@ Chris4

zuerst möchte ich noch ein neues Hijack This Logfile von Dir sehen.

Und dann willst Du wissen, wie man Hijack This Logfiles auswertet ... mhm ..

-> wir haben hier ein riesiges Board, voll mit Hijack This Logfiles. Lies sie Dir durch. Schau Dir die HJT-Logfiles an, schau Dir an, welche Dateien wir löschen. Du musst lesen lernen: Logfiles lesen lernen.

-> als Anhaltspunkt kannst Du die automatische Auswertung verwenden. Sie dient aber nur als Anhaltspunkt. Du musst lernen, die Dateien zu erkennen. Kennst Du sie nicht, musst Du sie suchen:

www.google.de und Free Process Information, I am not a geek sind einige Hilfsmittel, um Dateien zu finden. Man kann Dateien und Viren auch hier suchen: W32/Rbot-FP und hier: TROJ_GINA.A .. usw.

-> Ausserdem solltest Du natürlich mit dem Programm Hijack This umgehen können.

-> Und da wir uns am TB befinden und dieses Board zu einer der tollsten Internet-Security-Sites im Netz gehört, mit einer unendlichen Vielzahl an Information, sollte man sich hier einlesen und sich bemühen zu verstehen, worum es geht: www.trojaner-info.de.

Jo .. das reicht, glaube ich, für den Anfang. Du kannst uns ja zu schauen. Aber untersteh Dich, den Usern gleich helfen zu wollen. Die User kommen hier als Hilfesuchende her. Sie wissen nicht, dass der eine oder andere von uns sich erst mühsam einarbeitet. Trockentraining kannst Du machen soviel Du willst. Aber die Praxis üben, bitte nicht an Support-Foren!

Bei Nachfragen weisst Du uns ja zu finden.

Viel Spass beim lernen.

Auch wenn SD schon auf trojaner-info.de verwiesen hat, hast du hier nochmal eine ziemlich ausführliche Anleitung, was denn die Einträge überhaupt bedeuten. Der Rest kommt irgenwann von allein

Alles kalr danke!

jaja is kalr..ich musche mich nicht ein..hätte ich sowiso nciht gemacht!

heir das log:

Logfile of HijackThis v1.99.0
Scan saved at 15:25:22, on 14.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ESET\NOD32KRN.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ANYCOM\BLUE USB-120-240\BTTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 2 SE\CALCHECK.EXE
C:\PROGRAMME\ANYCOM\BLUE USB-120-240\BTSTACKSERVER.EXE
C:\PROGRAMME\LOGITECH\WINGMAN SOFTWARE\LWEMON.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINDOWS MEDIA PLAYER\WMPLAYER.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [BtStart] C:\Programme\ANYCOM\Blue USB-120-240\bin\btstart.exe
O4 - HKLM\..\Run: [KAV50Service] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [WinVNC4] "C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE" -noconsole -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\WingMan Software\lwtest.exe" /detect /quiet /launch "C:\Programme\Logitech\WingMan Software\lwemon.exe /noui"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: BTTray.lnk = C:\Programme\ANYCOM\Blue USB-120-240\BTTray.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://194.77.250.5/database/mgaxctrl.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab







________________
Ach ja: ich habe das mit hajyck this mal gemacht und er zeigt mir UNNÖTIGE und UNBEKANNTE sachen an!
sollte man DIE löschen? (Fixen)

@ Chris4

boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - h**p://194.77.250.5/database/mgaxctrl.cab

wenn Du diesen Eintrag nicht kennst/brauchst, bitte löschen.

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - h**p://f012.mail.lycos.de/app/uploader/FileUploader.cab

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

----------------------

Das mit dem eScan hat bei Dir nicht so ganz geklappt. Du machst jetzt dann bitte Folgendes: Du wirfst alle Dateien aus dem Ordner "bases" auf c:\ in den Papierkorb. Dann, wenn der Ordner ganz leer ist und nichts mehr drin ist, wirftst Du den Ordner "bases" in den Papierkorb. Und wenn du das gemacht hast, fängst Du von vorne an.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan (Link zum Link: mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter und entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

----------------------

und dann arbeite bitte diese Tipps durch:

formatieren: Lutz' Datensicherung und Cidre's Rat
Windows sicher einrichten in 15 Schritten
Alternative Browser

----------------------

und dies noch:

Pflichtlektüre:

- Vorbeugende Maßnahmen
- Browser-Sicherheit
- Mit Firefox per Du
- Hijacker-Entfernung

----------------------

@ Chris4 ... wenn man Helfer sein möchte, sollte man der deutschen Sprache einigermassen mächtig sein, also zumindest so schreiben, dass die anderen einen verstehen. Dass kaum jemand lesen kann, ist ja schon schlimm genug. Dass von denen, die lesen können, ein Großteil keine Ahnung hat, worüber wir eigentlich schreiben, kommt noch dazu. Aber wenn unsere Helfer aufeinmal nicht mehr schreiben können, wird es kompliziert. Also, bitte auf die Rechtschreibung achten! PROTON ist ein geduldiger, freundlicher Editor, in dem man alles vorschreiben, dann nochmal nachlesen kann und die meisten Tipfehler entfernen kann. Es gibt dazu auch Hilfe im Netz: Wortschatzlexikon und Wörterbücher und Grammatik.


wenn Du das alles beherrscht, werden wir Dich als Ratgeber verwenden ;-)

wo finde ich die "mwave.log" bzw. "mwXface.log"datei?
bei C:\beses ?
oder wo?
ist das eine "editor" datei?
oder ist das die datei die man heruntergeladen hat???
=> wenn ich DIE öffne will der die sofort EXTRAHIEREN!
.....

