Werde ich ausspioniert?

  • #1
N

novosibir

Aktives Mitglied
Themenersteller
Dabei seit
21.05.2007
Beiträge
29
Reaktionspunkte
0
Ort
Im Herzen des Frankenlandes
Das war mein erster Gedanke, als ich im Windows Explorer eine sonderbare und für mich unerklärliche Erscheinung bemerkte.

Wenn ich im Windows Explorer über: Dokumente und Einstellungen -> mein Username -> Lokale Einstellungen den Ordner Anwendungsdaten anwähle, dann sehe ich zumeist unten rechts in der Statusleiste das Monitorsymbol mit Eigener Computer rechts davon stehend.

Manchmal jedoch ändert sich die Anzeige in der Statusleiste rechts unten ohne jegliches Zutun von mir in das Weltkugel-Symbol und es steht dann daneben plötzlich->Internet' anstatt->Eigener Computer', wie zuvor.

Zeitgleich geschieht selbiges mit dem Ordner Temp, der sich ebenso unter->Lokale Einstellungen' befindet.

Und nachdem dieser Spuk nach ca. 10-20 Minuten wieder vorbei ist und die Statuszeile wieder Eigener Computer anzeigt, ist plötzlich mein gestriger Verlauf nebst allen Eintragungen verschwunden und nur noch Heute unter Verlauf übrig.

Kann mir jemand dieses sonderbare Phänomen erklären, mich beruhigen - oder mir bestätigen, dass da jemand von aussen in meinen PC eindringt, um Daten bzw. Kopien davon einzusammeln?

Ich habe WinXP mit SP3 installiert, nutze als Browser Mozilla Firefox und gehe über einen WLAN-Stick und Fritz!Box 7170 WPA verschlüsselt ins DSL-Netz der Telekom.

Vielen Dank schon mal vorab!

Helmut
 
  • #2
Welche Firewall verwendest du? Was zeigt der Virenscanner?

salü
 
  • #3
Ich habe AVG Anti-Virus Free installiert, der bislang keine Bedrohungen aufgespürt hat.

Die Windows-Firewall ist stets aktiv, bei der ich unter->Allgemein' Keine Ausnahmen zulassen angehakt habe. Zusätzlich habe ich auf der Karte->Ausnahmen' sämtliche Häkchen für z.B.->Remotedesktop',->Remoteunterstützung', usw. entfernt.

Zusätzlich habe ich noch ZoneAlarm installiert und permanent aktiv. Habe darin die Sicherheit der Firewall auf->hoch' eingestellt und das Programm so konfiguriert, dass es die Windows-Firewall nicht abschaltet.

Die Programmeinstellungen von ZoneAlarm habe ich so konfiguriert, dass nur der AVG E-Mail Scanner, das AVG Update module, Firefox und Outlook Express->ungefragt' auf's Internet zugreifen dürfen.
 
  • #4
Darf man fragen, ob ein Tool automatisch eine Reinigungsroutine durchlaufen lässt? (solche Tools sind meistens so vorkonfiguriert sind, daß sie regelmässig nach Hause telefonieren).

Sollte das nicht der Fall sein, würde ich den Rechner sofort vom I-Net trennen und schauen was dann passiert.
 
  • #5
Leute !!

Bitte einmal komplett anschauen :

http://ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html

Wer keine Lust hat, sich diesen Film komplett anzuschauen,... Resümee
Finger weg von Firewalls, besonders dann, wenn du nicht zu 100%
mit dem Computer und Netzwerk vertraut bist !



Eine Firewall ist bereits eine zu viel ! Und dann auch noch ZoneAlarm !
Bei zwei Firewalls hast du definitiv kein Windows mehr auf deinem Rechner, sondern
irgend was undefinierbares !
Kein Wunder dass du dann nicht mehr weißt was dein Rechner macht !

Versuch aber noch einen Scann mit hijackthis durchzuführen :
http://www.hijackthis.de/

Hier kann ich nur raten, Rechner komplett neu aufsetzen und auf keinen Fall eine Firewall
mehr zu installieren !

