Trojaner-Board - HiJackThis Log-File auswerten bitte

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackThis Log-File auswerten bitte (https://www.trojaner-board.de/43054-hijackthis-log-file-auswerten-bitte.html)

HiJackThis Log-File auswerten bitte

Hi,

Ich hab Probleme mit meinem internet es hatt manchmal aussetzer und beim beenden vom Pc wird immer eine cc exe beendet.... währe lieb wenn sich jemand mein HiJackThis Log-File anschauen könnte. Was auch komisch ist, das im log file weniger Prozese aufgeführt sind wie im task manager.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:57, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Hi,

Die cc.exe zeigt bei der Suche auf eine Adware von Squire
siehe selbst. Ich würde dir raten, diese
Exe zu suchen, zu löschen und alle Bestandteile des damit
zusammenhängen Tools von Squire zu entfernen. Wie du
selbst erlesen kannst, sendet dieser Prozess Daten über dich
für Werbezwecken.

mfg Cleriker

ok danke, und mehr schlechte sachen hatt dann mein rechner nicht im logfile?

Hallo.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

Diese Einträge solltest du fixen.

Hast du bearshare immer noch installiert? Wenn ja > deinstallieren und den Programmordner ggf. noch manuell löschen.

Bearshare kommt mit Spy-/Adware daher.

Folge doch auch mal dem link zu eScan in meiner Signatur, evtl. finden wir damit noch mehr krumme Sachen.
Um den Scanvorgang aber nicht unnötigerweise zu verlängern, solltest du mal alle unnötigen Dateien löschen lassen, das wären z.B. alle Tempdateien (auch Temp. Internet Files vom IE), alte Prefetchdateien. Behilflich sein kann dir dabei der ccleaner.

bearshare habe ich schon deinstaliert vor längerer zeit, da es nich so doll is das programm... hab auch gehört das is sich nich ganz deinstalieren lässt :/ . ok ich mache mal den escan damit man mehr bescheid weiss.

Ok. Lösche aber mit dem CCeaner vorher die unnötigen Dateien.

ich lösche immer mit sweepi alle unnötigen dateien und tune up utlilities.. mein problem ist grad das escan nicht updaten will... ic hschaue jetz nochmal unter deinen link da bei escan für router ..
oder kannst du mir schnell was sage nwas ich machen muss wenn ich ein router hab um updaten zu können weil ic hschon im abgesicherten modus bin

ich kann diese datei dort nicht öffnen um zu lesen wie ich escan mit router update :/

Du bist jetzt schon im abgesicherten Modus?
Schreibst du gerade von diesem PC aus, der im abgesicherten Modus ist?
Wenn ja, hast du den abges. Modus miut Netzwerkunterstützung, dann sollte auch eigentlich das Update klappen. Kann auch sein, dass der Updateserver von eScan mal wieder überlastet ist.

er hatt da bissel was geupdatet und dann kamm die fehlermeldung das downloadt nicht abgeschlossen wurde.... naja hab mnal trotzdem scan gemacht und es wurden 5 viren/spyware gefunden nur ich finde jetzt den log nicht.... hab alles durchgelesen aber bin zu dumm dafür und rege mich jetz unnötig auf^^

Hattest du die FIND.BAT angeschmissen?
Die Logdatei sollte dann in %systemdrive%\bases_x\escan_neu.txt zu finden sein. wobei %systemdrive% bei dir Laufwerk C: sein sollte.

nein hab nur escan laufen gehabt :/ unter deinem escan link steht was von find.bat aber wenn ich da drauf klicke kommt ein langer text mit zeichen was ich mit nix anfangen kann :/

MWAV editor da steht alles das er was gefunden hatt und so aber der text ist sau lang... steht dort auch was er gefunde nhatt? wenn ja dann kan nich doch von dort alles posten hier rein

Wed Sep 05 17:06:47 2007 => ***** Scan vollständig. *****

Wed Sep 05 17:06:47 2007 => Gescannte Dateien: 39455
Wed Sep 05 17:06:47 2007 => Gefundene Viren: 3
Wed Sep 05 17:06:47 2007 => Anzahl der desinfizierten Dateien: 0
Wed Sep 05 17:06:47 2007 => Umbenannte Dateien: 0
Wed Sep 05 17:06:47 2007 => Anzahl der gelöschten Dateien: 0
Wed Sep 05 17:06:47 2007 => Anzahl Fehler: 5
Wed Sep 05 17:06:47 2007 => Dauer des Scans bisher: 00:13:06
Wed Sep 05 17:06:47 2007 => Virus-Datenbank Datum: 9/5/2007
Wed Sep 05 17:06:47 2007 => Virus-Datenbank Zähler: 404109

weiss leider nicht wo es steht was er gefnudnen hatt :/

Zitat:

Zitat von Arji (Beitrag 291805)

nein hab nur escan laufen gehabt :/ unter deinem escan link steht was von find.bat aber wenn ich da drauf klicke kommt ein langer text mit zeichen was ich mit nix anfangen kann :/

Du musst die FIND.BAT auch abspeichern als Datei - diese klickst du dann doppelt an. Anleitungen sind zum Lesen da! :teufel3:

Zitat:

Zitat von Arji (Beitrag 291805)

nein hab nur escan laufen gehabt :/ unter deinem escan link steht was von find.bat aber wenn ich da drauf klicke kommt ein langer text mit zeichen was ich mit nix anfangen kann :/

Und daraus bastelst du die ne FIND.bat:
Geh auf die Seite mit dem "langer text mit zeichen was ich mit nix anfangen kann" und kopiere den in einen leeren Editor (Start->Ausführen->notepad.exe) dann speicherst du die Datei als FIND.txt auf dem Desktop ab.
Dann gehst du auf umbenennen und änderst die Dateierweiterung in .bat (also ist der neue Name des Files "FIND.bat")
Evt. musst du vorher noch im Explorer auf "Extras"-->"Ordneroptionen" und den Haken bei "Erweiterungen bei bekannten Dateiendungen ausblenden" wegmachen!

EDIT://
Nain! Jetzt hab ich mir so Mühe für eine gute Beschreibung gegeben und da kommt der cosinus zuvor und sagt alles in einem Satz....menno^^