die datei ist eigentlich im Ordner C:\Bases wenn Du alles richtig gemacht hast

Zitat:

Zitat von Chris4

wo finde ich die "mwave.log" bzw. "mwXface.log"datei?
bei C:\beses ?
oder wo?
ist das eine "editor" datei?
oder ist das die datei die man heruntergeladen hat???
=> wenn ich DIE öffne will der die sofort EXTRAHIEREN!
.....

was machst Du denn gerade? Hast Du den alten eScan schon weggeworfen und den neuen eScan runtergeladen? Der alte eScan, der den Du hattest, löscht nicht. Der andere eScan, den ich Dir in meinem vorigen Posting angegeben habe, löscht. Du musst den ganzen alten Ordner erst komplett und mit allem Inhalt wegwerfen. Und wenn Du das gemacht hast, und den 'neuen' eScan in den 'neuen' Ordner "bases" auf c:\ entpackt hast ... wirst Du auf die "mwave.log" bzw. "mwXface.log" im Ordner "c:\bases" stossen ... musst sie halt solange suchen bis Du sie gefunden hast.

Die Datei, die Du runterlädst ist die ausführbare Datei des eScans ... wenn Du mit Doppelklick eine ausführbare Datei berührst, führt sie sich aus.

Eine *.exe ist eine ausführbare Datei. Eine *.log ist ein Logfile, also eine Reportdatei.

Und der Ordner heisst nicht C:\beses sondern c:\bases.

--> dies durchzuarbeiten empfiehlt sich: Windows-Kurs I

und dies zu tun, ist die Voraussetzung, dass man Dateiendungen sehen kann:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

ach du scheiße...
die Total Number of Files Scanned weiß ich gar net mehr genau! kann ich das irgendwo nach lesen??? auf jedenfall : das waren irgendwie was mit 40.000
Total Number of Virus(es) Found: 2
wo sehe ich wei die Viren heißen??
wenn ich das amche: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> virus eingeben " kommt eine Fehlermeldung: ""Trojan-Downloader.Java.OpenStream.t" kann nicht gefunden werden"
in der log steht: "infected by Trojan-Downloader.Java.OpenStream.t"
ich denke doch mal das das der Virus ust, oder?
ach ja : beide dateien sind mit diesem virus (Trojan-Downloader.Java.OpenStream.t) befallen!

wenn ich die datei mwave.log öffnen will kommt die fehlermeldung: "beim Starten von WordPad ist ein fehler aufgetreten" aber bei der anderen .log datei ist es nicht so!

@ Chris4

gib bitte dieses Ergebnis an:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

HAH!
das habe ich doch gerade schon gefragt! (3 einträge unter diesem)
ich wiederhole: ich weiß es nciht merh!
WO KANN ICH ES NACHSCHAUEN?????
kann man das in einer datei im ordner C:}\base nachschauen?

OR bin ich GUT!!!
ich habs:

Fri Jan 14 18:48:37 2005 => Total Number of Files Scanned: 44921
Fri Jan 14 18:48:37 2005 => Total Number of Virus(es) Found: 2
Fri Jan 14 18:48:37 2005 => Total Number of Disinfected Files: 0
Fri Jan 14 18:48:37 2005 => Total Number of Files Renamed: 0
Fri Jan 14 18:48:37 2005 => Total Number of Deleted Files: 1
Fri Jan 14 18:48:37 2005 => Total Number of Errors: 29
Fri Jan 14 18:48:37 2005 => Time Elapsed: 01:01:24
Fri Jan 14 18:48:37 2005 => Virus Database Date: 2005/01/14
Fri Jan 14 18:48:37 2005 => Virus Database Count: 115534

Zitat:

Zitat von Chris4

WO KANN ICH ES NACHSCHAUEN?????
kann man das in einer datei im ordner C:}\base nachschauen?

@ Chris4

1- öffne den Ordner c:\bases (rechte Maustaste -> öffnen)
2- suche in diesem Ordner c:\bases die Datei mwav.log
3- Doppelklick linke Maustaste auf die Datei mwav.log
4- nun mit dem Scrollbalken auf der rechten Seite ganz nach unten gehen, also die ganze lange Seite bin nach unten rutschen.
5- Ganz unten auf der Seite steht dann:

Datum => Scan Completed.

Datum => Total Number of Files Scanned:
Datum => Total Number of Virus(es) Found:
Datum => Total Number of Disinfected Files:
Datum => Total Number of Files Renamed:
Datum => Total Number of Deleted Files:
Datum => Total Number of Errors:
Datum => Time Elapsed:
Datum => Virus Database Date:
Datum => Virus Database Count:

DA:

Fri Jan 14 18:48:37 2005 => Total Number of Files Scanned: 44921
Fri Jan 14 18:48:37 2005 => Total Number of Virus(es) Found: 2
Fri Jan 14 18:48:37 2005 => Total Number of Disinfected Files: 0
Fri Jan 14 18:48:37 2005 => Total Number of Files Renamed: 0
Fri Jan 14 18:48:37 2005 => Total Number of Deleted Files: 1
Fri Jan 14 18:48:37 2005 => Total Number of Errors: 29
Fri Jan 14 18:48:37 2005 => Time Elapsed: 01:01:24
Fri Jan 14 18:48:37 2005 => Virus Database Date: 2005/01/14
Fri Jan 14 18:48:37 2005 => Virus Database Count: 115534