Gruß
Tom
 
  • #6
tam-tam Tom111: ???
Neuaufsetzen wäre die Überreaktion - obwohl ich persönlich Zonealarm auch für belastend halte.

Ich hatte vor Jahren Comodo Free im Einsatz, ist mir aber inzwischen zu panzer-artig geworden,
allerdings immer wieder Testsieger ... http://www.matousec.com/projects/proactive-security-challenge/results.php

Zum Thema:
Ins Inter-Netz sollte man ohnedies mit einem anderen PC oder eigener Partition/Virtualisation/Sandbox gehen - bzw. ohne allzuviele & private Dinge drauf.
Würde in deinem Fall einen Processmonitor oder bspw. WinPooch einschalten, um zu sehn,
was sich da selbsstätig aktiviert, könnte ein Auto-Updater sein, oder aber auch Trojaner oder Spyware oder ???


PS:
Ich selber habe mir vor Jahren mit XXCLONE http://www.wintotal.de/softwarearchiv/?id=4292
eine spezielle schlanke Internetpartition geklont (+ identer Backupkopie davon).
Lösche das Ganze etwa einmal im Monat und spiele diese Kopie immer wieder zurück.
Als FW reicht die windowsinterne - AV ab und zu mit der Avira Rescue-CD - funktioniert problemfrei seit 6 Jahren. (poch,poch)
 
  • #7
@cetera,
würdest du einem Rechner vertrauen, bei dem solche Dinge passieren?
Ich bin zwar der Meinung, daß wir nicht die volle Geschichte wissen, eventuell aus Unwissenheit vom TE nicht berichtet, z.B.
ist es ein Einzelrechner oder ist er Teil eines Netzwerkes. Auch nicht seit wann diese Dinge passieren, auch nicht ob die Wahrscheinlichkeit eines Trojaners gegeben ist, auch nicht wer Zugang an sich zum Rechner hat.
Bin mal gespannt wann der TE sich im Thread wieder meldet... augenscheinlich doch nicht ganz so wichtig, man wird sehen.

Und was du als Überreaktion benennst, ist mit anderer Sichtweise bislang die einzig wirklich sichere Methode.
 
  • #8
andemande schrieb:
Bin mal gespannt wann der TE sich im Thread wieder meldet... augenscheinlich doch nicht ganz so wichtig, man wird sehen.
Zum Vergrößern anklicken....

Danke der Nachfrage! :)
Ich bin schon noch hier und lese eifrig. Wichtig ist mir die Sache nach wie vor unvermindert, nur konnte ich von den bisherigen Tipps kaum was umsetzen.

andemande schrieb:
Ich bin zwar der Meinung, daß wir nicht die volle Geschichte wissen, eventuell aus Unwissenheit vom TE nicht berichtet, z.B.
ist es ein Einzelrechner oder ist er Teil eines Netzwerkes. Auch nicht seit wann diese Dinge passieren, auch nicht ob die Wahrscheinlichkeit eines Trojaners gegeben ist, auch nicht wer Zugang an sich zum Rechner hat.
Zum Vergrößern anklicken....

Es ist ein Einzelrechner. Das einzige, was sich daran Netzwerk nennen könnte ist die Fritz!Box, die per WLAN-Stick mit dem Rechner WPA-verschlüsselt kommuniziert.

Von mir bemerkt passieren diese Geschichten seit etwa vier Wochen, niemand sonst ausser mir hat Zugang zu diesem Rechner, der sich in meiner Wohnung befindet. Innerhalb der vergangenen vier Wochen hatte ich schon zweimal leihweise->frisch aufgezogene' Rechner von Bekannten hier stehen, worauf ich dann meine wichtigsten Programme installiert hatte. Aber auch mit diesen Rechnern erlebte ich das gleiche Phänomen wie im Initialposting beschrieben und was auch meinen Verdacht bekräftigt, dass es sich um einen Zugriff von aussen handeln muss.

