Forum
Tipps
News
Menu-Icon

Windows XP: Hijacklog,bitte um Hilfe zur Analyse.

Tachschen Leute,hatte vor kurzem ein virus endeckt,ihn in Quarantäne verschoben.Ein Hijacklog erstellt und bin mir nicht sicher
ob jetzt alles sauber ist.Kann mir einer von Euch zu dem Log etwas miteilen und tipps geben.Danke mica.

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:07, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\atievxx.exe
C:\WINXP\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINXP\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 3969 bytes
 



Antworten zu Windows XP: Hijacklog,bitte um Hilfe zur Analyse.:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Soweit ich das beurteilen kann, sieht das recht gut aus. Natürlich könnte sich aber ein Virus als Systemprozess verkleidet haben und immer noch aktiv sein. Wenn du wirklich 100% sicher sein willst, solltest du Windows neu installieren.
Hier gibts ein paar Tipps, wie du deinen PC sicherer machen kannst

Moin!
Warum gibst du das Logfile nicht direkt hier ein?
kasi

Die Installation ist sauber.
Was aber nur dieses Protokoll anbetrifft und keine Aussage über die Sicherheit Deines PCs ist, ja?
Du solltest allerdings die Einträge "[nltide_*]" von hand entfernen. Diese stammen von einer bearbeitung mit dem Tool "nLite" und der gute Nuhi hat es noch nicht geschafft, diese aus seinem genialen Tool zu entfernen.
Ich verwende zur Suche nach solchen Einträgen, deren Korrektur oder Entfernung übrigens "jv16_powerTools".
ja - und die Auswertung von hijackthis kannst du ganz leicht selbst erledigen, hier eine gute Beschreibung:

http://www.computerhilfen.de/jueki/hijackthis.pdf

Jürgen

Hallo Leute,danke für eure Tipps,nur eins noch,was hat das nit dem manuellen entfernen der "nltide"Einträge zu bedeuten?
mica

Das bedeutet, das es sinnvoll ist, diese Einträge in der Registry zu suchen und zu entfernen:


Das setzt allerdings einige grundlegende Kenntnisse in der Registry voraus - ansonsten kann da mehr zerstört werden, als das Nutzen bringt.

Jürgen

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wie hieß der Schädling ??

Schau bei Antivire nach, steht unter Ereignisse oder Berichte.

Gucke auch nach in Welcher Datei der Schädling gefunden wurde.

Das mit dem Hijackthis Logfile selber analysieren lassen wa mal lieber bei den Newbis!!

Der Hijackthis Log ist sauber, was jedoch nix zu bedeuten hat!!

 

 

Zitat
was hat das nit dem manuellen entfernen der "nltide"Einträge zu bedeuten?

Vor allem hat es damit zu tun das sie ein geklautes Betriebssystem verwenden...
Diese Einträge entstehen nämlich immer dann ,wenn das Programm zweckentfremdet wird.

Der Programmierer der Software ist sehr wohl in der Lage diese Einträge nicht erscheinen zu lassen.Er sieht aber aus genau diesem Grund davon ab...
Man könnte ihm nämlich Beihilfe zu Copyrightverletzungen unterstellen.

Es ist völlig falsch und zeugt von Ahnungslosigkeit im Umgang mit dem Medium Internet solche Behauptungen aufzustellen :
 
Zitat
Du solltest allerdings die Einträge "[nltide_*]" von hand entfernen. Diese stammen von einer bearbeitung mit dem Tool "nLite" und der gute Nuhi hat es noch nicht geschafft, diese aus seinem genialen Tool zu entfernen.
Ich habe das niemals so behauptet auch wenn der Autor hier versucht anderes zu suggerieren.
Ich kenne den Autor nicht.
Auch was der Hinweis auf das "automatische Auswerten" angeht und das völlige Übersehen des Spybot Eintrages (Teatimer.exe !!)
NH
 
« Letzte Änderung: 30.06.08, 17:06:25 von Dr.Nope »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kannst du das nochmal etwas genauer aufklären? Wie kommst du von irgendwelchen Registryeinträgen zu der Annahme. dass das Betriebssystem geklaut ist? Und was haben wir an dem Spybot/Teatimer.exe übersehen?
Irgendwelche Behauptungen aufstellen kann jeder, sie glaubhaft erklären und belegen nur wenige - wozu gehörst du?

