|
HiJackThis Log-File auswerten bitte Hi, Ich hab Probleme mit meinem internet es hatt manchmal aussetzer und beim beenden vom Pc wird immer eine cc exe beendet.... währe lieb wenn sich jemand mein HiJackThis Log-File anschauen könnte. Was auch komisch ist, das im log file weniger Prozese aufgeführt sind wie im task manager. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:26:57, on 05.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe |
Hi, Die cc.exe zeigt bei der Suche auf eine Adware von Squire siehe selbst. Ich würde dir raten, diese Exe zu suchen, zu löschen und alle Bestandteile des damit zusammenhängen Tools von Squire zu entfernen. Wie du selbst erlesen kannst, sendet dieser Prozess Daten über dich für Werbezwecken. mfg Cleriker |
ok danke, und mehr schlechte sachen hatt dann mein rechner nicht im logfile? |
Hallo. Zitat:
Hast du bearshare immer noch installiert? Wenn ja > deinstallieren und den Programmordner ggf. noch manuell löschen. Bearshare kommt mit Spy-/Adware daher. Folge doch auch mal dem link zu eScan in meiner Signatur, evtl. finden wir damit noch mehr krumme Sachen. Um den Scanvorgang aber nicht unnötigerweise zu verlängern, solltest du mal alle unnötigen Dateien löschen lassen, das wären z.B. alle Tempdateien (auch Temp. Internet Files vom IE), alte Prefetchdateien. Behilflich sein kann dir dabei der ccleaner. |
bearshare habe ich schon deinstaliert vor längerer zeit, da es nich so doll is das programm... hab auch gehört das is sich nich ganz deinstalieren lässt :/ . ok ich mache mal den escan damit man mehr bescheid weiss. |
Ok. Lösche aber mit dem CCeaner vorher die unnötigen Dateien. |
ich lösche immer mit sweepi alle unnötigen dateien und tune up utlilities.. mein problem ist grad das escan nicht updaten will... ic hschaue jetz nochmal unter deinen link da bei escan für router .. oder kannst du mir schnell was sage nwas ich machen muss wenn ich ein router hab um updaten zu können weil ic hschon im abgesicherten modus bin |
ich kann diese datei dort nicht öffnen um zu lesen wie ich escan mit router update :/ |
Du bist jetzt schon im abgesicherten Modus? Schreibst du gerade von diesem PC aus, der im abgesicherten Modus ist? Wenn ja, hast du den abges. Modus miut Netzwerkunterstützung, dann sollte auch eigentlich das Update klappen. Kann auch sein, dass der Updateserver von eScan mal wieder überlastet ist. |
er hatt da bissel was geupdatet und dann kamm die fehlermeldung das downloadt nicht abgeschlossen wurde.... naja hab mnal trotzdem scan gemacht und es wurden 5 viren/spyware gefunden nur ich finde jetzt den log nicht.... hab alles durchgelesen aber bin zu dumm dafür und rege mich jetz unnötig auf^^ |
Hattest du die FIND.BAT angeschmissen? Die Logdatei sollte dann in %systemdrive%\bases_x\escan_neu.txt zu finden sein. wobei %systemdrive% bei dir Laufwerk C: sein sollte. |
nein hab nur escan laufen gehabt :/ unter deinem escan link steht was von find.bat aber wenn ich da drauf klicke kommt ein langer text mit zeichen was ich mit nix anfangen kann :/ |
MWAV editor da steht alles das er was gefunden hatt und so aber der text ist sau lang... steht dort auch was er gefunde nhatt? wenn ja dann kan nich doch von dort alles posten hier rein Wed Sep 05 17:06:47 2007 => ***** Scan vollständig. ***** Wed Sep 05 17:06:47 2007 => Gescannte Dateien: 39455 Wed Sep 05 17:06:47 2007 => Gefundene Viren: 3 Wed Sep 05 17:06:47 2007 => Anzahl der desinfizierten Dateien: 0 Wed Sep 05 17:06:47 2007 => Umbenannte Dateien: 0 Wed Sep 05 17:06:47 2007 => Anzahl der gelöschten Dateien: 0 Wed Sep 05 17:06:47 2007 => Anzahl Fehler: 5 Wed Sep 05 17:06:47 2007 => Dauer des Scans bisher: 00:13:06 Wed Sep 05 17:06:47 2007 => Virus-Datenbank Datum: 9/5/2007 Wed Sep 05 17:06:47 2007 => Virus-Datenbank Zähler: 404109 weiss leider nicht wo es steht was er gefnudnen hatt :/ |
Zitat:
|
Zitat:
Geh auf die Seite mit dem "langer text mit zeichen was ich mit nix anfangen kann" und kopiere den in einen leeren Editor (Start->Ausführen->notepad.exe) dann speicherst du die Datei als FIND.txt auf dem Desktop ab. Dann gehst du auf umbenennen und änderst die Dateierweiterung in .bat (also ist der neue Name des Files "FIND.bat") Evt. musst du vorher noch im Explorer auf "Extras"-->"Ordneroptionen" und den Haken bei "Erweiterungen bei bekannten Dateiendungen ausblenden" wegmachen! EDIT:// Nain! Jetzt hab ich mir so Mühe für eine gute Beschreibung gegeben und da kommt der cosinus zuvor und sagt alles in einem Satz....menno^^ |