Dieser temporäre Wechsel von Eigener Computer auf Internet geschieht manchmal 2-3 Mal täglich und hält für gewöhnlich 15-20 Minuten an, bevor ich dann wieder Eigener Computer in der Statuszeile des Windows Explorers sehe - ohne dass ich währenddessen irgendwelche Einstellungen zu verändern versuchte.

Letzte Nacht war's plötzlich Dauerzustand von über einer halben Stunde, so dass ich mich letztlich entschloss, den Rechner neu zu starten - danach war's sauber, die Statuszeile zeigte wieder Eigener Computer. Ein blosses Abziehen des WLAN-Sticks und eine somit erzwungene->sichere' Trennung vom Internet brachte jedoch noch nie Abhilfe.

In diesem Zusammenhang fällt mir übrigens ebenso seit Wochen schon auf, dass die Geschwindigkeit meines Internetzugangs im Verlauf des Tages oder spätestens nach zwei Tagen sehr träge wird. Nach jeweiligem Reset der Fritz!Box per 30 Sekunden stromlos und dann Netzteilstecker wieder rein flutscht alles wieder prima - zumindest für die nächsten 8 Stunden bis zwei Tage, dann das gleiche Spiel wieder...

Jemand->ne Idee?
 
  • #9
:)
Das liest sich für mich so:
WLAN-Netz ist offen wie ein Scheunentor und ein hoffentlich harmloser Mensch macht dich mit diesen Aktionen auf diesen Umstand aufmerksam.

Aber hoffentlich kennt jemand hier andere Gründe, die die Sache erklären würden.
 
  • #10
andemande schrieb:
Das liest sich für mich so:
WLAN-Netz ist offen wie ein Scheunentor...
Zum Vergrößern anklicken....
Kann ich mit jetzt nicht vorstellen, weil das WLAN ja mit einem 16-stelligen WPA-Schlüssel verschlüsselt ist und ich immer wieder mal (mehrmals täglich) auf meiner Fritz!Box-Site unter Ereignisse->WLAN nachsehe, ob da wer rumlungert.

Von wenigen gescheiterten Versuchen von früher ist da seit langem nur noch meine MAC- und IP-Adresse in der Liste zu finden. In der Übersicht wird permanent an, gesichert, 1 WLAN-Station angemeldet angezeigt.
Oder gibt's die Möglichkeit, dass da jemand->unsichtbar' draufsitzt?

[br][br]Erstellt am: 03.06.10 um 02:47:26
[br]
Tom111 schrieb:
Bitte einmal komplett anschauen :

http://ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html
Zum Vergrößern anklicken....
Schade dass man (ich) den Referent so schlecht versteht.
Vermutlich bin ich im->falschen' Bundesland aufgewachsen? :-\

Tom111 schrieb:
Eine Firewall ist bereits eine zu viel ! Und dann auch noch ZoneAlarm !
Zum Vergrößern anklicken....
Warum ist gerade ZoneAlarm nicht empfehlenswert?
Oder anders, gibts eine empfehlenswertere Alternative dazu?

ZoneAlarm ist mir aufgrund meiner geschilderten Problematik von jemand nahegelegt worden, den ich (mit meinem bescheidenen Urteilsvermögen in diesem Bereich) eigentlich als PC-Crack betrachte.

Tom111 schrieb:
Versuch aber noch einen Scann mit hijackthis durchzuführen :
http://www.hijackthis.de/
Zum Vergrößern anklicken....
Meist bekommt man da nach->ner Weile Error 504 - time out, vermutlich wegen der hohen Beliebtheit dieser Site - aber einmal bekam ich eine Auswertung.

Einen Hinweis zum richtigen, weiteren Vorgehen mit den Ergebnissen fand ich da jedoch nicht.
Was macht man mit Files, die darauf mit einem dicken Kreuz markiert sind und rechts davon schädlich zu lesen ist?
Hatte von dieser Art insgesamt 6 Stück auf der Auswertung.
Soll ich diese Einträge in der Registry suchen und dort einfach löschen?

Danke!
 
