Mal bitte über dieses Hijackthis logfile schaun.

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von hund22, 19. August 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 19. August 2007
    Hi Leute,

    habe gerade Hijackthis durchlaufen lassen und etwas verwirrd mich:


    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    Fuzzy Algorithmusprüfung (3.45 / 5.00)



    Ich dachte erst das es von truecrypt kommt. Aber das ist aus!

    Ist das trodzdem davon ?

    Habe windoof xp und servicepack 2.

    Hier nochmal der ganze logfile

    Code:
     Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07:32, on 19.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\TrueCrypt\TrueCrypt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\Partypoker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\Partypoker\PartyPokerNet\RunPF.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173193740750
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Unknown owner - C:\WINDOWS\system32\pr2agqwb.exe (file missing)
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Unknown owner - C:\WINDOWS\system32\pr2agqwc.exe (file missing)

--
End of file - 5719 bytes
    bw gibts natürlich !

    mfg hund22
     
  3. 19. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    Sieht aus als würd der Eintrag von BitComet kommen:
     
  4. 19. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    lern die macht des googles kennen:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local - Google-Suche
     
  5. 20. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    Da finde ich jetzt alle Hijackthis files von leuten die das irgendwo drin stehen haben das hilft mir nicht wirklich.

    Gib mir lieber die Macht der hilfe! damit komme ich weiter als mit google
    mfg hund22
     
  6. 20. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    Kopier mal dein Logfile und lass es bei http://www.hijackthis.de auswerten.

    Greetz
     
  7. 20. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    Die Auswertung auf hijackthis.com ist aufjedenfall brauchbar.
    Bei deinem Log fallen folgende EInträge auf:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

    O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Unknown owner - C:\WINDOWS\system32\pr2agqwb.exe (file missing)


    O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Unknown owner - C:\WINDOWS\system32\pr2agqwc.exe (file missing)

    Naund? Wenn das Programm einen Registry Eintrag hinzugefügt hat, ist dieser auch vorhanden wenn das jeweilig Programm grade nicht läuft.
    Ausserdem ist TrueCrypt doch soweit ich weiß ein OpenSource Tool zur FestplattenVerschlüsslung, also was hat es dann in \CurrentVersion\Internet Settings zu suchen?

    Hast du vlt irgendwelche Programme installiert die etwas mit dem Internet zu tun haben? Also beispielsweise so IP Verschlüsselungs Programme!?
    Wenn ja wird der Eintrag sehr wahrscheinlich davon stammen, ansonsten einfach mal ein backup dieses Eintrags erstellen (Eintrag in der Registry Exportieren) und dann löschen.
    Wenn noch alles soweit funktioniert kannst du es ja so lassen.
    Ansonsten spielst du das backup wieder ein.

    Kann aufjedenfall nichts schief gehen.



    Zu den anderen beiden Einträgen die mir etwas seltsam vorkommen, konnte die Auswertung von hijackthis auch nichts zu sagen, aber wenn du mal nach der .exe googlest findest du Ergebnisse die auf einen Trojaner hinweißen bzw Malware.

    Also vlt auch mal nen VirenScann machen oder die Dateien gegebenfalls per Hand entfernen (ebenso die Reg Einträge)


    mfg Hagbart[]
     
  8. 20. August 2007
    AW: Mal bitte über dieses Hijackthis logfile schaun.

    Danke an alle !
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.