|
|
#1
6. November 2008, 14:34
| |||
| |||
 HJT log Hey Evil, lange Rede, kurzer Sinn, f'ed ich meine anderen Computer für eine Weile und bin mit meinem alten. Ich lief ein HJT log auf diese und wollte sicher sein, es war cool. It's been spybot'ed. Ich bin in der Malware U natürlich jetzt und tue mein erstes PL, so erzählen Sie mir nicht, was all die Prozesse sind oder ich stieß man lol, aber ich wollte wissen, ob dieser Computer war gut. Ich hätte tun sollen, bevor ich es ging auf dieser Maschine, aber ich vergaß. Danke. Logfile von Trend Micro HijackThis V2.0.2 Scan saved at 4:29:12 Uhr, am 11/6/2008 Plattform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot-Modus: Normal Laufenden Prozesse: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ WINDOWS \ system32 \ CTsvcCDA.EXE C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ Mdm.exe C: \ WINDOWS \ system32 \ PnkBstrA.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ WINDOWS \ system32 \ MsPMSPSv.exe C: \ WINDOWS \ Explorer.EXE C: \ Program Files \ Creative \ Shared Files \ Module Loader \ DLLML.exe C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ WINDOWS \ SYSTEM32 \ CTXFISPI.EXE C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe C: \ WINDOWS \ system32 \ CTXFIHLP.EXE C: \ WINDOWS \ CTHELPER.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ vptray.exe C: \ WINDOWS \ system32 \ ctfmon.exe C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files \ Eraser \ eraser.exe C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpohmr08.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpotdd01.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpoevm08.exe C: \ WINDOWS \ system32 \ HPZipm12.exe C: \ PROGRA ~ 1 \ Yahoo! \ MESSEN ~ 1 \ ymsgr_tray.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ Bin \ hpoSTS08.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Title = Windows Internet Explorer, die von Yahoo! R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Programme \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Program Files \ Creative \ Shared Files \ Module Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Program Files \ Creative \ Shared Files \ Module Loader \ Audio Emulator \ AudDrvEm.dll " O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe" / r O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Programme \ Gemeinsame Dateien \ Sonic \ Update Manager \ sgtray.exe" / r O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Program Files \ Byteswarm \ LiveUpdate \ LiveUpdate.exe O4 - HKLM \ .. \ Run: [itype] "C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe" O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe" O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [BuildBU] c: \ dell \ bldbubg.exe O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Program Files \ ATI \ ATICustomerCare \ ATICustomerCare.exe" O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" MSRun O4 - HKLM \ .. \ Run: [NeroCheck] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ \ vptray.exe O4 - HKCU \ .. \ Run: [Creative Detector] C: \ Program Files \ Creative \ MediaSource \ Detector \ CTDetect.exe / R O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ PROGRA ~ 1 \ Yahoo! \ MESSEN ~ 1 \ YAHOOM ~ 1.EXE"-quiet O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDEF.EXE O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe O4 - Global Startup: hp psc 1000 series.lnk =? O4 - Global Startup: hpoddt01.exe.lnk =? O8 - Extra Kontext Menüpunkt: & Yahoo! Suche - file: / / / C: \ Program Files \ Yahoo! \ Common / ycsrch.htm O8 - Extra Kontext Menüpunkt: E & Xport auf Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra Kontext Menüpunkt: Yahoo! & Dictionary - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O8 - Extra context menu item: Yahoo! & Maps - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Extra Knopf: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra Knopf: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra button: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra-Taste: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage Validation Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter Class) - C: \ Program Files \ Yahoo! \ Common \ yinsthelper.dll O16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab O16 - DPF: (3E68E405-C6DE-49ff-83AE-41EE9F4C36CE) -- O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://v5.windowsupdate.microsoft.co...?1104017934731 O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl Class) -- http://update.microsoft.com/microsof...?1120930322252 O16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) -- O16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) -- O16 - DPF: (F6ACF75C-C32C-447B-9BEF-46B766368D29) (Creative Software AutoUpdate Support Package) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ system32 \ ati2sgag.exe O23 - Service: Broadcom ASF IP-Monitoring-Service v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: Creative Service für CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ system32 \ IcdSptSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programme \ Gemeinsame Dateien \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: pml Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe O23 - Service: PnkBstrA - Unbekannte Eigentümer - C: \ WINDOWS \ system32 \ PnkBstrA.exe O23 - Service: SAVRoam (SavRoam) - symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe -- End of file - 11075 bytes |
|
#2
6. November 2008, 15:32
| ||||||||||||
| ||||||||||||
| HJT log Da Sie jetzt beginnen sich über Malware und dazu möchte ich Sie bitten - glauben Sie, dieses Protokoll ist sauber?