  • #11
TIPP: Selber Denken -> Entscheiden -> Handeln! :B

PS: Nötigenfalls bei Dieter Bohlen vorstellig werden. :knuppel2:
 
  • #12
novosibir schrieb:
aber einmal bekam ich eine Auswertung.
Was macht man mit Files, die darauf mit einem dicken Kreuz markiert sind und rechts davon schädlich zu lesen ist?
Hatte von dieser Art insgesamt 6 Stück auf der Auswertung.
Soll ich diese Einträge in der Registry suchen und dort einfach löschen?
Zum Vergrößern anklicken....
nein!
du könntest das Hijack-Log hier reinstellen - so sollte es hier in deinem Thread dann aussehen --> schau.

pan_fee
 
  • #13
Was ich jetzt überhaupt nicht verstehe ist daß man vielleicht doch böse Funde (Hijack-Log) und die Vorkommnisse nicht gedanklich zusammmenbringt.
An seiner Stelle würde ich ganz schnell die wichtigen Daten extern sichern .
 
  • #14
novosibir schrieb:
Schade dass man (ich) den Referent so schlecht versteht.
Vermutlich bin ich im->falschen' Bundesland aufgewachsen? :-\
Zum Vergrößern anklicken....

Du bist nicht im falschen Bundesland aufgewachsen, so ist nun mal die Akustik in einem Hörsaal.
Du kannst den Film , zum besseren Verstehen, auch mehrmals anschauen.

Deshalb schrieb ich :

Tom111 schrieb:
Eine Firewall ist bereits eine zu viel ! Und dann auch noch ZoneAlarm !
Zum Vergrößern anklicken....

novosibir schrieb:
Warum ist gerade ZoneAlarm nicht empfehlenswert?
Oder anders, gibts eine empfehlenswertere Alternative dazu?
Zum Vergrößern anklicken....

ZoneAlarm steht zwar nicht an erster Stelle, wenn es darum geht das System strubbelig zu machen :) ,
aber Fakt ist, dass ZoneAlarm jede Menge Schlüssel in der Registry anlegt und Werte ändert, weißt du
was diese Einträge bedeuten oder was diese bewirken ? Das was du nach der Installation von z.B. ZoneAlarm
feststellen kannst, ist eine deutliche Performanceeinbuße und Behinderung im Umgang mit dem Computer und dem
Internet.

NEIN : Als unerfahrener User solltest du keine Firewall benutzen. Das ist ganz einfach zu erklären,
sowie auch im Film dargestellt wurde,... eine Firewall muss vom User eingerichtet werden, dies geschieht
indem du einzelnen Programmen erlaubst mit dem Internet zu kommunizieren (oder auch nicht) ; am
Beispiel des Internet Explorers wurde dies veranschaulicht . Du kannst nicht den Internet Explorer für das
Internet sperren, ohne dass du im Nachhinein ein Problem hättest (gleiches gilt für alle anderen Browser).

Anschaulich dargestellt wurde auch die Problematik von Hackerangriffen, die gerade durch die Installation
einer Firewall wesentlich erleichtert werden !

Es wurde auch deutlich gemacht, dass es KEINE Alternativen zu Firewalls gibt .
Das einzige was DU tun kannst ist dein Gehirn einzusetzen, das ist der beste Schutz !

novosibir schrieb:
Einen Hinweis zum richtigen, weiteren Vorgehen mit den Ergebnissen fand ich da jedoch nicht.
Was macht man mit Files, die darauf mit einem dicken Kreuz markiert sind und rechts davon schädlich zu lesen ist?
Hatte von dieser Art insgesamt 6 Stück auf der Auswertung.
Soll ich diese Einträge in der Registry suchen und dort einfach löschen?
Danke!
Zum Vergrößern anklicken....

Mach es so wie PCDpan_fee beschrieben hat, das Logfile hier reinstellen !

Ich habe hier nun meinen Standpunkt dargelegt, was du letztendlich daraus machst, bleibt dir überlassen.

Gruß
Tom
 
  • #15
PCDpan_fee schrieb:
du könntest das Hijack-Log hier reinstellen
Zum Vergrößern anklicken....

