highjackthis. wie gehts weiter?

  • über die suche bin ich zu highjackthis gekommen



    jetzt hab ich die log nur weiß nicht richtig was da nicht stimmt


    Logfile of HijackThis v1.98.2
    Scan saved at 13:33:04, on 16.11.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svmhost.exe
    C:\WINDOWS\System32\sstray.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Copy Handler\Copy Handler.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\Winamp\winampa.exe
    C:\WINDOWS\System32\xorcnkpak.exe
    C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
    C:\WINDOWS\System32\IEXPLORE.exe
    C:\Downloads\hijackthis\HijackThis.exe
    C:\DOKUME~1\Admin\LOKALE~1\Temp\C.tmp.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\WINDOWS\System32\taskmgr.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi…?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi…?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Copy handler] C:\Programme\Copy Handler\Copy Handler.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\wkugaas.exe
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\pdwsyp.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [Starting up] wvsvc.exe
    O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
    O4 - HKLM\..\Run: [DIABLO666] IEXPLORE.exe
    O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
    O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\C.tmp.exe
    O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKLM\..\RunServices: [DIABLO666] IEXPLORE.exe
    O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\RunOnce: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
    O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
    O4 - HKCU\..\Run: [Starting up] wvsvc.exe
    O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKCU\..\Run: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - HKCU\..\RunOnce: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
    O4 - Global Startup: SATARaid.lnk = ?
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A4AB7E-ECE1-4076-B73A-BC04EA6498CB}: NameServer = 213.148.129.10 213.148.130.10




    mal macht svchost.exe eine 100% cpu auslastung
    mal kann ich garnicht den taskmanager aufrufen :cry:

    Mein System:
    AMD XP 2800+ auf nem Asus A7N8X Deluxe Board
    512 DDR RAM
    MSI GeForce FX 5700
    Q-DSL

  • Hallo, hast du vor dem Posten der Logfile deinen PC
    mit AdAware und Spybot geprüft?
    Wenn nicht bitte nachholen und neue Logfile posten.
    Das Tool Hijakthis solltest du in einen seperaten Ordner stellen
    und von dort starten.


    Rolf

    Gruß
    Rolf

  • hab lavasoft adaware SE und spybot search&destroy laufen lassen


    highjack is alleine in einem ordner wo nur noch die backups dran sind



    wann soll ich highjacken? ganz am anfang oder dann wenn mein system abschmiert

    Mein System:
    AMD XP 2800+ auf nem Asus A7N8X Deluxe Board
    512 DDR RAM
    MSI GeForce FX 5700
    Q-DSL

  • Hallo Scream,
    du hast sicherlich deine Logfile hier schon mal auswerten lassen:
    http://www.hijackthis.de/


    Bei 23 Dateien die als Malware deklariert werden
    kann ich dir nicht helfen.
    Ich hoffe daß yoyo sich diesen Thread noch anschaut.
    Rolf

    Gruß
    Rolf

  • Naja, endlich mal eine Aufgabe... sieht schon ziemlich schlimm aus.


    Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)


    Computer in den abgesicherten Modus neustarten. (F8 beim Starten drücken.)


    Die folgenden Dateien löschen:


    C:\WINDOWS\System32\wkugaas.exe
    C:\WINDOWS\System32\pdwsyp.exe
    C:\WINDOWS\System32\svmhost.exe
    C:\WINDOWS\System32\wvsvc.exe
    C:\WINDOWS\System32\xorcnkpak.exe
    C:\WINDOWS\lsasss.exe <Achtung! Nicht die lsass.exe in Windows\system32 löschen.>
    C:\WINDOWS\System32\IEXPLORE.exe
    C:\WINDOWS\System32\Sygate.exe
    C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\C.tmp.exe <gesamten Inhalt dieses Ordners löschen>



    HijackThis erneut scannen lassen, die folgenden Einträge markieren und dann den Fix checked Button klicken:


    O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\wkugaas.exe
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\pdwsyp.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\Run: [Starting up] wvsvc.exe
    O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
    O4 - HKLM\..\Run: [DIABLO666] IEXPLORE.exe
    O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
    O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\C.tmp.exe
    O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKLM\..\RunServices: [DIABLO666] IEXPLORE.exe
    O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
    O4 - HKLM\..\RunOnce: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
    O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
    O4 - HKCU\..\Run: [Starting up] wvsvc.exe
    O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] xorcnkpak.exe
    O4 - HKCU\..\Run: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\RunOnce: [DIABLO666] IEXPLORE.exe
    O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe


    Computer in den Normalmodus neustarten.


