Forum
Tipps
News
Menu-Icon

Muster-Beispiel eines absolut sauberen HJT-Logs

Ich habe hier lediglich meinen Namen ausge-xxxxt.. ;)
So könnte/sollte es aussehen, wenn alles clean ist und nichts vermüllt:
(auf die Google-Toolbar könnte man sogar auch noch verzichten ;))
Ein gepflegtes und kontrolliertes System sollte so ähnlich aussehen (Beispiel für XP):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:05, on 17.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Volumouse\volumouse.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXXXXXXXXXXXX\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Dokumente und Einstellungen\XXXXXXXXXXXXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2apmymin.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare 2 Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: ['Ashampoo AntiSpyWare 2 Guard'] C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [$Volumouse$] "C:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235079665343
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avp - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c992b937e2121c) (gupdate1c992b937e2121c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6285 bytes
 

« Letzte Änderung: 17.06.09, 22:13:13 von Carpenter »


Antworten zu Muster-Beispiel eines absolut sauberen HJT-Logs:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Js sieht gut aus =)

Aber was hat Ashampoo Anti Spyware auf deinem System verloren  :o. So en Müll braucht die Welt net  ;D

Und der hier kann auch aus em Autostart raus:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

Zitat
Aber was hat Ashampoo Anti Spyware auf deinem System verloren
Ganz einfach: meldet mittels Signalton Einträge ins Autostart (macht Kaspersky nicht..)

Und den Speed-Launcher habe ich einfach gelassen, was soll`s...

Irgendwo ist halt Schluss mit der Reinlichkeit...

Streng genommen kann man ein XP-System auf etwa 25 Prozesse, ein Vista-System auf etwa 36 Prozesse ohne den geringsten Performance-oder Sicherheits-Verlust reduzieren.....

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nun,so sauber finde ich das log aber nicht.ich würde dann doch mal dafür sorgendas folgende pogramme nich starten,da dies IMHO keinen sinn  ergibt:
:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Update\GoogleUpdate.exe

4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

Seltsam,jemand der weis,was eine PFW ist un genau deren wirkung kennt,hat eine im system? wie ist das zu erklären?

Die nachfolgenden sachen finde ich überflüssig:
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

oder warum lässt man rechnenzeit stehlende pogramme im system?

Also Paradebeispiel dient diese Logfile mal absolut nicht, tut leid

w2 hats ja schon angesprochen
und was mal wieder niemand sieht bzw weis

 

Zitat
C:\Dokumente und Einstellungen\XXXXXXXXXXXXXXXX\Desktop\HiJackThis.exe

 ::)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@larusso:
Die xxx sind von Carpenter zur verschleierung seines tatsächlichen namens eingefügt worden.Er hat wie allen anderen hier auch ein recht darauf,nur unter seinem Nick bekannt zu sein.
Noch fragen?

mir gehts aber nicht um die XXX sondern um den ganzen dateipfad
was ist eigentlich fixen  ;D
 ::) 

Am w2:
Folgende Sache ist NICHT gestartet, sondern auf manuell:
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

Laufen tun hingegen:
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
Erspart mir das manuelle Suchen nach Updates.

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe


Die ctfmon.exe wird benötigt, da ich gelegentlich ein ein Tablet für Handschriften anschließe...

Google-Update: bezieht sich auf Google-Earth, erspart mir manuelle Suche nach Neuerungen.

4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Ist KIS 2009, mehr gibt es nicht zu sagen...

Und, lieber Larusso, deine absolute Laienhaftigkeit zeigt sich in dieser deiner Äußerung:

Zitat
und was mal wieder niemand sieht bzw weis ......C:\Dokumente und Einstellungen\XXXXXXXXXXXXXXXX\Desktop\HiJackThis.exe
Eben genau dort habe ich das abgelegt

Les mal genau, Larusso:
D_U  S_C_H_W_A_C_H_K_O_P_F

 

Also mal absolut keine Ahnung tztztztztz

und beleidigungen
oha

wer von uns der Schw kopf ist wissen ja mehrere Leute hier
und ja, du bist auch nicht bei anderen beliebt
mir solls ja egal sein

ich lese weiterhin einfach mit und lache und lache und lache  :P

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wer weiß wie man mit HJT umgeht, braucht es nicht im extra Ordner ablegen. Die Backups sind dann überflüssig.

 

Zitat
Wer weiß wie man mit HJT umgeht, braucht es nicht im extra Ordner ablegen
Vielen Dank, genau so wird es wohl sein....
Ist eine temporäre Verknüpfung zu einem temporären Programm, gerade einfach aus Bequemlichkeit auf dem Desktop angelegt, einfach so...

Braucht man ja nicht täglich, und ist auch schon wieder gelöscht: Programm + Log...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@carpenter:
Den updatervon java würde ich schleunigst stilllegen.Wie allgemein bekannt,wie bei einem update die alte version von java nicht entfernt,sonder an ort und stelle belassen.
Mit folgendem kann man da abhilfe schaffen:
http://raproducts.org/

Das pogramm entfernt die alten einträge von java.Was besseres ist mir dezeit nicht bekannt.Aber auch das update kann man darüber anstoßen.