Gesagt - getan! Habe soeben ein->frisches' Logfile erstellt.

Allerdings musste ich List of files/folders created in the last 1 months aus dem Logfile separieren, denn dieser Bereich hat alleine schon 33.852 Zeichen (Dieser Rechner wurde am 14.05. neu aufgezogen und ist seit dem 25.05. bei mir im Einsatz), was den max. Umfang von 20.000 Zeichen eines Beitrages bei weitem gesprengt hätte.

Ich kann jedoch, falls es erforderlich und zielführend sein sollte/könnte, den Bereich List of files/folders created in the last 1 months auf zwei Folgebeiträge aufgesplittet noch nachreichen.

Logfile of random's system information tool 1.07 (written by random/random)
Run by hlg at 2010-06-03 15:57:18
Microsoft Windows XP Professional Service Pack 3
System drive C: has 76 GB (66%) free of 114 GB
Total RAM: 1278 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.4
Code: 
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:57:30, on 03.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVG\AVG9\avgemc.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\hlg\Desktop\RSIT.exe
C:\Programme\trend micro\hlg.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = C:\Programme\Outlook Express\msimn.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe /icon=hidden
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4860 bytes

Logfile of random's system information tool 1.07 (Teil I)
Code: 
======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-04-04 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Programme\AVG\AVG9\avgssie.dll [2010-06-03 1615200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
ZoneAlarm Toolbar Registrar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-27 583024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - ZoneAlarm Toolbar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-27 583024]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
AVG9_TRAY=C:\PROGRA~1\AVG\AVG9\avgtray.exe [2010-06-03 2065248]
ZoneAlarm Client=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2009-12-04 1037192]
ISW=C:\Programme\CheckPoint\ZAForceField\ForceField.exe [2009-10-27 730480]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
MSMSGS=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-03-24 952768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-04-04 36272]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX100 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE [2008-02-05 188928]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe [2004-11-02 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\WINDOWS\system32\igfxtray.exe [2004-11-02 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2010-04-28 142120]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2010-03-17 421888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
C:\WINDOWS\system32\avgrsstx.dll [2010-05-14 12464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2004-11-02 348160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Programme\AVG\AVG9\avgemc.exe=C:\Programme\AVG\AVG9\avgemc.exe:*:Disabled:avgemc.exe
C:\Programme\AVG\AVG9\avgnsx.exe=C:\Programme\AVG\AVG9\avgnsx.exe:*:Disabled:avgnsx.exe
C:\Programme\AVG\AVG9\avgupd.exe=C:\Programme\AVG\AVG9\avgupd.exe:*:Disabled:avgupd.exe
C:\Programme\iTunes\iTunes.exe=C:\Programme\iTunes\iTunes.exe:*:Disabled:iTunes
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000
C:\WINDOWS\system32\sessmgr.exe=C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019
C:\WINDOWS\system32\usmt\migwiz.exe=C:\WINDOWS\system32\usmt\migwiz.exe:*:Disabled:Assistent zum Übertragen von Dateien und Einstellungen

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b015d6a-6a60-11df-8c52-8c8c850c972d}]
shell\AutoRun\command - E:\ZOOMHandyShare.exe
shell\Start HandyShare\command - E:\ZOOMHandyShare.exe

======List of files/folders created in the last 1 months======

Das habe ich wegen des immensen Umfangs aus dem Logfile zunächst mal separiert und werde es gesondert einstellen, denn damit hätte mein Logfile über 47.000 Zeichen und würde den Rahmen eines Beitrages (max. 20.000 Zeichen) bei weitem sprengen.