    Einen oder mehrere dieser Online Virenscanner laufen lassen:
    PandaSoft
    TrendMicro
    Symantec


    Solltest auch dringendst ein Antivirenprogramm und eine Firewall installieren.


    Einen neuen HijackThis Log posten.

  • was wär das www nur ohne euch :D


    also hab alles gemacht wie du gesagt hast und am ende mit dem Gdata anti vir gescannt und jetzt log erstellt:


    Logfile of HijackThis v1.98.2
    Scan saved at 14:22:04, on 17.11.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Downloads\hijackthis\HijackThis.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi…?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi…?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Copy handler] C:\Programme\Copy Handler\Copy Handler.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\C.tmp.exe
    O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\3.tmp.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: SATARaid.lnk = ?
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
    O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm


    die datein


    C:\WINDOWS\System32\wvsvc.exe
    C:\WINDOWS\System32\Sygate.exe


    gab es nicht nur eine *.pf datei davon soll ich die auch löschen?
    muss ich noch was machen?


    noch ne frage da bei mir sp2 nicht richtig läuft, lohnt es sich das SP 1.6 zu holen?

    Mein System:
    AMD XP 2800+ auf nem Asus A7N8X Deluxe Board
    512 DDR RAM
    MSI GeForce FX 5700
    Q-DSL

  • Was ist SP 1.6?


    Dein Log sieht schon viel besser aus. Allerdings noch nicht ganz sauber. Hast Du diesen Log im abgesicherten Modus erstellt? Es erscheinen verdächtig wenig laufende Prozesse in der Liste.


    Computer in den abgesicherten Modus neustarten.


    Start - Ausführen - %temp% - Alles in dem Ordner löschen der sich öffnet.


    HijackThis diese Einträge fixen lassen:


    O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\C.tmp.exe
    O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\Admin\LOKALE~1\Temp\3.tmp.exe


    Computer in den Normalmodus neustarten. Neuen HijackThis Log erstellern und hier posten.

  • gut mach ich


    die log wurde im abgesicherten modus erstellt


    sp1.6 = service pack 1.6


    Zitat


    Dieses Pack enthält 80 Hotfixes, Updates und kleiner Service Packs für Windows XP. Kurz gesagt: alles wichtige was nach dem Service Pack 1 für Windows XP erschienen ist. Ideal für jeden Anwender der des öfteren Neuinstallationen durchführt oder bisher zu faul war alle Updates einzelnen herunterzuladen und auch unser Update Pack 1.5 noch nicht installiert hat.


    Ausführliche Informationen sowie eine Liste aller enthaltener Updates finden Sie in unserer Meldung vom 11.12.2003 (zusätzliche Links)

    Mein System:
    AMD XP 2800+ auf nem Asus A7N8X Deluxe Board
    512 DDR RAM
    MSI GeForce FX 5700
    Q-DSL

  • trozdem funktioniert mein system noch nicht richtig


    hängt sich z.b. am anfang ziemlich oft auf dann muss ich paar minuten warten bis er reagiert oder manchmal schaltet das bild für eine sekunde ab
    (wie wenn man ein spiel starten würde oder alt+tab in einem spiel)


    wenn er sich aufhängt kann ich auch nicht mehr den taskmanager öffnen aber er taucht links unten im tray an

    Mein System:
    AMD XP 2800+ auf nem Asus A7N8X Deluxe Board
    512 DDR RAM
    MSI GeForce FX 5700
    Q-DSL

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!