# HijackThis logfile



## thierry_to (19 Juli 2004)

Hallo Leute!

Da ich noch ziemlich unbedarft in Sachen Computersicherheit bin moechte ich die Spezis unter euch fragen was unbedngt aus meinem HijackThis logfile rausmuss und was drin bleiben kann:

Logfile of HijackThis v1.98.0
Scan saved at 18:08:35, on 19/07/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPHMON04.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\HPHIPM11.EXE
D:\MES DOCUMENTS\DOWNLOADS\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://webmail.vo.lu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **tp://webmail.vo.lu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://webmail.vo.lu
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.zapros.com/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.zapros.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://webmail.vo.lu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://webmail.vo.lu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\SYSTEM\HPHMON04.EXE
O4 - HKLM\..\Run: [Hphupd04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: EPT Applet - h**ps://www.ccp-connect.lu/exbanking.cab
O16 - DPF: {E0488030-8BA9-11D2-A242-006008662F81} (S-Net) - h**ps://www.snet.lu/vprod/ssnet2bib110.cab
O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - h**p://www.7thsense.net/dl/svideo.cab
O16 - DPF: SNET_092004 - h**ps://www.snet.lu/vprod/dusnet2b_v2049.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.235.193.194
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\msero.dll
O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\MSREF.DLL
O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\MSREF.DLL
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Vielen Dank fuer eure Hilfe!

Thierry

_alle Links deaktiviert , bitte keine  aktiven Links (URLs  werden von der Forensoftware automatisch aktiviert,
wir haben  hier nicht die Zeit jeden Link auf Gefährdung anderer User zu überprüfen! 
http://forum.computerbetrug.de/rules.php#14 tf/mod _


----------



## Devilfrank (20 Juli 2004)

*Fixen im abgesicherten Modus:*
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www. 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://webmail.vo.lu 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **tp://webmail.vo.lu 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://webmail.vo.lu 

Gegebenenfalls die Startseite manuell neu eintragen

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.zapros.com/search.htm 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.zapros.com/search.htm 

Falls dieser Search-Assistent gewollt ist, Einträge belassen.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://webmail.vo.lu 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://webmail.vo.lu 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) 
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll 
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

*Löschen im abgesicherten Modus:*
C:\WINDOWS\SYSTEM\AUHOOK.DLL
Inhalt der Ordner "TEMP" und "TemporaryInternetFiles" 

*Herunterladen/ Updaten:*
IE6 bzw. alternativen Browser (Mozilla/Firefox/Opera)
Spybot S&D und dann den Browser immunisieren.
BHODemon2.0 installieren


----------



## Anonymous (21 Juli 2004)

Hallo devilfrank!¨

Vielen Dank fuer die schnelle Antwort; hat tadellos hingehauen.

Gruss

Thierry


----------



## Devilfrank (21 Juli 2004)




----------



## Anonymous (21 Juli 2004)

hallo leute....

muss da was raus ???? 

Logfile of HijackThis v1.98.0
Scan saved at 22:49:44, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\ccseimw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\AIM95\aim.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ben\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [miusavqshmdku] C:\WINDOWS\System32\ccseimw.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8d9cea50ae6b0acefcfbb84033807f5b0ac7f1263a2a3 410a3530bb5d1d0c73631f955208ec57d9cb2ba04b99933536261:5384e68ecedbe601989f3130ba048162
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BAEA16-7773-44F2-9C98-7127CBCEBB93}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BAEA16-7773-44F2-9C98-7127CBCEBB93}: NameServer = 217.237.150.33 194.25.2.129


vielen dank für eure hilfe 

mike


----------



## Anonymous (25 Juli 2004)

Hallo

lösch mal.......

C:\WINDOWS\System32\ccseimw.exe    
Unbekannt   Laufender Prozess. (ccseimw.exe)
   Dies ist ein unbekannter Prozess. 

  C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe    
Unbekannt   Laufender Prozess. (btwdins.exe)
   Dies ist ein unbekannter Prozess. 

  O4 - HKLM\..\Run: [miusavqshmdku] C:\WINDOWS\System32\ccseimw.exe    
Unbekannt   Zum eingegebenen Programm miusavqshmdku haben wir folgendes Programm gefunden: Kein. Trefferquote: 5,88 % (Resultate)   Nicht bekanntes Programm. 

  O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl    
Unbekannt   Zum eingegebenen Programm AIM haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate)   Nicht bekanntes Programm. 

  O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendt   

Eventuell Böse 

  Zeigt Einträge beim Rechtsklick im IE. Unbekannte Einträge im 'Rechts-Klick-Menü' des IE immer mit HijackThis fixen.   Wenn der Eintrag 'Senden an &Bluetooth ' nicht bekannt ist, fixen! 


  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)    

Eventuell Böse

   Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.   Wenn der Eintrag '' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann! 

  O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\   

Eventuell Böse

   Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.   Wenn der Eintrag '@btrez.dll,' nicht bekannt ist, fixen! 


  O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programm   

Eventuell Böse

   Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.   Wenn der Eintrag '@btrez.dll,' nicht bekannt ist, fixen! 


  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie 

Eventuell Böse

   Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!   Prüfen ob Sie diese Seite kennen und ggf. fixen.

MfG

Joe 60


----------



## Bremsklotz (5 August 2004)

*Logfile HijackThis*

Meine Tochter zur Zeit auch massive Probleme, bis der PC hochfährt, vergeht eine halbe Ewigkeit. 

Ich füge mal die Logfile als Attachment bei.

Es wäre schön, wenn ihr mir sagen würdet, was davon Müll ist und weg kann.

Sie geht über DSL ins Netz.

*[Virenscanner: Dokument nach RTF (Rich Text Format) konvertiert]*


----------



## Devilfrank (5 August 2004)

Siehe Logfile. Viel Erfolg


----------



## Bremsklotz (5 August 2004)

Hallo Devilfrank,

vielen Dank erstmal. Ich bin erst am Sonntag wieder bei meiner Tochter, dann werde ich mich der Probleme annehmen. Ich dachte es mir schon, dass da eine ganze Menge zu finden ist. Lustig? das kommt davon, wenn Teenies (Enkelkinder) auf alles klicken, was sich bewegt. :bigcry: 
Die Omma solls dann wieder ausbügeln.


----------



## Anonymous (19 August 2004)

Wenn hier alle so kräfig am posten sind mach ich das doch auch einfach mal. *fg*


----------



## virenscanner (21 August 2004)

Ich würde diese Einträge mal fixen:


----------