Logfile of random's system information tool 1.07 (Teil II)
Code: 
======List of files/folders modified in the last 1 months======

2010-05-14 14:53:13 ----A---- C:\WINDOWS\system.ini
2010-05-14 14:04:40 ----A---- C:\WINDOWS\win.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\WINDOWS\System32\Drivers\avgldx86.sys [2010-05-14 216200]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\WINDOWS\System32\Drivers\avgmfx86.sys [2010-06-03 29584]
R1 AvgTdiX;AVG Free Network Redirector; C:\WINDOWS\System32\Drivers\avgtdix.sys [2010-06-03 242896]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-12-04 486280]
R2 ISWKL;ZoneAlarm Toolbar ISWKL; \??\C:\Programme\CheckPoint\ZAForceField\ISWKL.sys []
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 arusb(TP-LINK);Atheros Wireless Network Adapter Service(TP-LINK); C:\WINDOWS\system32\DRIVERS\arusb.sys [2008-12-01 458240]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2004-11-02 773565]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-06-17 553624]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2003-03-04 145408]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg9emc;AVG Free E-mail Scanner; C:\Programme\AVG\AVG9\avgemc.exe [2010-05-14 916760]
R2 avg9wd;AVG Free WatchDog; C:\Programme\AVG\AVG9\avgwdsvc.exe [2010-05-14 308064]
R2 IswSvc;ZoneAlarm Toolbar IswSvc; C:\Programme\CheckPoint\ZAForceField\IswSvc.exe [2009-10-27 476528]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-12-04 2384240]
S3 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-04-16 144672]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2010-04-28 545576]

-----------------EOF-----------------

*Logs richtig aufgeteilt*
 
  • #16
novosibir schrieb:
Meist bekommt man da nach->ner Weile Error 504 - time out, vermutlich wegen der hohen Beliebtheit dieser Site - aber einmal bekam ich eine Auswertung.

Einen Hinweis zum richtigen, weiteren Vorgehen mit den Ergebnissen fand ich da jedoch nicht.
Was macht man mit Files, die darauf mit einem dicken Kreuz markiert sind und rechts davon schädlich zu lesen ist?
Hatte von dieser Art insgesamt 6 Stück auf der Auswertung.
Soll ich diese Einträge in der Registry suchen und dort einfach löschen?
Zum Vergrößern anklicken....

und wo sind nun die schädlichen, dicken Kreuze?
Du mußt nur das erste LogFile hier auswerten lassen
http://www.hijackthis.de

Ich hab's extra mal getrennt zur besseren Übersicht.

Das gelbe Fragezeichen
Code: 
C:\Programme\trend micro\[color=red]hlg[/color].exe
gehört zu Trend Micro Hijackthis LOGFILE

Das gelbe Kreuz
Code: 
O20 - Winlogon Notify: avgrsstarter - [color=red]avg[/color]rsstx.dll (file missing)
gehört zu deinem AVG Virenscanner Version 9

pan_fee ;)
 
  • #17
Aaah, danke! :)

Wenn ich nur den ersten Teil des Logfiles durch die Auswertung schicke, bekomme ich nur noch ein rotes Kreuz bei:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = C:\Programme\Outlook Express\msimn.exe
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Zum Vergrößern anklicken....

Und noch ein gelbes Kreuz bei:

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
Zum Vergrößern anklicken....

Wenn ich jedoch das gesamte Auswertungsergebnis von hier http://www.hijackthis.de/#anl kopiere und einfüge, sieht es irgendwie zerpflückt aus. Mache ich da was falsch? ???

Code: 
Analysedetails 
	Logfile of Trend Micro HijackThis v2.0.4
	
Art
	Ihre Version sollte aktuell sein.
 
	Platform: Windows XP SP3 (WinNT 5.01.2600)
	
Art
	
Analysedetails 
	MSIE: Internet Explorer v8.00 (8.00.6001.18702)
	
Art
	Ihre Version sollte aktuell sein.
Analysedetails 
	Boot mode: Normal
	
Art
	
Analysedetails 
	C:\WINDOWS\System32\smss.exe
	
Art
	
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
Analysedetails 
	C:\WINDOWS\system32\winlogon.exe
	
Art
	
Systemprozess - Windows Login Routine
Analysedetails 
	C:\WINDOWS\system32\services.exe
	
Art
	
Systemprozess - Verwaltet die Systemdienste.
Analysedetails 
	C:\WINDOWS\system32\lsass.exe
	