__________________
Mein System: It's all mine ...
|
|
#3
6. November 2008, 16:02
| |||
| |||
| HJT log Mein Abendessen nur feste bekam, werde ich, erhalten Sie sie in etwa 15 Minuten, nachdem ich meinem Freund essen, solange es heiß ist. |
|
#4
6. November 2008, 16:36
| |||
| |||
| HJT log OK sorry. Ja ich denke, es ist sauber, aber nicht, weil ich noch eine Ahnung, was ich versuche zu tun. Ich glaube, ich habe verdammt gute EDV-Sicherheit übte an dieser Sache, da ich sie habe. Ich habe Spybot laufen und die kommerzielle Version von Symantec (in Bezug auf die Consumer-Version oder die kostenlose Version gegenüber) auf ihn, da ich sie habe. Früher habe ich Zone Alarm als meine Firewall nutzen, und sie waren zum Zeitpunkt anständig. Ich denke aber, dass ich nicht aktualisiert Java in etwa 6 Monate oder so gibt es eine Schwachstelle gibt. Ich habe auch nicht gelungen, die Office-Updates für fast ein Jahr zu installieren, damit auch andere mögliche Schwachstellen zu erhalten. Wenn mein neuer Computer ging (lol ich verschüttete Bier auf heute bei dem Versuch, meinen ersten PL erledigen) hatte ich auf diese eine zu verwenden. Ich erinnerte mich, dass ich nicht angenommen wurde, einen Computer verwenden, das war nicht für die Ausbildung so sauber, ich lief HJT on this one. Don't tell me please, etwas über meinen Prozess anzumelden. ich zu tun habe, dass mich und ich es machen werde. Ich möchte nur sicher sein, dass ich in Übereinstimmung mit der Politik der Malware U's von einem sauberen Computer bin. Ich denke, vielleicht sollte ich haben diese dort gebucht, aber ich bin gekommen, wie Vertrauen und Böse, und in einem Umfang Sie, (habe ich nicht gelesen Sie so oft wie Evil). Ich mag die Tatsache, die Sie testen, aber ich bin nur so neu, dass ich an diesem kann keine definative Antworten. Fragen Sie mich in einem Monat lol. Und vielen Dank. EDIT: Es wird jedoch eine Frage stellen. Als ich die HJT auf dem abgestürzten Computer es zeigte nur 10 Prozesse. Das schien nicht richtig zu mir, damit ich öffnete Windows Task-Manager. Tatsächlich gab es 64 Prozesse laufen nach dieser. Warum der große Unterschied? |
|
#5
6. November 2008, 16:48
| |||
| |||
| HJT log Keine Sorge, ich werde Ihnen nicht sagen, keine Antworten. Wenn ich das täte, was wäre die Nummer Ihrer Ausbildung werden? Sie werden nicht mit mir zu lernen, erzählen Sie Antworten - Sie lernen durch Fehler zu machen. Ich mache diese klar, alle Auszubildenden in die Akademie, wo ich Malware-Entfernung zu unterrichten. Ich will Ihnen sagen, dass, basierend auf der Login Sie auf dem Laufenden, die Maschine zu sein scheint sauber. Etwas zu berücksichtigen, wenn - HJT ist ein nützlicher Ausgangspunkt für das Betrachten am PC - es jedoch nicht, geben Sie die ganze Geschichte. Dies ist etwas, das Sie im Laufe der Zeit zu lernen. Als Antwort auf Ihre Frage über die Prozesse, beginnen wir am Anfang - was genau ist HJT? Was tut es? Es ist Zeit für Bett hier, aber ich hole das bis morgen wieder. |
|
#6
6. November 2008, 17:10
| |||
| |||
| HJT log Thanks a lot bro. Ich schätze die Hilfe. Es ist schön, ein "außen" Ressource, die ich Gedanken bounce off kann, ohne sich Gedanken über dich, mir haben die Antworten. Wenn ich Schritt über die Linie, ich weiß, entweder Sie oder Böse wird mir sagen. EDIT: Ich gehe an diesen Prozessen von diesem Computer zu tun, den anderen nicht. Tother war zu einfach. Ich wusste, auf einen Blick, was alen davon wurden. Ich habe die, die aus dieser Forschung ein. |
|
#7
6. November 2008, 17:42
| |||
| |||
| HJT log Es ist erfrischend für mich auch mit Glasgower Stellung nehmen. Es ist gut, die Eingabe von mehr als einer Hand zu haben.