 

Zitat
...wozu gehörst du?
Ist mein Lieblingsverfolger - nicht das erste Mal, das dieser derlei Kommentare reinsetzt.
Sollte man nicht darauf reagieren...

Jürgen

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Er meint das dieser Eintrag im Logfile von Spybot übersehen wurde.

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

Dieser Eintrag muss jedoch noch nicht gefixt werden, da wir noch keine Bereinigung des Systems angefangen haben!
 

Der "Teatimer" des Sicherheitstools "Spybot Search&Destroy" (von dem übrigens seit heut die Version 1.6 zum Download bereit steht) verfügt über eine Kontrolle der hosts sowie der Registry und vermeldet diese.
Diese Funktion nennt sich "Teatimer" - ist meiner Meinung nach überflüssig.
Einige Freunde allerdings haben dies aktiviert - es ist nichts dagegen einzuwenden.

Jürgen

Ich finde den Teatimer nützlich , da er mir bei Installs zeigt , was das neue Tool/Prog in der Reg machen will.
Bei einigen hab ich da schon NEIN gesagt !  ::):D

Noch ein Hinweis:
Der Gast "N.H" behauptet, das Betriebssystem des Fragestellers wäre geklaut, weil Einträge "nltide_*" im Logfile zu sehen sind.
Das ist schlichtweg falsch.
Diese Einträge entstehen bei der Bearbeitung mit "nLite".
Über die Legalität und Illegalität eines Betriebssystems "Windows XP" entscheidet einzig und allein der Installationskey. Und die spätere Aktivierung durch M$.
Demzufolge ist die Unterstellung, der Fragesteller besäße ein gestohlenes XP eine Beschimpfung, die keinerlei begründbare Grundlage hat.
Und der Gast -ein kleiner Programmierer- stellt sich selbst als Troll dar, dessen Beweggründe nicht eine Hilfestellung ist, sondern nur Störung und beschimpfung.
Es bleibt jedem selbst überlassen, diesen "kleinen Programmierer" und dessen Postig einzuschätzen.

Jürgen

« Letzte Änderung: 30.06.08, 17:37:02 von jüki »


Der "Teatimer" des Sicherheitstools "Spybot Search&Destroy" (von dem übrigens seit heut die Version 1.6 zum Download bereit steht)

jüki ist zu schnell,also wartet lieber noch.


mfg  Burgeule


Die Vorabversion 1.6 RC1 richtet sich vor allem an experimentierfreudige Nutzer. So versprechen die Entwickler etwa eine deutlich schnellere Scanengine. Wer auf Nummer sicher gehen will, greift zur aktuellen 1.5.2 Version.

Ich hab es getestet und kann es allen, die eine stabile XP- Installation auf ihrem PC haben, aus meiner Sicht empfehlen.
Ich hab vorige Woche das 1.5.2 upgedatet und immunisiert, da hatte ich etwas über 64.000 "Clients".
Jetzt, nach dem Update auf 1.6RC1 sogleich 89.528.
Ist zwar keine direkte Aussage - aber immerhin verblüffend.

Ansonsten geb ich Freund Burgeule recht.

Jürgen

Na dann.
Wozu hab ich ein Image.  ;)

mfg  Burgeule

danke,nochmals fuer die erklaerungen.
hier im forum wird hart geschossen,nicht verwunderlich bei dem digitalen krieg.
arbeiten wir alle an einer utopie des frieden?
oder schmieden wir neue ruestungen.

auf das jeder seinen freiden findet.

LOL.. was sollte das ein Kompliment ausdrücken?  ;D


« Ihre Frage: Werbeeinblendung.....nach Absturz keine Internetverbindung mehr. »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Analog
Der Begriff Analog bedeutet kontinuierlich oder auch stufenlos und meint in der Regel ein elektrisch erzeugtes Signal. Analog ist auch das Gegenteil von digital. Im Vergl...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Login/Logout
Als Login, beziehungsweise Logout wird das An- und Abmeldung vom Zugriff auf geschützte Daten oder Rechner bezeichnet. Diese Methode wird meistens genutzt um private...