WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Help: HijackThis Logfile (http://www.wcm.at/forum/showthread.php?t=161548)

pw 18.03.2005 07:45
Help: HijackThis Logfile
 
Hallo Leute!

Ist da etwas dabei, was mich beunruhigen sollte? (Abgesehen von einem leicht veralteten System. :D )

---
Logfile of HijackThis v1.97.7
Scan saved at 06:54:18, on 18.03.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 SP2 (5.00.3314.2100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPJETDSC.EXE
C:\PROGRAMME\SLEEP\SLEEP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - C:\WINDOWS\SYSTEM\nlsman.dll
O2 - BHO: (no name) - {6FFD465F-E043-4AC9-8753-60550DF27C49} - C:\WINDOWS\SYSTEM\OHMRYPM.DLL (file missing)
O2 - BHO: (no name) - {475A9508-2AE3-B58F-5219-E282A98DD7BA} - C:\WINDOWS\SYSTEM\INLOWDER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AudioHQ] ;C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DiskMonitor] C:\Programme\USB Card Reader Driver\Disk_Monitor.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE
O4 - HKCU\..\Run: [Thcn] C:\WINDOWS\Anwendungsdaten\hldt#.exe
O4 - HKCU\..\Run: [Wowp] C:\WINDOWS\SYSTEM\fqapxbf#.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Sleep.lnk = C:\Programme\Sleep\SLEEP.EXE
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf_x: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...wflash5r42.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.116.121.206/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = xx.xxxxxx.ac.at
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = xx.xxxxxx.ac.at,xxxxxx.ac.at,xxx.xxxxxx.ac.at,xxxx .xxxxxx.ac.at
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = xxx.xxx.x.xx,xxx.xxx.x.xx
---

holzi 18.03.2005 07:50
da eingeben und nachschauen

http://www.hijackthis.de

pw 18.03.2005 08:05
Zitat:
Original geschrieben von holzi
da eingeben und nachschauen

http://www.hijackthis.de
Danke für den Tipp!
Hat nix böses gefunden.
Aber was ist mit den beiden:
O4 - HKCU\..\Run: [Thcn] C:\WINDOWS\Anwendungsdaten\hldt#.exe
O4 - HKCU\..\Run: [Wowp] C:\WINDOWS\SYSTEM\fqapxbf#.exe
???

PS: Dein Profilfoto zeugt von zu viel Kaffee und zu viel Internet! :lol:

bully 19.03.2005 18:11
Zitat:
O2 - BHO: (no name) - {6FFD465F-E043-4AC9-8753-60550DF27C49} - C:\WINDOWS\SYSTEM\OHMRYPM.DLL (file missing
und die beiden von dir reklamierten Einträge
Zitat:
O4 - HKCU\..\Run: [Thcn] C:\WINDOWS\Anwendungsdaten\hldt#.exe
O4 - HKCU\..\Run: [Wowp] C:\WINDOWS\SYSTEM\fqapxbf#.exe
sind meiner Meinung nach höchst verdächtig. Sieht nach Wurm aus, der zufällige EXE-Dateien generiert. Würde sie löschen, mit einer externen CD (Knoppix, Bart PE) booten und einen gründlichen Scan machen.

lg
bully

fredl 19.03.2005 22:26
seltsam. wenn ich dein logfile auf hj-tis auswerten lasse, kommt diese meldung:

Zitat:
Sie benutzen anscheinend keinen Antivirenscanner oder ihr Scanner ist nicht aktiv. Nur ein Antivirenscanner kann Sie ausreichend vor neuen Viren schützen. Informieren Sie sich hier über gute Antivirenscanner.
stimmt diese meldung??

Don Manuel 21.03.2005 09:16
Jedenfalls ist dieses System ziemlich beladen. Da läuft sicher einiges im Hintergrund, das kaum benötigt wird, aber letztlich doch Resourcen kostet.


Alle Zeitangaben in WEZ +2. Es ist jetzt 14:54 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag