Hallo,

ich hab eine Frage zu Hijackthis.
Was passiert wenn ich Explorer Toolbars fixe die ich nicht benötige.
Kann sich das event. auch negativ auf das gesamte Program auswirken?

Und wenn ich einen Eintrag fixe, wird dann der Eintrag nur ausgeblendet oder wird er dann komplett gelöscht?

Also Beispiel ich fixe einen schädlichen Eintrag, wird das Programm dazu dann entfernt oder nur der Eintrag ausgeblendet?

Bin mir da recht unsicher.

Danke und Gruß
Walker

Hallo,

noch ein Nachtrag

ich hab blöderweise einen Eintrag zu schnell gefixt, aber ich weiß nicht ob ich noch etwas machen muß?

PC zeigt auch keine auffälligkeiten und Spybot sowie Antivir Scan zeigen keine Probleme an.

Ich häng mal mein Logfile und einen Screenshoot von dem Eintag an den ich bereits gefixt habe.

Gruß Walker

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:45, on 29.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Dexpot\dexpot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501 .1418\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [Dexpot 1.4] C:\Programme\Dexpot\dexpot.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 7350 bytes

Guten Abend,

Hijackthis löscht Dir in dem normalen Suchlauf und darauffolgendem Reperaturlauf keine Dateien von der Platte außer Links aus den Autostartordnern.
Es entfernt ansonsten nur Einträge aus den Startverzeichnissen der Registrierung.

Die Dateien zu den Toolbars bleiben vorhanden können danach aber mangels Starteintrag (im IE) nicht mehr geladen werden.

Zitat:

Kann sich das event. auch negativ auf das gesamte Program auswirken?

Nur wenn Du die Toolbars brauchst

Zitat:

ich hab blöderweise einen Eintrag zu schnell gefixt, aber ich weiß nicht ob ich noch etwas machen muß?

Welchen?
Hijackthis legt eigentlich immer Backups an. Im Programm in den Einstellungen (Knopf rechts unten) zu finden. Da kannst Du alles wieder herstellen.
Wenn das was schädliches war, dann schau im Backup vom Hijackthis nach und geh in das dort angezeigte Verzeichnis. Dann kannst es per Hand löschen.

Von dem Logfile aus sieht Dein Rechner recht sauber aus. Auch wenn ich die ganzen verrückten Startprogramme (googleupdater, javaquick, alle toolbars, nero, adobe usw) einfach fixen würde (vorher im Taskmanager beenden!). Ich habe die noch nie gebraucht und meine Programme laufen alle einwandfrei... Aber dazu haben andere andere Meinungen, weshalb ich es Dir nicht rate solange Dein Rechner performant läuft.

Grüße derweil
Grunzer

Nachtrag:
Der Screenshot zeigt einen Starteintrag auf eine Datei, die nicht mehr zu finden ist. Deshalb auch das (no file)
Vermutlich hat die Datei Dein Antivirus schon gelöscht ...oder so...

Hallo,

erstmal Danke für deine schnelle Antwort.

Also den Eintrag den ich gefixt habe, ist der aus dem Screenshoot.
Also die nicht mehr vorhandene Datei.

Ich denk mal weil er mir vorher Antivir einen Trojaner angezeigt hat, den ich gelöscht habe, ich glaube aber auch eher an einen Fehlalarm da der "Trojaner" über ein Programm kam das Ebay Shortcut's hat und Antivir wohl irgendwie darauf anspringt?

Ansonsten Hab ich meinen Rechner mal auf einen Systemprüfpunkt vor der Installation von ICQ gesetzt und verzichte jetzt lieber drauf, denn irgendwie ist damit alles losgegangen, hatte sonst noch nie irgendwelche Probleme, die die ich selbstverschuldet habe mal ausgenommen

Gruß Walker

P.S. Der Trojaner hieß "TR/Click.Yabector.A.2 " und kam bei der installation von Banner Remover

Hi,

Hier steht was zu dem Ding (vermutlich Fehlarlarm):
TR/Click.Yabector.A.2 gefunden, was ist das? - Viren und andere Sicherheitsrisiken - Avira Support Forum
Da geht es zwar irgendwie um ein etwas anderes Tool, aber vermutlich mit der selben Funktion im Hintergrund.

Zur Sicherheit kannst Du die angemeckerte Datei mal bei VirusTotal hochladen und gegen viele aktuelle Scanner testen lassen.

Grüße Grunzer

Hallo Grunzer

ich hab es gerade im Netz gelesen das es auch beim Banner Remover ein Fehlalarm ist, hat Avira bestätigt.

So und wenn du auch der Meinung bist das mein Logfille sauber aussieht dann bin ich ja beruhigt, halte meinen Rechner nämlich gern sauber

Eine Frage allerdings noch, wenn ich die Toolbars fixe die du angesprochen hast, dann laufen aber die eigentlichen Programme ohne Einschränkung weiter, oder?

OK bis auf die Toolbars

Danke und Gruß Walker

Zitat:

Eine Frage allerdings noch, wenn ich die Toolbars fixe die du angesprochen hast, dann laufen aber die eigentlichen Programme ohne Einschränkung weiter, oder?

Mir ist bisher kein Fall bekannte wo es nicht so war

Bei den meisten Installationen kann man -wenn man aufpaßt- die Installation der Toolbars auch von vornherein mit einem nicht gesetzten Haken verhindern.

Freut mich auch mal positive Nachrichten geben zu können :binunsch:
Grüße Grunzer

Hallo,

Danke nochmals für deine Informationen.
Dann werd ich mich mal dranmachen die nicht benötigten Toolbars zu fixen.
Die meisten sind aber auch schon mit ICQ und den zugehörigen Tools verschwunden

Gruß Walker