Hi, ich hab HijackThis jetzt seit ein paar Minuten und kenne mich noch nicht so gut aus damit. Ich wüsste mal gern was ich da alles so löschen kann. Hab ich das richtig verstanden, dass man O23-Items "immer" löschen kann? Weiterhin hab ich den TR/Dldr.Dyfuca.ds auf meinem Rechner.

Danke schonmal im Vorraus

Hier mal mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:34, on 18.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\PROGRA~1\ICQ\ICQ.exe
F:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
F:\Programme\AntiVir\AVGUARD.EXE
F:\Programme\AntiVir\AVWUPSRV.EXE
F:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\mIRC\mirc.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Programme\FireFox\firefox.exe
F:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web-sto.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run= F:\SPIELE\CCAR\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\acrobatread\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\acrobatread\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &NeoTrace It! - F:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQ5\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - F:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Protected Exchange (MainService) - Unknown owner - (no file)
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

Servus, NuKeR!

Zitat:

Hab ich das richtig verstanden, dass man O23-Items "immer" löschen kann?

Woher hast Du den DIESE Weisheit? Nun, ja löschen KÖNNEN geht immer, aber ob es sinnvoll ist, ist eine andere Frage!
Eine Bitte zu Deinem Posting: zur besseren Lesbarkeit des Logfiles bitte editiere es noch einmal und nimm die kursive (italic) Schriftart wieder raus!
Zum Log selber:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:34, on 18.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein System ist nicht aktuell - SP2 nachholen!
Den Eintrag

Zitat:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

fixen (fix checked anhaken)
Der Eintrag

Zitat:

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.130/e9xr2.chm::/file.exe

gehört zu einem Highjacker und verweist dahin

Zitat:

inetnum: 82.179.160.0 - 82.179.175.255
netname: RUNNET-ILCA1
descr: ICS TM, JSC
descr: 70 Bolshoy pr. V.O.
descr: 199002 St.-Petersburg
country: RU
admin-c: SP8432-RIPE
tech-c: SP8432-RIPE
status: ASSIGNED PA
mnt-by: RUNNET-MNT
source: RIPE # Filtered
person: Serg Prasolov
address: ILCA JSC
address: 70 Bolshoy pr. V.O.
address: 199002 St.-Petersburg
address: Russia
phone: +7 812 3271492
fax-no: +7 812 3213044
e-mail: postmaster@serg.spb.ru
nic-hdl: SP8432-RIPE
source: RIPE # Filtered
% Information related to '82.179.160.0/20AS16354'

ergo --> fixen
Hol´Dir mal Spybot S&D http://www.safer-networking.org/en/download/ und/oder Adaware http://www.lavasoft.de/ und lass´ beide im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und entferne was vorgeschlagen wird.
Anschließend neues Logfile
bis dann, stupormundi

Hi,

ich wusste, dass als erstes kommt "SP1, nicht aktuell" Ich mag die ServicePacks irgendwie nicht so

Aber schonmal vielen Dank, für die ausführlichen Informationen

Eine Frage:

woher weißt du, wohin der HiJacker aus dem O16-Item führt bzw. wo man das nachprüfen kann?

Danke!

Hallo,
da der O16 Eintrag auch auf CWS hinweist siehe:
http://castlecops.com/modules.php?na...5-7263B1281987
solltest du auch mal CWShredder:
http://www.trendmicro.com/cwshredder/
drüberlaufen lassen.


Grüße Wildone

P.S.
Sorry wegen der langen Links, habe bei meinem FF gerade mein Javascript geschrottet.

@ nuker!

Zitat:

woher weißt du, wohin der HiJacker aus dem O16-Item führt bzw. wo man das nachprüfen kann?

guckst Du hier:
http://www.ripe.net/perl/whois/
und wegen des SP2: Nun, auch wenn man M$ skeptisch gegenüber steht, die mit und seit dem Erscheinen des SP2 angebotenen Patches hätten idR genau diese Probleme verhindert.
Wenn SP2 wegen möglicher gecrackter Software nicht läuft ...
stupormundi
@wildone: CWS Shredder ist ein guter Tipp, hab´ich gar nicht daran gedacht! gts, stupormundi

Nochmal danke an alle für die guten Tipps und Hilfen.