Art
	
Systemprozess
Analysedetails 
	C:\WINDOWS\system32\svchost.exe
	
Art
	
Systemprozess - Allgemeiner Hostprozessname für Dienste.
Analysedetails 
	C:\WINDOWS\System32\svchost.exe
	
Art
	
Systemprozess - Allgemeiner Hostprozessname für Dienste.
Analysedetails 
	C:\Programme\AVG\AVG9\avgchsvx.exe
	
Art
	Sicher (4.11 / 5.00)
Analysedetails 
	C:\Programme\AVG\AVG9\avgrsx.exe
	
Art
	Sicher (4.71 / 5.00)
Analysedetails 
	C:\WINDOWS\system32\ZoneLabs\vsmon.exe
	
Art
	
ZoneAlarm Firewall
Analysedetails 
	C:\Programme\AVG\AVG9\avgcsrvx.exe
	
Art
	Sicher (4.38 / 5.00)
Analysedetails 
	C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
	
Art
	Sicher (4.56 / 5.00)
Analysedetails 
	C:\WINDOWS\Explorer.EXE
	
Art
	
Systemprozess für Desktop und Taskleiste.
Analysedetails 
	C:\WINDOWS\system32\spoolsv.exe
	
Art
	
Systemprozess
Analysedetails 
	C:\Programme\CheckPoint\ZAForceField\ForceField.exe
	
Art
	Sicher (4.56 / 5.00)
Analysedetails 
	C:\Programme\AVG\AVG9\avgwdsvc.exe
	
Art
	Sicher (4.45 / 5.00)
Analysedetails 
	C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
	
Art
	
Machine Debug Manager. Used by developers.
Analysedetails 
	C:\PROGRA~1\AVG\AVG9\avgtray.exe
	
Art
	Sicher (4.71 / 5.00)
Analysedetails 
	C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
	
Art
	
Zone Alarm
Analysedetails 
	C:\WINDOWS\system32\ctfmon.exe
	
Art
	
Analysedetails 
	C:\WINDOWS\system32\svchost.exe
	
Art
	
Systemprozess - Allgemeiner Hostprozessname für Dienste.
Analysedetails 
	C:\Programme\Messenger\msmsgs.exe
	
Art
	
MSN Messenger
Analysedetails 
	C:\Programme\AVG\AVG9\avgemc.exe
	
Art
	
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\grisoft\.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Antivirensoftware
Analysedetails 
	C:\Programme\AVG\AVG9\avgnsx.exe
	
Art
	Sicher (4.08 / 5.00)
Analysedetails 
	C:\Programme\AVG\AVG9\avgcsrvx.exe
	
Art
	Sicher (4.38 / 5.00)
Analysedetails 
	C:\Programme\Outlook Express\msimn.exe
	
Art
	
Outlook Express
Analysedetails 
	C:\Programme\Mozilla Firefox\firefox.exe
	
Art
	
Internet Browser
Analysedetails 
	C:\Dokumente und Einstellungen\hlg\Desktop\RSIT.exe
	
Art
	Sicher (4.2 / 5.00)
Analysedetails 
	C:\Programme\trend micro\hlg.exe
	
Art
	Neutral (3.32 / 5.00)
Analysedetails 
	R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
	
Art
	Diese Seite wurde als gut identifiziert!
Analysedetails 
	R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = C:\Programme\Outlook Express\msimn.exe
	
Art
	Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Analysedetails 
	O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
	
Art
	Sicher (4.03 / 5.00)
Analysedetails 
	O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
	
Art
	LinkScannerIE.dll - LinkScanner, [url]http://linkscanner.explabs.com/linkscann[/url] er/default.asp
Analysedetails 
	O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
	
Art
	TrustCheckerIEPlugin.dll - ZoneAlarm ForceField, [url]http://download.zonealarm.com/bin/free/b[/url] eta/forcefield/index.html
Analysedetails 
	O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
	
Art
	TrustCheckerIEPlugin.dll - ZoneAlarm ForceField, [url]http://download.zonealarm.com/bin/free/b[/url] eta/forcefield/index.html
Analysedetails 
	O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
	
