Überprüfung mit HijackThis Fehler ?

Esurb
Boardkönig

Beiträge: 1519

hallo

Notebook Überprüfung mit HijackThis brachte einen Schädling Bild 1
Löschversuch Bild 2 scheiterte, Schädling war nach Neustart noch da. Mache ich einen Fehler beim Löschen ?

[Link zum eingefügten Bild]

In Google habe ich gefunden, das man „ RelevantKnowledge“ mit Ad-Aware loswerden kann.

Spybot - Search & Destroy und AntiVir Personal hatten übrigens nichts gefunden. Kann ich Ad-Aware zusätzlich zu diesen Programmen installieren ?

Gruß Esurb

.

hema936
Boardkönig

Beiträge: 1157

Hallo Esurb, manchmal kann man bestimmte Einträge nur im abgesicherten Modus mit Hijack This fixen. Dann aber bitte auch für diesen Vorgang die Systemwiederherstellung solange deaktivieren... dann sollte es klappen

Esurb
Boardkönig

Beiträge: 1519

Hallo
Danke für Deine Antwort, ich wollte es versuchen aber bei neuen Scan mit Hitjack kam es anders.

Nach dem Scan öffnet sich das erste Fenster

[Link zum eingefügten Bild]

mit 7 x 023

In dem dann automatisch erscheinenden 2 Fenster enthält die Logfile Liste aber 8 x die 023
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: RelevantKnowledge - TMRG, Inc. - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 – C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Die unterstrichen Datei wir bei der Auswertung aber als Schädlich eingestuft, da sie nicht im Scan-Fenster erscheint kann ich sie auch nicht löschen ?????

Gruß Esurb

.

hema936
Boardkönig

Beiträge: 1157

steht diese Datei im Scan vielleicht an anderer Stelle? Hatte ich nämlich auch schon, dass eine Datei ganz woanders dazwischen stand...

Sascha74
Boardkönig

Beiträge: 1161

Hallo Esurb,
die 023-Einträge listen alle nichtwindowseigenen Dienste auf,
ebenso lassen sich durch das 'Fixen' eines 023-Eintrages diese nur beenden und deaktiviert lediglich einen solchen Dienst und muss eigentlich manuell entfernt werden,
deshalb war er nach einem Neustart auch wieder vorhanden.

Trojaner-Info schreibt:

Zitat:
Diese Liste sollte identisch sein, mit den Autostarteinträgen des Msconfig-Tools unter Windows XP. Diverse Hijacking-Trojaner benutzen in Verbindung mit weiteren Autostartmöglichkeiten einen eigenen Dienst um sich immer wieder selbst neu zu installieren. Der komplette Name eines solchen Dienstes klingt zumeist äußerst wichtig, z. B. 'Network Security Service', 'Workstation Logon Service' oder 'Remote Procedure Call Helper', aber der interne Name (in Klammern) ist eine Sammlung unsinniger Zeichen, z. B. 'O?’ŽrtñåÈ²$Ó'. Der hintere Teil der jeweiligen Zeile zeigt den Namen der Datei an, welche zu diesem Dienst gehört.

Esurb
Boardkönig

Beiträge: 1519

Hallo
Nach dem was ich in Google gelesen habe ist es eine sich immer wieder selbst installierende Schnüffel Datei.
2 x Internet Viren Scan hat zwar Schädlinge angezeigt, aber auch wen ich die in Quarantäne gepackt
habe er blieb. Spybot sagt „Es wurden keine Spione gefunden „
Also muss ich wohl neu auf setzen !
Vorher noch eine Frage an die Kaspersky Gemeinde im Forum.
Wenn ich das Programm installieren und die Suche >> Hier<< durchführe, könnte das was bringen.

Danke Esurb

.

Esurb
Boardkönig

Beiträge: 1519

Wen ich nach PC Neustart den Uploader D 78.DE benutze, erscheint mach mal folgende Meldung.

[Link zum eingefügten Bild]

Da nach dem Klick auf nicht zulassen, die Meldung verschwindet und ich mit Uploader D 78.DE normal weiter arbeiten kann, kann es wohl damit nichts zusammen hängen. Gehört es vielleicht an der oben erwähnten Malware ?