Ich muss jetzt weg (Fahrschule), danach werd ich nochmal nen paar Scans (im abgesichertem) machen und euch die neue HJT-Log hierrein posten.

Gruß NuKeR

Zitat:

ich wusste, dass als erstes kommt "SP1, nicht aktuell" Ich mag die ServicePacks irgendwie nicht so

Tja leider sind eben diese Service Packs die Grundlage für ein sicheres System.
Siehe z.B hier:

Zitat:

B.) Wie kann ich mich nun schützen?

1.) Das ist ganz logisch erklärbar und auch gar nicht so schwer umsetzbar. Einerseits nutzen diese Würmer bekannte Sicherheitslücken aus. Diese Lücken sind jedoch inzwischen von Microsoft behoben worden, alleridngs nur in neuen Versionen der betroffenen Software. Mit anderen Worten: Sie müssen Ihre Software, in diesem Fall Ihr Betriebssywstem Windows, aktualisieren. Sogenannte "Patches", also Software-Flicken, stopfen die Sicherheitslücken, indem alte, verwundbare Dateien durch neue Dateien ersetzt werden, die die erkannten Fehler nicht mehr aufweisen.

Kurz: Erkannte Lücken stets durch Aktuellhalten des Betriebssystems stopfen!

http://sicher-ins-netz.info/wuermer/wuermer.html

oder hier:

Zitat:

3.5.2. Flicken

Bei der Software, die dann noch übrig ist und auf die wir nicht verzichten können oder wollen, müssen wir eben dafür sorgen, dass sie keine Fehler aufweist. Wenn ein Hersteller von Software etwas taugt, dann wird er bei sicherheitskritischen Fehlern in seinem Programm kostenlos einen Patch herausgeben, der diesen Fehler behebt. Wenn er das Problem nicht sofort beheben kann, weil es vielleicht ein komplizierter Fehler ist, sollte er als Übergangslösung einen oder mehrere Workarounds nennen. Oder wenigstens die Schwachstelle selbst veröffentlichen, damit man als Nutzer selber entscheiden kann, ob man das Programm bis zur Behebung des Fehlers weiter benutzen möchte.

Natürlich findet niemand immer alle Fehler sofort, also kann es gut sein, dass im Laufe der Nutzungsdauer des Programms noch weitere Fehler gefunden und (hoffentlich) behoben werden. Sie müssen also regelmäßig nachsehen, ob neue Fehler entdeckt wurden.

Vernüftige Anbieter bieten Ihnen vielleicht die Möglichkeit an, Sie über Newsletter automatisch von neuen Fehlern und Patches in Kenntnis zu setzen. Manche verschweigen so etwas aber auch lieber. Sie sollten die Programme, die Sie kaufen, auch danach auswählen, wie der Hersteller mit seinen eigenen Fehlern umgeht. Zu glauben, es gäbe keine Fehler, weil der Hersteller keine nennt, wäre etwas naiv.

Wir müssen also:
Benutzte Software regelmäßig warten!

Besonderes Augenmerk gilt es auf alle Programme zu richten, die fremde Daten verarbeiten. Webseiten und E-Mails sind z.B. fremde Daten, aber auch ein Word-Dokument, das einem vom Kollegen zugeschickt wird. Alles, was Sie nicht selbst erstellt haben, kann als Container für einen Schädling dienen.

Mindestens ein Mal die Woche sollten Sie dies auf jeden Fall machen, besser öfter! Regelmäßige Wartung der benutzten Software mit Ausbessern aller eventuellen neuen Fehler ist wichtig! Bei einem Auto würden Sie ja auch nicht 300.000km fahren, ohne die Bremsbeläge oder den Reifenluftdruck zu kontrollieren.
http://www.mathematik.uni-marburg.de...mise.html#sec3