HijackThis löscht nicht richtig

Status
Für weitere Antworten geschlossen.
M

MaSer

Guest
Halllo

Ich weiß nicht ob ich was falsch amche aber bei mir klappt das mit dem fixen bei Hijackthis nicht.
also nachdem ich ein scan gemacht habe alss ich ihn auf der inet-seite auswerten dann sagt er mir dass ich 2 sachen weg machen soll(also fixen).Dann check ich die an und klick dann auf fix checked.wenn ich dann nochmal sacne ist es weg.Aber nach einem neustart ist alles weider da.

Wieso bleibt das nicht weg?
Mache ich was falsch?

danke im vorraus

 

Harry

Well-known member
Mitglied seit
18 November 2004
Beiträge
1.242
Hallo MaSer,

vielleicht könntest Du mal posten was für "Sachen" du fixen wolltest.

Am besten wäre allerdings, wenn Du den gesamten Logfile von HJT posten würdest.

L.G.
Harry

 
M

MaSer

Guest
also hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:46, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HJT1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
Please, Anmelden or Registrieren to view URLs content!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Please, Anmelden or Registrieren to view URLs content!

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) . <-- das hier
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [iSUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [secure] C:\WINDOWS\losec.exe <-- das hier
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Du solltest zuerst die Dateien löschen, dann die Einträge in der Registry.

schau mal dort:

Please, Anmelden or Registrieren to view URLs content!


Sei so nett und schicke alle verdächtigen Dateien mal zu
Please, Anmelden or Registrieren to view URLs content!
und
Please, Anmelden or Registrieren to view URLs content!
zur
überprüfung und poste uns die Ergebnisse. Danke

Für den anderen Eintrag solltest du in die Registry gehen:

start - Ausfuehren - regedit
oben links - bearbeiten - suchen

{055FD26D-3A88-4e15-963D-DC8493744B1D}

dann loesche alle Eintraege, welche die Bezeichnung haben.
+
starte den rechner neu

Nochwas lade und starte bitte mal den Rootkitscanner Blacklight und poste das Ergebnis.
Please, Anmelden or Registrieren to view URLs content!


 
M

MaSer

Guest
danke für die ausführliche anleitung

habe die exe-datein gelöscht aber die pf datein finde ich nicht

 
M

MaSer

Guest
so hier der scan mit Blacklight
Please, Anmelden or Registrieren to view URLs content!

Shot at 2007-07-17/></a>

Und hier du cheacks aus dem inet
spacer.png


UPnPC.exe:
Virustotal:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 no virus found
eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 Trojan.Downloader.Win32.ModifiedUPX.gen (suspicious)
Aditional information
File size: 10752 bytes
MD5: bd2b7fba89166eb13c723c70512bc3f7
SHA1: a07cedf0b5b100dcfb90b5af36d39bf922bc15de
packers: UPX
packers: UPX
packers: UPX

Virusscan:
Datei: upnpc.exe
Auslastung:
0% 100%
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
PE_PATCH.UPX, UPX
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

socks.exe

virustotal:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 no virus found
eSafe 7.0.15.0 2007.07.16 no virus found
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.17 not-a-virus:Server-Proxy.Win32.3proxy.h
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 Suspicious file
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 no virus found
Aditional information
File size: 26112 bytes
MD5: 836909fd2d895f5d8522bcfd877029eb
SHA1: ec073c295f83178f2195810b17e81b8fe32e6357

Virusscan:
Datei: socks.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virus:Server-Proxy.Win32.3proxy.h (6, 2, 608) gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:Server-Proxy.Win32.3proxy.h gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Plink.exe

virustotal:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.16 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 no virus found
eSafe 7.0.15.0 2007.07.16 no virus found
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 no virus found
Aditional information
File size: 282624 bytes
MD5: 394e79bb46a64b3957591973a172c563
SHA1: f855bfc69c1e6296199492a1eaaeaf32337a7650

Virusscan:
Datei: plink.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Losec.exe

Virustotal:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
AntiVir 7.4.0.42 2007.07.16 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.16 no virus found
DrWeb 4.33 2007.07.16 no virus found
eSafe 7.0.15.0 2007.07.16 no virus found
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 no virus found
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 Suspicious file
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.16 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.16 no virus found
Aditional information
File size: 423424 bytes
MD5: da71955f42547f5c7fc77e4d9c215397
SHA1: 0c053921c0d27718abef500ae5b4e69aa330869d

Virusscan:
Datei: losec.exe
Auslastung:
0% 100%
Status:
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

 

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Als nächstes würde ich alle deine Schutzprogramme updaten (SpybotSD,AntiVir,AVG7) dazu noch das Programm Ad-aware runterladen (
Please, Anmelden or Registrieren to view URLs content!
) ebenfalls updaten.

Danach geh in den abgesicherten Modus (
Please, Anmelden or Registrieren to view URLs content!
)
stelle die Programme so ein das alles was verdächtig ist auch gelöscht wird ohne die Quarantäne Funktion.
Scanne mit allen nacheinander den kompletten Rechner, wenn etwas gefunden wird
zum Beispiel "UPnPC.exe", bitte die Log des jeweiligen Programmes posten.

 
M

MaSer

Guest
ich hab schon ad-aware
und ich habe schon gestern anch den löschen der datein im abgesichter modus alles durchlaufen gelassen(zur absicherung)habe alle nicht gefunden.nur ad-aware hat was gefudnen aber das findet ja immer was(tracking.cookies)

:danke: für deine mühe

 

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Aber gerne doch..

Noch einen guten Ratschlag, achte darauf welche Programme im Hintergrund arbeiten z.B. mit dem Programm AutoRuns, ProcessExplorer, ProcessMonitor od. FileMon, die findest du in der Sysinternals Suite, geschrieben vom Windows "Sicherheitsguru": Mark Russinovich.

Sysinternals Suite
Please, Anmelden or Registrieren to view URLs content!


 
Status
Für weitere Antworten geschlossen.
Oben