Hi alle zusammen.
Ich hab immer das blöde Gefühl bei mir springt irgendwas auf dem PC rum, bin mir aber nicht ganz sicher.
Könnt Ihr mir die Log auslesen? Bin ich vollkommen clean?
Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, oder bezieht sich das nur auf das jeweilige system? (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, wo lernt man sowas?

Danke schon mal für Eure Hilfe


LOG:


Logfile of HijackThis v1.98.2
Scan saved at 21:36:22, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
E:\Programme\WinRAR\WinRAR.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@HelpmeimtheDoG

Könnt Ihr mir die Log auslesen? ja
Bin ich vollkommen clean? kann man nicht sagen, wir können lediglich etwas über das logfile sagen.

Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, ja
oder bezieht sich das nur auf das jeweilige system?
ja (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, übung übung übung

wo lernt man sowas? ???
Hilfe zur selbsthilfe
chaosman

Zitat:

wo lernt man sowas?

Das ist schonmal ein recht guter Einstieg.

@HelpmeimtheDoG
wie kommst du ins Inet?
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
kuckst du hier
http://www.spywaredata.com/lsp.php?current_page=200

lade dir hier
LSP - fix
wechsle dann in den abgesicherten modus und fixe
R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

neu starten, wenndein Inet verbindung unterbrochen ist, dann mit LSP-Fix reparieren
chaosman

naja, habs jetzt erst mal im laufenden betrieb gemacht, hoffe da ist nix falsch dran. (komm mit dsl (qsc) ins inet)
Ich mach es aber dann noch mal nach Deiner Anleitung, jedenfalls sieht das ganze jetzt so aus:

Logfile of HijackThis v1.98.2
Scan saved at 22:01:40, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@ HelpmeimtheDoG,

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) - update Deinen IE: www.windowsupdate.com

Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

boote in den normalen Modus.

SD

Hm, also irgendwas stimmt net, hab es jetzt nach der Anleitung von Chaosman gemacht, aber die Q14 ist immer noch da, umd wenn ich mit LSPFix.exe irgendwas fixe, passiert auch nix (ehrlich gesagt weiss ich auch nicht was ich dort machen soll, ich habe die angeblich fehlende Datei mwtsp.dll in das Feld KEEP verschoben, aber beim nächsten Start zeigt mir Hijack immer noch an:
Q10: (...) mwtsp.dll is missing

-> auf die Seite von microsoft komm ich nicht mehr (wenn ich updaten will) und etwas in die Zwischenablage kopieren geht auch nicht mehr)

Was hab ich falsch gemacht?

Hier die Log:


Logfile of HijackThis v1.98.2
Scan saved at 23:38:39, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\lspfix\LSPFix.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Hm, also müsste ich erst mal Q10 reparieren mit dem Winsock-Fix-tool, richtig?
Kann ich das im laufenden Betrieb machen oder muss ich dazu im abgesicherten Modus starten?