Von wo hast du Blacklight ausgeführt? Das Logfile wird auch in dieses Verzeichnis geschrieben...

hallo cosinus,

das Logfile von BlackLight ist nicht das Problem, sondern das von Silentrunners. Aber danke.

Gruß
juukay

Was hab ich denn eben geschrieben?

Hallo nochmal,

also Blacklight habe ich vom Ordner "Programme" aus gestartet, dort gibt es zwei Hijackthis-logfiles und fünf BlackLight-logfiles als txt.Dateien, sonst nichts.

Juukay

Achso, sorry, irgendwie bin ich selber schon mit den Programmnamen durcheinander gekommen...

Aber bei Silentrunners ist es genauso, wenn du es z.B. vom Desktop gestartet hast, dann wird das Silentrunners-Log auch in den Desktop geschrieben...

Ich habe Silentrunners vom extra vorher angelegten Ordner "Silentrunners" gestartet, aber dort gibt es kein logfile, das ist es ja, was mich irritiert.

Gruß
Juukay

Hmmm...

Probiere es am besten nochmal so.

So ging es merkwürdigerweise. Das Logfile:

"Silent Runners.vbs", revision 52, xxx://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = ""C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet" ["Yahoo! Inc."]
"pdfSaver3" = ""C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"" ["Tracker Software Products Ltd."]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LWBKEYBOARD" = "C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe" [empty string]
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [empty string]
"IW Controlcenter" = "C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" ["VOB Computersysteme GmbH"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" ["HP"]
"CARPService" = "carpserv.exe" ["Conexant Systems"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CDCopy Shellextension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWSHEXT.DLL" ["VoB Computersysteme GmbH"]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWSHEXT.DLL" ["VoB Computersysteme GmbH"]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {HKLM...CLSID} = "IW Shell Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["VOB Computersysteme GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{2582A520-4E2C-11D0-944A-00608CB854B7}" = "Micrografx Designer Schnellansicht"
-> {HKLM...CLSID} = "Micrografx Designer Schnellansicht"
\InProcServer32\(Default) = "fvds70.dll" ["Micrografx, Inc."]
"{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht"
-> {HKLM...CLSID} = "Picture Publisher File Viewer"
\InProcServer32\(Default) = "ppiv20.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "My Sharing Folders"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{FBF23B40-E3F0-101B-8488-00AA003E56F8}" = (no title provided)
-> {HKLM...CLSID} = "Internetverknüpfung"
\InProcServer32\(Default) = "shdocvw.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Startup items in "Xxx" & "All Users" startup folders:
------------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"LUMIX Simple Viewer" -> shortcut to: "C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe" ["Matsushita Electric Industrial Co., Ltd."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#Deskjet#5550" -> launches: "C:\Programme\Hewlett-Packard\upapp\hpqfruv.exe -I "#Hewlett-Packard#Deskjet#5550"" [empty string]
"RegistrySmart Scheduled Scan" -> launches: "C:\Programme\RegistrySmart\RegistrySmart.exe scheduled" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe" [file not found]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=xxx://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Z" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
AVWUpSrv, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt06\Driver = "hpzlnt06.dll" ["HP"]
PDF-XChange\Driver = "C:\WINDOWS\system32\pxc25pm.dll" ["Tracker Software"]


---------- (launch time: 2007-08-12 15:37:47)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 83 seconds, including 4 seconds for message boxes)

Also ich bin das Silentrunners-Log nun zweimal durchgegangen, hab nichts Verdächtiges gesehen.
Besteht das Problem mit den "maxifiles" jetzt eigentlich noch?

Die Probleme mit Google scheinen bereinigt, jedenfalls wird kein Link mehr umgeleitet über Maxifiles. Dafür gibt es jetzt ein paar andere Probleme:

1) Mein Internetzugang funktioniert nicht mehr automatisch mit einem Klick auf das große E, sondern muss zunächst über die Telekom angemeldet werden.

2) Drei Links auf dem Desktop haben sich verschoben und wollen nicht mehr an ihren Platz.

3) Der Teatimer von Spybot und die Systemwiederherstellung sind noch deaktiviert.

4) Bei Musicload werde ich auf der Warenkorbseite nicht mehr auf die Bezahl-Seite weitergeleitet, kann also nichts mehr runterladen.

5) Ich bin mir nicht sicher, ob jetzt mein Computer sauber ist und ob ich den richtigen Virenschutz und die richtige Firewall habe.

Gruß
juukay

Zitat:

1) Mein Internetzugang funktioniert nicht mehr automatisch mit einem Klick auf das große E, sondern muss zunächst über die Telekom angemeldet werden.