Danke dir, lieber w2.

Javara ist SELBSTVERSTÄNDLICH bereits vorhanden....
Irgendwo sollte eine Grenze bei der ganzen "Schlankheits-Kur" gezogen werden.
Ich wollte mit meinem ganz persönlichen HJT-Log nur ein Beispiel anzeigen, wie es hätte können sein.....

Das man dieses auch noch analysieren und bekritteln muss, nun ja... 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Würdet ihr meins sehen, hättet ihr was zu lachen  ;D

Und für den überheblichen Nix-Blicker Larusso nochmals das Zitat aus meiner Beschreibung:  

Zitat
Ich habe hier lediglich meinen Namen ausge-xxxxt..  

 

Zitat
Würdet ihr meins sehen, hättet ihr was zu lachen
Her damit, Alter.... ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kannste Knicken  ;D;D;D

Wer setzt hier freiwillig ne Log rein ;D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hab ich EIGENTLICH kein Problem mit, aber ich lass es mal.

..meine Logs sind immer sauber ():-)
Trotzdem habe ich "Probleme" und zwar ständig!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Zur allgemeinen belustung mal eines aus meinem rechner:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53:03, on 18.06.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINSP4\System32\smss.exe
C:\WINSP4\system32\winlogon.exe
C:\WINSP4\system32\services.exe
C:\WINSP4\system32\lsass.exe
D:\Programme\ESET\ekrn.exe
C:\WINSP4\system32\svchost.exe
C:\WINSP4\system32\svchost.exe
C:\WINSP4\Explorer.EXE
D:\Programme\ESET\egui.exe
D:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\trayIT\TrayIt!.exe
G:\umgehung\Tcpview.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\wed.com
C:\WINSP4\System32\WBEM\WinMgmt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - Startup: TrayIt!.lnk = F:\trayIT\TrayIt!.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINSP4\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINSP4\System32\DVDRAMSV.exe
Dieser dienst steht auf manuel,da ich ein DVR-111 habe.
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ekrn.exe
O23 - Service: InstSV_Service - Panasonic Shikoku Electronics Co,. Ltd. - C:\WINSP4\System32\InstSV.exe
Dieser Dienst ist deaktiviert,wurde nur einmalig gebraucht.
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - D:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe
Dieser ist auf manuell.
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
Ein pogramm,das ich zum betrachten eigener datenpakete genutzt habe,könnte eigentlich weg.
O23 - Service: Thread Master (ThreadMaster) - http://threadmaster.tripod.com  -  [email protected] - C:\WINSP4\system32\ThreadMaster\ThreadMast.exe
Was diese pogramm kann,möge jeder intressierte selber herausfinden.Ist auf manuel und wird nach bedarf aktiviert.

--
End of file - 2711 bytes


Wer sich über die kommemtare dazu wundert,die sind extra zur erläuterung drin.
Das der IE nicht ermittelt werden kann liegt daran,das er verschwand bei der instalation des systemes.ich verstehe das auch nicht,bin Sehr,Sehr traurig.

Bei fragen einfach hier fragen.Java ist nicht im system,ich brauche es zu selten und die ungefragte instalation eines adon für Firefox hat mit die lust auf java verdorben.Das Adon wieder los zu werden,ist reichlich arbeit.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Was machen folgende Einträge in deinem Log ??

O13 - DefaultPrefix:
O13 - WWW]www.html]WWW[/url][/url] Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix: 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

sind einfach da,Standardmäßig.Oder sollen die belegt sein? wenn ja,womit?
ich habe bei instalation bzw danach einige sachen aus dem system entfernt.jedoch keine schädlinge,die waren im april drauf,dann habe ich sofort neuinstaliert.

O13 - WWW]www.html]WWW[/url][/url] Prefix:
 
Dieser Dienst ist deaktiviert,wurde nur einmalig gebraucht.

Letzteres wurde wohl als persönliche Note beigefügt.... 8)

Astrein ist das nicht, lieber w2......

ersguter hat sich zwischenzeitlich geoutet...
Du auch fällig???

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Lieber carpenter,
wenn du schon sachen aus dem zusamenhang zupfst,dann bitte richtig.So entsteht ein falscher eindruck.
Auch dies sollte beannt sein,das die forensoftware auf bestimmte zeichenfolgen etwas seltsam reagiert.

Und hättest du den beitrag von mir richtig gelesen,so wäre Dir bestimmt der hinweis auf die kommentare aufgefallen,welche ich zur erläuterung extra hinzugefügt hatte.

Was sollte bei mir fällig sein? das ich dieste drin habe,deren ursache ein DVD-RAM laufwerk ist? Eine PFW habe ich nicht im system,gründe dürften hinlänglich bekannt sein.


« Win XP: Ständig Werbungsüberfalljpg dateien ändern »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...

Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...