Hallo leute!
Ich habe heute eine auswertung meines systems bei HijackThis gemacht und bräuchte bei der interpretation noch ein bisschen hilfe – habe zwar schon versucht mit hilfe des forums und google-suche mich selbst einzulesen – aber meine fragen wurden leider nicht entgültig beantwortet… vielleicht kann mir einer von euch weiterhelfen?! Dafür schon mal vielen dank im voraus…
Das logfile hab ich angehängt – da ich es habe online auswerten lassen sind mir die meisten dinge schon klar – hier aber noch mal die konkreten fragen dazu…

(um das thema gekümmert habe ich mich übrigens deshalb weil mein pc ohne mir ersichtlichen grund doch recht häufig auf der festplatte rumrödelt und auch das internet nach einiger zeit langsam wird – spybot, adaware, Antivir, zonealarm, dll-killer, xp-clean, compiclean habe ich auf dem aktuellen stand und lasse sie auch immer mal drüberlaufen ohne das etwas auffälliges dabeigewesen wäre (nachdem ich die cookiefunktion im IE deaktiviert habe))

ok aber hier nun meine fragen…


1. nicht gefährlich aber unnötig – kann ich die wirklich fixen auch wenn es sich dabei um:

Laufender Prozess. (nvsvc32.exe)
NVIDIA graphics card driver GRAFIKKARTE???

Und

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers

WORKS??? (nutze ich eigentlich nicht)

Handelt???



2. SVCHOST: habe ich ja einige –( alles als gut eingestuft) – habe festgestellt das die in folgenden ordnern liegen:

C:\I386
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a60ca928c584157ebda

(ich hab gelesen das es sich bei svchost auch um ein virus handeln kann – wenn er nicht im ordner system 32 liegt) ist das in meinem fall i.O.???



3. evtl. böse?? Was sind das für programme und was machen sie??? Brauche ich die – oder kann/muss ich die fixen?

C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE

C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\Apoint2K\Apntex.exe


4. wenn… nicht mehr benötigt wird, sollte er trotzdem gefixt werden

Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

Wenn der Eintrag 'Sun Java Konsole ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden

Wenn der Eintrag 'Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

Wenn der Eintrag 'Windows Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

Was sind das für programme – kann ich die fixen oder brauche ich sie???


So das waren sie erst mal – vorab vielen dank – entschuldigt bitte das auch bei meinen fragen sicher durchkommt das ich wenig bis keine ahnung von der materie habe und hoffe auf eure unterstützung!!!

Gruesse
alex

Hallo aalexx

Zitat:

nicht gefährlich aber unnötig – kann ich die wirklich fixen auch wenn es sich dabei um:
Laufender Prozess. (nvsvc32.exe)
NVIDIA graphics card driver GRAFIKKARTE???

Hier muss man wissen, wo die Datei sich befindet.

Zitat:

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers

Is ein Sch.. Ding bei MSWorksSuite. Lässt sich über interne MSWS-Optionen abschalten, bzw. kannst du den Eintrag fixen. Du hast bestimmt OEM-version von MSWord und Works ist vorinstalliert.

Zitat:

SVCHOST: habe ich ja einige –( alles als gut eingestuft) – habe festgestellt das die in folgenden ordnern liegen:
C:\WINDOWS\system32 - hier ist die Datei richtig.
(ich hab gelesen das es sich bei svchost auch um ein virus handeln kann – wenn er nicht im ordner system 32 liegt) ist das in meinem fall i.O.???

Das ist korrekt. Kannst du den Abschnitt mit svchost- Enträgen hier posten?

Zitat:

evtl. böse?? Was sind das für programme und was machen sie??? Brauche ich die – oder kann/muss ich die fixen?
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe

HJT kennt weder Borland noch Apoint. Wenn dir diese Einträge nicht fremd sind - lass sie sein.

Zitat:

Wenn der Eintrag [...] nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

Die Entscheidung liegt nur an dir. Die Einträge sing ungefährlich, sollen aber gefixt werden, wenn man die nicht braucht.

Zitat:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

Microsoft Java Virtual Maschine - i.O. http://www.liutilities.com/products/...ibrary/msjava/. Kann aber gefixt werden. Falls danach ein Problem auftritt, kannst du ihn wiederherstellen.

Hallo rene-gard!
Erst mal vielen dank für deine schnelle antwort – hab ich mich sehr gefreut!!!
Ich habe mir das noch mal angesehen und die infos zusammengetragen…

zu nvsvc32.exe
habe ich suchen lassen und habe es an folgenden stellen gefunden

C:\WINDOWS\system32
C:\WINDOWS\OEMDRV
C:\WINDOWS\system32\reinstallbackups\0007\driverfiles

Ist das so i.o.???

Zu WORKS:

Ich nutze das programm nie – war tatsächlich vorinstaliert und ich habe mir dann noch word installiert – kann ich works den nicht einfach ganz löschen? Eine cd mit works habe ich und könnte es ja wieder instalieren – oder wird das für andere microsoft-programme benötigt? Falls ja – kannst du mir beschreiben wie ich es in den msws-optionen abschalte??

Zu svchost:
hab ich an folgenden stellen gefunden:

C:\I386
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a60ca928c584157ebda

Ok so – oder ist da evtl. ein falscher dabei??

Zu Borland und apoint:
Das dumme ist ich weiss nicht was das für programme sind und was sie machen 
Aber apoint scheint es wohl auf mehreren rechnern zu geben (habe ich versucht selbst rauszufinden – leider ohne abschliessende antwort…)

Zu java virtual maschine und den nicht mehr benötigten programmen:
Sollten gefixt werden – sind ja ungefährlich – was bringt mir das fixen denn überhaupt (schnelleres rauf- und runterfahren? – platz auf der festplatte?) den messenger z.b. nutze ich ab und zu …

Dann habe ich ja auch noch einen eintrag als böse gefunden „gamespyacarde“ allerdings spiele ich ab und zu online über gamesspy – kann/sollte ich den dann fixen oder gibt das u.U. probleme???

Ich hab mein logfile noch mal angehängt – vielleicht fällt ja doch noch etwas auf

Schon mal vielen dank für deine antwort
Gruesse
alex

Logfile of HijackThis v1.99.0
Scan saved at 12:36:12, on 04.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\rundll32.exe
C:\ConsorsTrader\PremiumTrader.exe
C:\ConsorsTrader\BTRDEPOT.EXE
C:\ConsorsTrader\SIMEXNET.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094825454127
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CompiCleanNT5 Server - Unknown - C:\Programme\CompiCleanNT5\CCNTSVR.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

@aalexx
bis auf diesen eintrag,
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab
ist dein logfile unauffällig.

wechsle in dne abgesicherten modus und fixe mit HJT
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab
neu booten

chaosman

hallo caosman!!
vielen dank das du mal drübergeschaut hast - ich werde den gamespy eintrag fixen!!!
danke nochmal!
gruesse
alex

Hi

Apoint ist der Alps Touchpad Notebook Treiber.

Schönen Gruß