Du meinst den Internet explorer oder? Evtl. hilft, die alte Verbindung aus den Netzwerkverbindungen zu löschen und nochmal neu anzulegen.
Ich würde dir dringend dazu raten, einen sichereren Browser wie z.B. Firefox, Seamonkey oder Opera zu benutzen!

Zitat:

2) Drei Links auf dem Desktop haben sich verschoben und wollen nicht mehr an ihren Platz.

Du meinst die Icons? Stell sich, dass der Haken bei "Symbole automatisch anordnen" nicht gesetzt ist!

Zitat:

3) Der Teatimer von Spybot und die Systemwiederherstellung sind noch deaktiviert.

Diese beiden Dinger sind nicht wirklich notwendig, aber die wieder zu aktivieren dürfte kein Problem sein. Bei Spybot müsste der Teatimer einfach zu aktivieren sein, sollte das nicht auf Anhibt klappen könnte eine
Neuinstallation des Programms helfen.
Bzgl. SWH: Du weißt wie man diese deaktiviert hat (ggf. meinen Link folgen), setze den Haken einfach wieder an diese Stelle und übernimm die Einstellungen.

Zitat:

4) Bei Musicload werde ich auf der Warenkorbseite nicht mehr auf die Bezahl-Seite weitergeleitet, kann also nichts mehr runterladen.

Browser? Wenn IE, dann nimm lieber einen vernünftigen, allein schon aus sichereheitstechnischer Sicht...

Zitat:

5) Ich bin mir nicht sicher, ob jetzt mein Computer sauber ist und ob ich den richtigen Virenschutz und die richtige Firewall habe.

Du kannst dir NIE sicher sein, ein sauberes System zu haben, erst nicht nach einer Bereinigung, Garantie hast du erst nach dem Neuaufsetzen - ich gehe aber mal jetzt davon aus, dass meine Kollegen gute Arbeit geleistet haben

Virenschutz: Welchen Virenscanner hast du installiert? Hast du überhaupt einen installiert?
"Firewall": Die Windows-Firewall reicht...
Ein deutlicher Sicherheitsgewinn wäre das Verwenden eines Routers.

Hallo Cosinus,

ich habe den IE, wie komme ich an einen sicheren Browser, wie macht man das?

Die Links auf dem Desktop wurden nicht automatisch angeordnet, aber das ist nicht wirklich ein Problem.

Teatimer und Systemwiederherstellung sind wieder aktiviert.

Als Virenscanner habe ich die Free edition von AVG als Firewall die von Windows.

Was ist ein Router und wie komme ich dran?

Gruß
Juukay

Zitat:

ich habe den IE, wie komme ich an einen sicheren Browser, wie macht man das?

Geh auf Mozilla.com oder Opera Web Browser - Firefox und Opera sind sicherere Browser. Downloaden, installieren und damit surfen. Ob du Firefox oder Opera in Zukunft nimmst, ist eigentlich egal, nur wichtig ist, dass du beide auch immer aktuell hälst.

Zitat:

Als Virenscanner habe ich die Free edition von AVG als Firewall die von Windows.

Dürfte Okay sein.

Zitat:

Was ist ein Router und wie komme ich dran?

Router - Wikipedia
DSL-Router gibts mittlerweile sehr günstig und so gut wie in jedem PC-Laden.

Kann ich den Firefox downloaden und starten, ohne mit dem IE etwas zu machen? Wird der Firefox einfach die Funktion des IE übernehmen oder lege ich damit alles lahm? Und muss ich vorher alle Fenster schließen? Wie halte ich Firefox aktuell, meldet er mir automatisch, wenn es ein Update gibt? Sorry für so viele Fragen, ich bin ein absoluter NoTechFreak, bin schon froh, diese Seite hier überhaupt gefunden zu haben...

Ach, und noch eine: Habe ich nicht von der Telekom ohnehin einen Router unterm Tisch mit meinem DSL-Anschluss?

Gruß
Juukay

Du installierst den Firefox bzw. Opera parallel zum IE, den kannst du also weiterhin nutzen, obwohl es nicht empfehlenswert ist - nimm ihn max. für das Windows-Update.
Wie das mit dem Opera aussieht weiß ich nicht, aber der Firefox hat eine Updatefunktion.

Ob du ein Router hast, kann ich so nicht sagen. Wenn du mal folgenden Befehl in der Eingabeaufforderung ausführst:

ipconfig /all

Und mir sagst, wie deine IP-Adresse für deinen Rechner anfängt, kann man daraus Rückschlüsse ziehen ob du einen Router hast oder nicht.