Logfile of HijackThis v1.97.7
Scan saved at 10:17:04, on 14.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVWinNT\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\AVWinNT\AVGUARD.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AVWinNT\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Downloads\NEU\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWinNT\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] C:\Programme\AVWinNT\AVWUPD32.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)

nur mal zur Sicherheit.....

mmm...

Du hast keine Updates installiert, wenn ich es richtig sehe ... ansonsten sieht dein System momentan sauber aus. Die interne Firewall ist installiert oder gehst du über einen Router?

nö ich geh ohne Router ins Inet...

Da ich mich mit HijackThis überhaupt nicht auskenne und das Log auch nicht bewerten kann, poste ich es auch einfach mal. ;) Hoffe das ich "sauber" bin ;)

Logfile of HijackThis v1.97.7
Scan saved at 11:38:41, on 14.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Downloads\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musikclub-om.de/chat/index.php4
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RefreshLock] E:\Downloads\Treiber\RefreshLock\RefreshLock.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ruhezeit Aktivität vorziehen.bat
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1091961201593
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38205.9853356481
O17 - HKLM\System\CCS\Services\Tcpip\..\{98BC413C-9F63-4F2B-A9BE-09EE0CEC5B7C}: NameServer = 217.237.151.161 194.25.2.129

mmm...

Sieht sauber aus ...

mmm...

Sieht sauber aus ...

Dumme Frage aber woran erkenne ich ob ich mir was eingefangen habe oder nicht? ;) Damit ich in Zukunft das Log selbst auswerten kann?

www.hijackthis.de - wird stetig verbessert.

Dumme Frage aber woran erkenne ich ob ich mir was eingefangen habe oder nicht? ;) Damit ich in Zukunft das Log selbst auswerten kann?
Du kannst das Log auf dieser Seite auswerten lassen.
http://www.hijackthis.de/
Dort gibt es auch die aktuelle Version (1.98.2) zum runterladen.

Du kannst das Log auf dieser Seite auswerten lassen.
http://www.hijackthis.de/
Dort gibt es auch die aktuelle Version (1.98.2) zum runterladen.


aber genau gucken was du da anhakst und wemachst ..
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
Eventuell Böse Diese Seite könnte böse sein! Wenn Sie die Seite 'http://www.heise.de/ ' nicht kennen, sollte der Eintrag entfernt werden.
sthet da bei mir zum bleistift ;)

Das sollte ja selbstverständlich sein.
Ganz auf die Auswertung würde ich mich nicht verlassen.
Die können ja nicht jede Software kennen die man installiert.

Dumme Frage aber woran erkenne ich ob ich mir was eingefangen habe oder nicht? ;) Damit ich in Zukunft das Log selbst auswerten kann?mmm...

Ich geh die einzelnen Zeilen immer durch (per Copy und Paste im Notepad/ Editor), mit der Zeit kennt man die Dienste, die sein dürfen. Wichtig dabei ist, das man wirklich jeden Buchstaben anguckt und auch den Ordner beachtet. Die Dienste, die ich nicht kenne, such ich per Google raus. Meistens wird dort schon erklärt, wozu es gehört, wirft Google kaum Ergebnisse raus, ist es meistens ein Virus. Wenn das Logfile zu lang ist, werf ich es auch gerne mal kurz bei hijackthis.de rein und schau nach, was ich so wegwerfen kann. Einige Sachen haben einfach komische Namen, wo man kaum Informationen findet und da entscheide ich teilweise anhand der Ordnerstruktur, ob es ein Problem ist oder nicht (Lexmark benutzt komische Namen für ihre Treiber und Software, aber da alles aus dem Ordner von Lexmark gestartet wird, kann man es ignorieren) ... alles, was dann noch übrig bleibt, poste ich mit Kommentaren. Nervig wird es, wenn nur halbe Logfiles gepostet werden, zu hoch ist die Chance, das irgendwas gefährliches entfernt wurde, nur weil es sich selber Windows-Update oder so genannt hat ...

Einträge, die gelöscht werden können, aber unwichtig sind, sind bei Seraph2k zum Beispiel diese:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Je nachdem, was seine Startseite ist (entweder msn.de oder "leere Seite"), kann er den anderen Eintrag löschen, aber es ist egal, ob es drinne ist oder nicht.
Bei Soucy ist es identisch:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musikclub-om.de/chat/index.php4
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = <-- doppelt
Ist seine Startseite musikclub-om.de, kann er die beiden anderen Einträge ohne Probleme löschen, diese haben keinen Wert, wobei ich nicht weiss, was mit "Local Page" selber gemeint ist, aber das schränkt die Funktionalität vom IE nicht ein ...

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

..wobei ich nicht weiss, was mit "Local Page" selber gemeint ist, aber das schränkt die Funktionalität vom IE nicht ein ...
Kann es mit dem Active Desktop (Web Ansicht) zusammehängen?