Auswertung HiJackThis File

Moin moin zusammen,

ich bin wahrscheinlich der neueste hier im Board
daher auch meine ganzen Fragen.

Also heute hatte ich son komisches File geöffnet da mir mein Norton nix gemeldet hatte. Und siehe da, es war wohl doch komisches.

Jedenfalls öffnete sich kurz Norton mit der Meldung die Datei "taskmge.exe" sei ein Virus und er hat sie gelöscht. Schön dachte ich, aber ist dies nicht eigentlich eine Windoof Datei.
Gut kurz danach öffnete sich also ein Tool was sich zum I-net connecten wollte, was ich mit der Firewall geblockt habe.
Darauf die Meldung von dem Tool "Keine I-Net Verbindung gefunden"
Ok, dachte gut, wenigstens der Block funzt.
Vorsichtshalber noch meine Netzwerkverbindung "deaktiviert".

Soweit die ersten Abwehrreaktionen von mir.

Da sich das Tool immer wieder einwählen wollte und die Fehlermeldung immer wieder auftauchte, dachte ich gut, killst du über den Taskmanager die Anwendung von dem komischen Tool.

Ja denkste, es gab ja kein Taskmanager mehr. Zumindest kann ich diesen bis jetzt nicht mehr aufrufen, weder über "STRG+ALT+ENTF" noch über "Ausführen".

hmm...also konnte ich das Tool nicht zum schweigen bringen.
Dann also noch langem zögern mit RESET ein Neustart ausgeführt.
Ok, PC startet noch..puhh..kleiner Erfolg wenigstens.

Naja, nun also erstmal alle Datein die mir das Unheil beschert haben gelöscht, Papierkorb entleert, Cookies, TEMP und alles drum und dran vernichtet was darauf hingewiesen hat.
Mein Norton zeigt auch nix mehr an (ok ich weiss hat nix zu bedeuten) aber soweit schon mal wieder ok.

NUR mein TASKMANAGER bleibt verschwunden. Die Datei scheint nicht mehr auf dem Sys zu sein. Und irgendwie bekomme ich den nicht mehr zum laufen. H-I-L-F-E

Ja nun also ein wenig gegooglet und hier bei Euch gelandet.
Darauf hin also mit HiJackThis mal eine .log erstellt um Euch hier nun zu Fragen, was scheint da noch nicht in Ordnung und wie bekomme ich mein Taskmanager wieder???

Über jede Antwort die mir hilft bin ich schon im vorraus sehr dankbar.

Grüße OPP

HIER MEINE HiJackThis LOG

Logfile of HijackThis v1.99.1
Scan saved at 11:54:30, on 19.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PerSono\perstray.exe
C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\RegFreeze\regfreeze.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.deadly-enemy.net/news.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb
_site.cab?1125754763093
O17 - HKLM\System\CCS\Services\Tcpip\..\{78F0AAB6-6336-4F8E-9DB6-216F3F15A644}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hat das "Tool" auch einen Namen?

Auf jedenfall solltest du deinen Rechner mit Spybot sacnnen und anschließend einen scan mit e-scan durchführen und das Ergebnis hier posten.

Was den Taskmanger anbetrifft da ist die Reperaturfunktion von XP ganz hilfreich.


PS: ich habe dein Posting mal in einen separaten Thread verschoben da du ja auch ein separates Problem hast.

Hallo,

was passsiert denn, wenn du den Taskmanager starten willst?
Kommt eine Meldung wie "Der Taskmanager wurde vom Administrator deaktiviert!"?
Kannst du die Registry aufrufen (Start-> Ausführen-> regedit -> [Enter])?

BTW: Welcher "Virus" wurde von Norton gefunden?

Hallo,

Zitat:

O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe

und bitte lasse diese Datei hier scannen und poste das Ergebnis.

Moin moin,

also das mit dem Taskmanager habe ich wieder hinbekommen. thx dafür

Dann habe ich mit eScan einmal checken lassen, im Anhang die Auswertung davon. Hier wurden anscheind 4 Viren/Adware gefunden. Nun bin ich mir aber unsicher ob ich die Einträge einfach löschen sollte?
Weiterhin hat er anscheind unendlich viele Fehleinträger in der Registry gefunden, wie sollte man damit vorgehen?

Welcher Virus/Adware etc. von Norton am Anfang gefunden wurde, konnte ich leider nirgends mehr rausbekommen. Anscheind war das durch mein Restart verschwunden.

Die Seite wo ich die "taskmge.exe" scannen sollte, funzt jetzt schon seit 30 min. nicht. Ich probiere es weiter.

Wäre schön wenn ich von Euch erfahren würde wie ich mit dem eScan weiter machen soll.

Grüße OPP

EDIT 1:
So nach dem eScan konnte ich eben keine Datei Names "taskmge.exe" mehr auf meinem Rechner finden. Somit hat sich der Scan erledigt.

Hier noch der Scan von Spybot:
ISearchTech.PowerScan: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-299502267-1682526488-725345543-1003\Software\IST

Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Windows AdTools: Daten (Datei, nothing done)
C:\WINDOWS\system32\ide21201.vxd

Comet Cursors: Interface (IFileInfo) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{A076F720-5CB9-4C3E-9D19-32F6
FEA1003C}

huhu ...

...keiner mehr eine Idee/Tipp für mich was ich mit den ganzen Einträgen in der Registry machen soll, die mir eScan in der Log aufweist?

Kann ich die nicht einfach alle löschen wenn da sowas wie "refers to invalid object" hinter steht?

Grüße OPP

Putze deine registry mal hiermit aus.

Ja danke dedie,

das hatte ich schon vorher getan, aber irgendwie immer nur den Cleaner benutzt und nicht mal den Problem Scan laufen lassen. Aber als Du meintest ich sollte damit mal meine registry aufräumen, hab ich es dann gefunden

thx damit, ich hoffe so schnell passiert mir das alles nicht mehr