__________________  |
|
#8
6. November 2008, 18:58
| |||
| |||
| HJT log So wandte ich mich meinem "neuen" Computer wieder ein. Hier ist der HJT log. Sehen Sie sich die Prozesse aber? Es zeigt 10, während mein Task-Manager 64 zeigt. What's up with that? Die 10 sind, dass showinfg Ich brauche nichts zu wissen, was sie wissen. Auch ich weiß, der Rest ist sauber. Logfile von Trend Micro HijackThis V2.0.2 Scan saved at 1:19:15 Uhr, am 11/6/2008 Plattform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot-Modus: Normal Laufenden Prozesse: C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe C: \ Program Files \ Logitech \ GamePanel Software \ LCD Manager \ Applets \ LCDMedia.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch = R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll F2 - REG: system.ini: Userinit = userinit.exe O1 - Hosts::: 1 localhost O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: Google Toolbar Helper - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (no name) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (no file) O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe" O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] C: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ MICROS ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] C: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ MICROS ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Default User ") O8 - Extra Kontext Menüpunkt: E & Xport auf Microsoft Excel - res: / / C: \ PROGRA ~ 2 \ MICROS ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programme \ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programme \ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra button: Send to OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra 'Tools' menuitem: S & end in OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 2 \ MICROS ~ 2 \ Office12 \ REFIEBAR.DLL O9 - Extra Knopf: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O13 - Gopher Prefix: O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (ALG) - Unbekannte Eigentümer - C: \ Windows \ System32 \ alg.exe (file missing) O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unbekannte Eigentümer - C: \ Program Files \ COMODO \ COMODO Internet Security \ cmdagent.exe O23 - Service: @ dfsrres.dll, -101 (DFSR) - Unbekannte Eigentümer - C: \ Windows \ system32 \ DFSR.exe (file missing) O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Unbekannte Eigentümer - C: \ Windows \ system32 \ fxssvc.exe (file missing) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unbekannte Eigentümer - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Gemeinsame Dateien \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: @ keyiso.dll, -100 (KeyIso) - Unbekannte Eigentümer - C: \ Windows \ system32 \ lsass.exe (file missing) O23 - Service: @ comres.dll, -2797 (MSDTC) - Unbekannte Eigentümer - C: \ Windows \ System32 \ msdtc.exe (file missing) O23 - Service: @% SystemRoot% \ System32 \ Netlogon.dll, -102 (Netlogon) - Unbekannte Eigentümer - C: \ Windows \ system32 \ lsass.exe (file missing) O23 - Service: ForceWare IP Service (nSvcIp) - Unbekannte Eigentümer - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unbekannte Eigentümer - C: \ Windows \ system32 \ nvvsvc.exe (file missing) O23 - Service: PnkBstrA - Unbekannte Eigentümer - C: \ Windows \ system32 \ PnkBstrA.exe O23 - Service: @% systemroot% \ system32 \ Psbase.dll, -300 (ProtectedStorage) - Unbekannte Eigentümer - C: \ Windows \ system32 \ lsass.exe (file missing) O23 - Service: @% systemroot% \ system32 \ Locator.exe, -2 (RpcLocator) - Unbekannte Eigentümer - C: \ Windows \ system32 \ Locator.exe (file missing) O23 - Service: @% SystemRoot% \ System32 \ Samsrv.dll, -1 (SamSs) - Unbekannte Eigentümer - C: \ Windows \ system32 \ lsass.exe (file missing) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Unbekannte Eigentümer - C: \ Windows \ system32 \ SLsvc.exe (file missing) O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Unbekannte Eigentümer - C: \ Windows \ System32 \ snmptrap.exe (file missing) O23 - Service: @% systemroot% \ system32 \ spoolsv.exe, -1 (Spooler) - Unbekannte Eigentümer - C: \ Windows \ System32 \ spoolsv.exe (file missing) O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Unbekannte Eigentümer - C: \ Windows \ system32 \ UI0Detect.exe (file missing) O23 - Service: @% SystemRoot% \ system32 \ Vds.exe, -100 (VDS) - Unbekannte Eigentümer - C: \ Windows \ System32 \ Vds.exe (file missing) O23 - Service: @% systemroot% \ system32 \ Vssvc.exe, -102 (VSS) - Unbekannte Eigentümer - C: \ Windows \ system32 \ Vssvc.exe (file missing) O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Unbekannte Eigentümer - C: \ Windows \ system32 \ wbengine.exe (file missing) O23 - Service: @% Systemroot% \ system32 \ wbem \ wmiapsrv.exe, -110 (wmiApSrv) - Unbekannte Eigentümer - C: \ Windows \ system32 \ wbem \ WmiApSrv.exe (file missing) O23 - Service: @% ProgramFiles% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Unbekannte Eigentümer - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (file missing) -- End of file - 9203 bytes |
|
#9
7. November 2008, 12:05
| |||
| |||
| HJT log Sie haben keine Antwort auf die zwei Fragen, die ich früher über HJT - die Antworten erfahren Sie, was Sie suchen, um im Protokoll. |
|
#10
7. November 2008, 13:26
| |||
| |||
| HJT log Sorry, ich habe keine Antwort haben, dann musste ich es nach oben blicken und es schlugen in mein Gehirn. HJT ist ein Dienstprogramm verwendet, um Malware zu identifizieren. Es erzeugt eine Liste der Einstellungen auf einem einzelnen Computer gefunden. Es scannt die Registry und andere Dateien (ich weiß nicht, was noch andere, ich gerade erst begonnen), die für Einträge wie die Spyware oder Hijacker-Programme hinterlassen würde llok. Seit legitime Programme lassen manchmal verlassen die gleichen Dinge hinter sich, ich habe den Unterschied zu lernen. |