oh man^^ bin zu dumm für alles :/.... nagut ich mache es mal alles.. aber hab bissel was im protokol gefunden poste es mal dannach mache ich mal alles was ihr gesagt habt Wed Sep 05 17:04:27 2007 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Wed Sep 05 17:04:27 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Wed Sep 05 17:04:28 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\****\LOKALE~1\Temp\spydb.avs, Size: 246924]. Wed Sep 05 17:04:30 2007 => Indexed Spyware Databases Successfully Created... Wed Sep 05 17:04:32 2007 => Offending Key found: HKLM\Software\magnet !!! Wed Sep 05 17:04:43 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Wed Sep 05 17:04:43 2007 => Offending Key found: HKCU\\magnet !!! Wed Sep 05 17:04:43 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Wed Sep 05 17:04:45 2007 => Offending Folder found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\icq\bart\1024 Wed Sep 05 17:04:45 2007 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Wed Sep 05 17:05:02 2007 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pdf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Wed Sep 05 17:05:02 2007 => Checking Application Cache Entries... Wed Sep 05 17:05:02 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{06859358-EFBF-4C25-A480-66402908A4AB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Wed Sep 05 17:05:02 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{D050D7362D214723AD585B541FFB6C11}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Edit : ja danke fpr deine ausführliche beschreibung jetz hab ichs :D poste dann gleich nochmal mit diese bat da^^ |
so hier mal das log file vom escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 9/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 39444 Gefundene Viren: 3 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 4 Dauer des Scans bisher: 00:11:05 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Batchstart: 18:27:43,15 Batchende: 18:27:47,54 |
mh dann bin ich ja beruhigt... nur das mit der "ccc.exe wird beendet" beim ausschalten des pc´s muss ich noch hinbekommen also weiss garnicht wie ich diese ccc.exe löschen soll |
Hast du wirklich das gesamte System gescannt? Zitat:
|
ehrlich gesagt mich wundert es auch das escan so schnell das alles gescant hatt... meine festplate ist 55gb klein.. naja weiss nich was da ist wieso so kurz... ja ich bemühe mich immer alles zu löschen und aufzuräumen damit der rechner immer schön läuft.. hab nur ein kleineres problem mit der festplate denke aber weil die schon sehr alt is..... wenn ich defragmentiere dann kommt irgendwann eine meldung das die defragmentierung nicht abgeschlossen wurde weil irgendein fehler aufgetreten ist.. habs jetz vergessen welcher fehler :/ ic hwerde morgen mal defragmentieren und es genauer sagen.. |
Dann überprüf mal bitte ob du auch alle Optionen so gesetzt hast, wie in der Anleitung angegeben. |
sooo jetz habe ich nochmal ein scan durchgeführt mit den richtigen einstellungen:crazy: jetz passt auch die datenmenge ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 9/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\System Volume Information\_restore{52ADDFD4-FADB-4DBB-9416-7891859D4D7C}\RP64\A0012553.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.j". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Killa\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 116086 Gefundene Viren: 4 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 8 Dauer des Scans bisher: 01:34:26 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:21:55,92 Batchende: 11:22:19,10 bitte nochmal anschauen, ich denke da ist ein adaware... aber es kann auch sein das es halt die normalen fehlermeldungen sind von escan |
wie ich grad bei einem anderen post lesen konnte ist smidfraud ein trojaner und da mein system eh nich so läuft wie ich will setze ich es neu auf hab jetz genug von allem....... dannach hab ic hdan nendlich ruhe und meine plate is sauber von ganzen inetmüll also danke für eure hilfe bb |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board