Hijackthis weitere frage

[Medix]

soso :d hab mal n neuen theard aufgemacht da der alte theard von mir zu schnell geclosed wurde.







als erstes hier mal mein Log

Code:

Logfile of HijackThis v1.99.1
Scan saved at 19:29:14, on 30.08.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:ProgrammeAntiVir PersonalEdition Classicsched.exe
C:ProgrammeAntiVir PersonalEdition Classicavguard.exe
C:WINNTSystem32CTsvcCDA.exe
C:WINNTSystem32svchost.exe
C:ProgrammeSymantecNorton Ghost 2003GhostStartService.exe
C:WINNTSystem32nvsvc32.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTSystem32MsPMSPSv.exe
C:WINNTsystem32svchost.exe
C:WINNTExplorer.EXE
C:WINNTsystem32RUNDLL32.EXE
C:ProgrammeCreativeSB Live! 24-bitSurround MixerCTSysVol.exe
C:ProgrammeCyberLinkPowerDVDPDVDServ.exe
C:ProgrammeSymantecNorton Ghost 2003GhostStartTrayApp.exe
C:ProgrammeJavajre1.6.0_01binjusched.exe
C:WINNTsystem32internat.exe
C:WINNTsystem32wuauclt.exe
C:ProgrammeAntiVir PersonalEdition Classicavgnt.exe
C:ProgrammeMozilla Firefoxfirefox.exe
C:ProgrammeWinampwinamp.exe
C:ProgrammeLimeWireLimeWire.exe
C:ProgrammeHJTHJT1991.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [url=http://www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN[/url]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [url=http://www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN[/url]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:ProgrammeJavajre1.6.0_01binssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINNTSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINNTSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [CTSysVol] C:ProgrammeCreativeSB Live! 24-bitSurround MixerCTSysVol.exe /r
O4 - HKLM..Run: [UpdReg] C:WINNTUpdReg.EXE
O4 - HKLM..Run: [RemoteControl] C:ProgrammeCyberLinkPowerDVDPDVDServ.exe
O4 - HKLM..Run: [GhostStartTrayApp] C:ProgrammeSymantecNorton Ghost 2003GhostStartTrayApp.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [avgnt] "C:ProgrammeAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "C:ProgrammeJavajre1.6.0_01binjusched.exe"
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammeMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammeJavajre1.6.0_01binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammeJavajre1.6.0_01binssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINNTwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINNTwebrelated.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:ProgrammeAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:ProgrammeAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINNTSystem32CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:WINNTSystem32dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:ProgrammeSymantecNorton Ghost 2003GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINNTSystem32nvsvc32.exe

wie im alten theard schon gesagt wurde :

Code:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

sollte entfernt werden das habt ihr gesagt sowie auch die automatische log auswertung ;D

nun zu meinem Problem:

Wenn ich 0-14 versuche zu fixen taucht es im nächsten scan wieder auf.
Ich habs im abgesicherten modus auch versucht zwecklos 0-14 krieg ich irgendwie nicht weg hab alles versucht durch verschiedene foren gegoogelt und manche haben das gleiche problem aber ein richtigen lösungsansatz konnte ich nicht finden.

Zudem würd mich noch intressieren würde man es in einem HJT log sehen wenn man sich n keylogger geangelt hat also wenn der im hintergrund läuft?

achja in der automatischen auswertung wird das als schädlich angezeigt:

Code:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

liegt das daran weil die IE version total veraltet ist? und ja ich benütz firefox hab aber IE noch druf ;D

Danke schonmal... gruß medix

[reijin]

Quote:

wie im alten theard schon gesagt wurde :

Code:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

sollte entfernt werden das habt ihr gesagt sowie auch die automatische log auswertung ;D

nun zu meinem Problem:

Wenn ich 0-14 versuche zu fixen taucht es im nächsten scan wieder auf.
Ich habs im abgesicherten modus auch versucht zwecklos 0-14 krieg ich irgendwie nicht weg hab alles versucht durch verschiedene foren gegoogelt und manche haben das gleiche problem aber ein richtigen lösungsansatz konnte ich nicht finden.

das könnte darauf hindeuten, dass ein prozess die daten wiederherstellt.
allerdings ist kein string angegeben (sozusagen der wert NULL) also glaube ich nicht, dass dieser eintrag der art schädlich ist...

Quote:

Zudem würd mich noch intressieren würde man es in einem HJT log sehen wenn man sich n keylogger geangelt hat also wenn der im hintergrund läuft?

schwer zu sagen, es gibt möglichkeiten prozesse und dateien zu verstecken - solche techniken verwenden auch Rootkits.
dagegen kann helfen. (aufspüren usw.)

Quote:

achja in der automatischen auswertung wird das als schädlich angezeigt:

Code:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

liegt das daran weil die IE version total veraltet ist?

ja ;D
aber du solltest deinen IE trotzdem updaten. auch wenn du ih nicht nutzt. viele programme benutzen die Surf-Engine vom IE und dadurch bist du dann sehr schlecht geschützt.

viele grüße und gl

[Medix]

vielen danke für die hilfreiche antwort ;D


trotzdem würds mich intressieren wie ich die 0-14 weg krieg auch wenn sie nicht unbedingt schädlich sind :> ^^

[reijin]

such mal nach der IERESET.inf
und lösch die werte von hand.. erstell aber vorher ein backup der datei.

[Medix]

an das hab ich auch schon gedacht

hab auf folgende weiße versucht an iereset.inf ranzukommen

1) mit der windowssuche hat nix gefunden
2) in diversen windows ordnern selber hab nirgends die ireset.inf gefunden hab bestimmt so 30 mins rumgesucht

[reijin]

Quote:

Originally Posted by Medix

an das hab ich auch schon gedacht

hab auf folgende weiße versucht an iereset.inf ranzukommen

1) mit der windowssuche hat nix gefunden
2) in diversen windows ordnern selber hab nirgends die ireset.inf gefunden hab bestimmt so 30 mins rumgesucht

hast du eingestellt, dass du versteckte ordner sehen kannst?
falls nicht hol das mal nach
ansonsten kannst du noch von ner Linux LiveCD Booten und danach suchen. (nimm dazu am besten )

was anderes fällt mir nicht ein.. - es kann übrigens auch sein, dass diese datei nur vom alten IE verwandt wird. Update den IE mal und sieh nach, obs dann besser ist.

[Medix]

Vielen vielen dank hat geklappt hab mir die aktuelleste IE version druf gehaun und weg is das zeugs ;D

<3 love you und so... :x

thanks up :d

[reijin]

np