Art
	Sicher (4.68 / 5.00)
Analysedetails 
	O4 - HKLM\..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
	
Art
	Firewall program from Zonelabs. Pro version inlcudes other online security options
Analysedetails 
	O4 - HKLM\..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe /icon=hidden
	
Art
	Sicher (4.3 / 5.00)
Analysedetails 
	O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
	
Art
	Office related
Analysedetails 
	O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
	
Art
	Windows Messenger utility. If you don\'t use Windows Messenger, this can be annoying. Available via Start -> Programs. Go to Windows Messenger > Tools > Options > Preferences and uncheck Run this program when Windows starts
Analysedetails 
	O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
	
Art
	Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt.
Analysedetails 
	O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
	
Art
	Der Eintrag Recherchieren wurde als Gut erkannt.
Analysedetails 
	O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
	
Art
	Der Eintrag wurde als Gut erkannt.
Analysedetails 
	O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
	
Art
	Der Eintrag @xpsp3res.dll, wurde als Gut erkannt.
Analysedetails 
	O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
	
Art
	Der Eintrag Messenger wurde als Gut erkannt.
Analysedetails 
	O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
	
Art
	Der Eintrag Windows Messenger wurde als Gut erkannt.
Analysedetails 
	O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
	
Art
	Sicher (4.4 / 5.00)
Analysedetails 
	O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
	
Art
	Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
Analysedetails 
	O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
	
Art
	Sicher (3.88 / 5.00)
Analysedetails 
	O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
	
Art
	Sicher (3.88 / 5.00)
Analysedetails 
	O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
	
Art
	Dieser Dienst (AppleMobileDeviceService.exe) wurde als gut identifiziert.
Analysedetails 
	O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe
	
Art
	Dieser Dienst (avgemc.exe) wurde als gut identifiziert.
Analysedetails 
	O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
	
Art
	Sicher (4.45 / 5.00)
Analysedetails 
	O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
	
Art
	Sicher (4.56 / 5.00)
Analysedetails 
	O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
	
Art
	Dieser Dienst (vsmon.exe) wurde als gut identifiziert.
 
  • #18
novosibir schrieb:
Wenn ich nur den ersten Teil des Logfiles durch die Auswertung schicke, bekomme ich nur noch ein rotes Kreuz bei
Zum Vergrößern anklicken....

du sollst nur das erste Logfile (Logfile of Trend Micro HijackThis v2.0.4)
bei http://www.hijackthis.de auswerten lassen und bei deinem geposteten Logfile in Antwort #14 erscheint der Eintrag überhaupt nicht.
Also das --> hier, das rot umrandete ...

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = C:\Programme\Outlook Express\msimn.exe
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Zum Vergrößern anklicken....

das glaub ich nicht, da das dein Email-Client Outlook Express ist und bestimmt nicht von HijackThis-LOG stammt.

Und noch ein gelbes Kreuz bei:
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
Zum Vergrößern anklicken....
Zum Vergrößern anklicken....

schrieb ich oben bereits.

Wenn ich jedoch das gesamte Auswertungsergebnis von hier http://www.hijackthis.de/#anl kopiere und einfüge, sieht es irgendwie zerpflückt aus. Mache ich da was falsch? ???
Zum Vergrößern anklicken....

das geht nicht

pan_fee
 
  • #19
irgendwas passt bei der Sache hier aber nicht richtig zusammen.

Wenn der Rechner erst seit dem 25.5. bei TE ist, dann würde ich gerne wissen, wer den Rechner aufgesetzt hat, wer die Fritzbox konfiguriert hat, wer Interesse hätte den Rechner auszuspionieren, etc etc.

So langsam sollte der TE etwas mehr berichten. Das Logfile von Hijackthis bringt nichts zutage, bedeutet aber rein gar nichts.
 
  • #20
genau, in den Logs ist nichts auffälliges zu sehen.
Damit kommen wir also nicht weiter.

pan_fee
 
Thema:

Werde ich ausspioniert?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben