ComputerBase Menü
Aktuelles

HijackThis - file missing

Ahorn

Ahorn

Lieutenant
Registriert
Mai 2004
Beiträge
751
Hallo,

ich habe mir vor ein paar Tage eine Malware eingefangen (HTML/Infected.WebPage.Gen).
AntiVir hat auch sofort reagiert und hat es geblockt.

Danach habe ich HijackThis laufen lassen um nachzusehen, ob sich irgendwo was eingenistet hat.

Ich habe nichts verdächtiges gefunden, aber ich bin jetzt nicht so der große Viren-Spezi und es wäre nett, wenn ihr euch das nochmal anschauen würdet.
Was auffällt ist, dass am Ende der Logfile immer "file missing" steht.
Ist das Besorgnis erregend?




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:19, on 30.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files (x86)\ICQ6\ICQ.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVMWlanClient] "C:\Program Files (x86)\avmwlanstick\wlangui.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: Creative ALchemy AL1 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL1Licensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8512 bytes



Danke schon mal,

Ahorn
 
Hallo,

"file missing" bedeutet eigentlich, dass der Eintrag (Pfad) noch in der Registry steht, aber die Datei physikalisch nicht mehr auf dem PC existiert. Du kannst diese Einträge entweder per Hand aus der Registry entfernen oder
eine Software einsetzen, die solche unnötigen Einträge löscht.
 
Zuletzt bearbeitet:
habe die Registry schon nach Fehlern untersucht und die fehler behoben/gelöscht mit CCleaner.
Dann dürften die Einträge doch gar nicht mehr bei HijackThis auftauchen, oder?

Ahorn

edit:
gerade Wise Registry Cleaner drüber laufen lassen, aber Einträge sind immer noch da.
 
Zuletzt bearbeitet:
Hallo,

dann bleibt wohl nur die Handarbeit übrig.

Suche mal zur Probe einen Eintrag in der Registry und lösche ihn.
Wenn eine Meldung kommt, dass Du diesen Eintrag nicht löschen kannst, dann fehlt Dir die Berechtigung dazu.

Eventuell solltest Du auch vorher laufende (unbekannte?) Prozesse beenden.
 
Zuletzt bearbeitet:
wenn ich zb. den eintrag hier nehme:
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

Die dfsrres.dll und die DFSR.exe finde ich noch im System32 Ordner. Deshalb dürfte doch eigentlich "file missing" dort nicht stehen, oder?


Ahorn
 
Hallo,

deswegen hatte ich "eigentlich" geschrieben und den Hinweis auf die Prozesse gegeben.
Vielleicht ist es ein Prozess/Dienst, der nicht "sauber" gestartet ist. Oder gar ein Fehler vom Programm?
 
Zuletzt bearbeitet:
und wie finde ich das heraus, was es für ein Prozess ist?
 
Hallo,

ich würde mir mal die fremden Dienste der Reihe nach anschauen und den Taskmanger für die Prozesse aufrufen.

Dienste: Start ---> Ausführen ---> services.msc eingeben.
Taskmanger: Strg+Umschalt+Esc

Natürlich gibt es auch andere Möglichkeiten, die Dienste und den Taskmanager aufzurufen.
 
Zuletzt bearbeitet:
Danke erstmal.
Werde ich mir nachher mal angucken.
Sieht mein Log sonst gut aus oder ist das irgendwas auffälliges?


Ahorn
 
alles klar, danke.

Aber die "missing files" sind jetzt nicht so tragisch, oder?
Dann lass ich das einfach so, stören ja nicht.^^

Ahorn
 
Hallo,

ich frage mich wirklich, ob die Meldung "file missing" ein Fehler von HijackThis ist.
Denn wenn die Dateien vorhanden sind, warum sollte dann diese Meldung kommen?
 
Ja, ist ein Fehler von HJT. Und ist auch bekannt.
Nächstes mal die Dateien auf Virustotal.com uploaden.

mfg,
Markus
 
Das ist ein Hijathis-Bug, deswegen sollte man sich auf das "file missing" nicht verlassen.

Bei mir steht sogar "file missing" hinter CfosSpeed. Ich nutze, aber das Programm und es läuft gut.
 
Zuletzt bearbeitet: (Edit:SF)
Hallo,

naja, wäre es so bekannt, dann hätte er nicht gefragt.
Mir war es z.B. auch nicht bekannt.
 
Damit ist gemeint, dass es intern bekannt ist, das kannst du fast gar nicht wissen.
Trotzdem sollte man nicht immer sofort davon ausgehen.

Genauso bei der automatischen Auswertung, die ist keinen Pfifferling wert.
HJT-Logs müssen immer von qualifizierten Fachleuten ausgewertet werden. Diese wissen um alle Problematiken bescheid. Leider weiß das auch niemand, so werden hier teils schwerwiegende Fehler begangen. Wenn du eine richtige Auswertung willst, poste das Log im Protectus Forum oder im Trojaner-Board.

Die automatische Auswertung ist nur ein minimaler Anhaltspunkt.

mfg,
Markus
 
Hallo,

da stimme ich Dir zu. Ich habe mal einen Test gemacht und eine Auswertung vorgenommen.

Beispiel:

 C:\WINDOWS\Logitech\MouseWare\system\em_exec.exe
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\logitech\mouseware\system\!

Natürlich wird dies bemäkelt. Da kann manch einer schon verunsichert sein, obwohl dieser ja den Installationspfad selber angepasst hat.

Man sollte also immer wissen, was man macht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.429
BloodReaver87
BloodReaver87
S
kaputten laptop gekauft ?
Antworten
18
Aufrufe
2.594
engine
E
D
Ich glaube, dass ich ein Wurm im PC habe
Antworten
17
Aufrufe
5.354
Duustyy
D
C
ständig keine Rückmeldung bei Windows 10
Antworten
3
Aufrufe
4.824
HisN
HisN
K
Windows 10 läuft extrem langsam, trotz niedriger Auslastung
Antworten
7
Aufrufe
6.180
PCTüftler
PCTüftler
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz