also, ich habe die sechs oben genannte einträge gelöscht mit hijack this im abgesichterten modus. davon wurde natürlich ein backup gemacht mit hijack this. soll ich die löschen oder sind die einträage sowieso inaktiv und ungefährlich?

und müss ich noch was machen mit systemweiderherstellung deaktivieren um die einträge komplett los zu werden?

bei RegCleaner 4.3 wird bei "Sicherungen" noch immer zwei verschiedene prozesse oder so angezeigt. es geht um zwei mal "desktop". wenn ich die ansehe mit Editor dann wird nach REGEDIT4 verwiesen. was sind dass? soll ich die auch entfernen?

dieser ordner ISRVS gibt es nicht mehr. und c:\foo.mht auch nicht mehr.

hier unten noch ein neuer hijack this logfile. wie sieht es aus? ist alles jetzt in ordnung?

danke,
edo


Logfile of HijackThis v1.99.1
Scan saved at 8:40:53 PM, on 4/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fu-berlin.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113209972428
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)

und noch was... ich habe ein escan gemacht (sehe unten).


Tue Apr 12 02:22:18 2005 => ***** Scanning complete. *****
Tue Apr 12 02:22:18 2005 => Total Objects Scanned: 44607
Tue Apr 12 02:22:18 2005 => Total Virus(es) Found: 5
Tue Apr 12 02:22:18 2005 => Total Disinfected Files: 0
Tue Apr 12 02:22:18 2005 => Total Files Renamed: 0
Tue Apr 12 02:22:18 2005 => Total Deleted Objects: 0
Tue Apr 12 02:22:19 2005 => Total Errors: 47
Tue Apr 12 02:22:19 2005 => Time Elapsed: 00:49:44
Tue Apr 12 02:22:19 2005 => Virus Database Date: 2005/04/12
Tue Apr 12 02:22:19 2005 => Virus Database Count: 117971

Tue Apr 12 02:22:19 2005 => Scan Completed.

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\Programme\hijack this\backups\backup-20050411-201540-838 infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\hijack this\hijackthisnieuw.txt infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

ich kann die Exploit.HTML.Mht sachen einfach manuell löschen (oder?)... aber was mache ich mit Alexa und mit VX2. ich habe VX2 schon versucht los zu werden mit einem update von Ad-Aware aber diese update funktionierte nicht (bei plug-ins wollte er nichts damit machen)

und wieso wird ein HijackThis log eigentlich als Exploit.HTML.Mht bezeichnet? dass hat kaspersky auch schon verschiedene male gemacht. es ging einfach um editor files...

gruess,
edo

Hallo edo,

in Deinem Logfile von HijackThis kann ich nichts auffälliges mehr entdecken.

Da Du einen Kaspersky-Virenscanner hast (imho gute Entscheidung!), hättest Du Dir eScan eigentlich sparen können, da eScan die gleichen Signaturen verwendet, wie KAV, sofern Du bei KAV die erweiterten Signaturen herunterlädst.

Welche eScan Version hast Du benutzt? Da gab es neulich ein paar Fehlalarme, welche aber mittlerweile wohl behoben sind. eScan ist manchmal etwas 'sehr gründlich'...
Diese 'Alexa-Geschichten' solltest Du -wenn tatsächlich vorhanden- am Einfachsten mit AdAware oder Spybot Search&Destroy los werden. Bei dem Exploit.HTML.Mht handelt es sich vermutlich (ebenfalls) um einen Fehlalarm. Das sehe ich auch hin und wieder mal. Du kannst die Dateien natürlich löschen, aber eine wirkliche Gefährdung sehe ich darin nicht.

hallo lutz,

es freut mich sehr dass der HijackThis file jetzt gut aussieht! tausendmal danke für die hilfe.

ich habe escan 6.0.7 benutzt (ist das nicht eine neue version?). adaware und spybot haben aber nichts gefunden, also vielleicht geht es wie du sagts um fehlalarme. ich werde gleich noch mal scannen mit kaspersky und wenn dann nichts gefunden wird gehe ich mal davon aus dass es alles in ordnung ist. denkst du dass diese VX2 sache auch ein fehlalarm war?

vielen vielen dank für die hilfe :aplaus:
edo

@edo
Warum wieder Doppelposting : http://www.trojaner-board.com/showthread.php?t=16561 ?

Zitat:

Zitat von edo

denkst du dass diese VX2 sache auch ein fehlalarm war?

Hallo edo,

ich denke, es könnte sich um einen Fehlalarm handeln. Ob es aber definitiv einer war, kann ich 'natürlich' nicht sagen.

rene,

es geht NICHT um eine doppelposting. in dem einen thread geht es, wie ich geschrieben habe, um den komputer von meiner freundin, und in dem anderen thread um mein eigenen komputer!

edo