Zitat

Da ich ein Cram Toolbar bei mir gefunden habe, ließ ich hijackthis ein Log machen.

Ich kannte das Teil nicht, aber lt. Google ist da einiges an Adware oder so´n Ferz drinn. Das würde mir die komischen Prefix-Einträge erklären. Oder legt nLite diese Einträge an?

[flo]

Die präfix einträge kommen davon wenn man mit nLite den IE entfernt.

Aber wir sollten warten bis sonja sich meldet, denn wenn sie nicht nLite genutzt hat, dann würde ich auch schlimmes vermuten

[Urne]

Zitat

Die präfix einträge kommen davon wenn man mit nLite den IE entfernt.

Aha, gut das zu wissen.

[flo]

Zitat

MSIE: Unable to get Internet Explorer version!

Dies ist auch ein Hinweis darauf

[sonja]

Erstmal danke für die Antworten. Natürlich habe ich den Rechner nicht platt gemacht, weil die Feedbacks, die dazu rieten, absolut unqualifiziert waren. nlite und litepc sind eingesetzt worden um das XP abzusprecken. Daher kann kein IE identifiziert werden. Es gibt nämlich keinen. Andere Dinge wie DLL.scan, K9, Antivir und Zonealarm sind aktiviert und sollen es sein. Es gibt aber Einträge zu Zone Alarm, die merkwürdig sind:

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

und die anderen ähnlichen Zeilen. Muß da etwas gemacht werden?


BAstiL, gibt es ein Argument gegen ZoneAlarm?

Dieser Beitrag wurde von sonja bearbeitet: 06. Oktober 2005 - 06:01

[Graumagier]

sonja sagte:

Es gibt aber Einträge zu Zone Alarm, die merkwürdig sind:

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

und die anderen ähnlichen Zeilen. Muß da etwas gemacht werden?

1.) Hängt wohl mit dem nicht vorhandenen Internet Explorer zusammen.
2.) Was hat das mit ZoneAlarm zu tun?

sonja sagte:

gibt es ein Argument gegen ZoneAlarm?

Gegenfrage: Gibt es ein Argument für ZoneAlarm?