Gruß Esurb

Version 3.1 | Load: 0.002429 | S: 1_2

Autor	Mitteilung
Esurb Boardkönig Beiträge: 1519	Gesendet: 11:26 - 26.01.2009 hallo Notebook Überprüfung mit HijackThis brachte einen Schädling Bild 1 Löschversuch Bild 2 scheiterte, Schädling war nach Neustart noch da. Mache ich einen Fehler beim Löschen ? [Link zum eingefügten Bild] In Google habe ich gefunden, das man „ RelevantKnowledge“ mit Ad-Aware loswerden kann. Spybot - Search & Destroy und AntiVir Personal hatten übrigens nichts gefunden. Kann ich Ad-Aware zusätzlich zu diesen Programmen installieren ? Gruß Esurb .
hema936 Boardkönig Beiträge: 1157	Gesendet: 13:03 - 26.01.2009 Hallo Esurb, manchmal kann man bestimmte Einträge nur im abgesicherten Modus mit Hijack This fixen. Dann aber bitte auch für diesen Vorgang die Systemwiederherstellung solange deaktivieren... dann sollte es klappen
Esurb Boardkönig Beiträge: 1519	Gesendet: 20:51 - 26.01.2009 Hallo Danke für Deine Antwort, ich wollte es versuchen aber bei neuen Scan mit Hitjack kam es anders. Nach dem Scan öffnet sich das erste Fenster [Link zum eingefügten Bild] mit 7 x 023 In dem dann automatisch erscheinenden 2 Fenster enthält die Logfile Liste aber 8 x die 023 O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: RelevantKnowledge - TMRG, Inc. - C:\Program Files\RelevantKnowledge\rlservice.exe O23 - Service: X10 Device Network Service (x10nets) - X10 – C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Die unterstrichen Datei wir bei der Auswertung aber als Schädlich eingestuft, da sie nicht im Scan-Fenster erscheint kann ich sie auch nicht löschen ????? Gruß Esurb .
hema936 Boardkönig Beiträge: 1157	Gesendet: 12:28 - 27.01.2009 steht diese Datei im Scan vielleicht an anderer Stelle? Hatte ich nämlich auch schon, dass eine Datei ganz woanders dazwischen stand...
Sascha74 Boardkönig Beiträge: 1161	Gesendet: 17:04 - 27.01.2009 Hallo Esurb, die 023-Einträge listen alle nichtwindowseigenen Dienste auf, ebenso lassen sich durch das 'Fixen' eines 023-Eintrages diese nur beenden und deaktiviert lediglich einen solchen Dienst und muss eigentlich manuell entfernt werden, deshalb war er nach einem Neustart auch wieder vorhanden. Trojaner-Info schreibt: Zitat: Diese Liste sollte identisch sein, mit den Autostarteinträgen des Msconfig-Tools unter Windows XP. Diverse Hijacking-Trojaner benutzen in Verbindung mit weiteren Autostartmöglichkeiten einen eigenen Dienst um sich immer wieder selbst neu zu installieren. Der komplette Name eines solchen Dienstes klingt zumeist äußerst wichtig, z. B. 'Network Security Service', 'Workstation Logon Service' oder 'Remote Procedure Call Helper', aber der interne Name (in Klammern) ist eine Sammlung unsinniger Zeichen, z. B. 'O?’ŽrtñåÈ²$Ó'. Der hintere Teil der jeweiligen Zeile zeigt den Namen der Datei an, welche zu diesem Dienst gehört.
Esurb Boardkönig Beiträge: 1519	Gesendet: 20:41 - 27.01.2009 Hallo Nach dem was ich in Google gelesen habe ist es eine sich immer wieder selbst installierende Schnüffel Datei. 2 x Internet Viren Scan hat zwar Schädlinge angezeigt, aber auch wen ich die in Quarantäne gepackt habe er blieb. Spybot sagt „Es wurden keine Spione gefunden „ Also muss ich wohl neu auf setzen ! Vorher noch eine Frage an die Kaspersky Gemeinde im Forum. Wenn ich das Programm installieren und die Suche >> Hier<< durchführe, könnte das was bringen. Danke Esurb .
Esurb Boardkönig Beiträge: 1519	Gesendet: 18:24 - 28.01.2009 Wen ich nach PC Neustart den Uploader D 78.DE benutze, erscheint mach mal folgende Meldung. [Link zum eingefügten Bild] Da nach dem Klick auf nicht zulassen, die Meldung verschwindet und ich mit Uploader D 78.DE normal weiter arbeiten kann, kann es wohl damit nichts zusammen hängen. Gehört es vielleicht an der oben erwähnten Malware ? Gruß Esurb