Auswertung der Logfile

Dieses Thema im Forum "Sicherheit" wurde erstellt von spielkind018, 16. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    wie auch schon in dem anderen Thread vermutet kommt mir ide Datei hier komisch vor:
    C:\WINDOWS\system32\rDcpldlg.dll
    überprüfe sie mal hier


    Grüße Jasager
     
  3. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    File kann nicht hochgeladen werden!

    "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    versuche mal das ganze im abgesicherten Modus(F8 beim booten). Wenn das nicht funktioniert lass mal Escan drüberlaufen.


    Grüße Jasager
     
  5. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Nachdem ich im abgesicherten Modus genauso gescheitert bin wie vorher, habe ich eScan wie empfohlen mal drüberlaufen lassen: 4 Viren gefunden.

    Ehrlichgesagt bin ich mir jedoch nicht im Klaren, wie ich nun weiter vorgehen soll? Inwiefern kann ich die mwav.log-Datei von eScan denn jetzt weiter verwenden/auswerten/auswerten lassen?

    Dank und Grüße
     
  6. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Poste einmal die Namen der gefundenen Viren (die die Kaspersky-Engine von eScan ausgespuckt hat).. wir müssen eine Google Recherche durchführen um zu sehen wie gefährlich die Viren sind und ob der Rechner noch zu retten ist.

    Wolfgang77
     
  7. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Die Auswertung machen wir, die Viren werden per Handarbeit und mit HiJackThis entfernt.

    Wolfgang
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Erläuterungen zu O20-Einträgen in HiJackThis

    O20 - AppInit_DLLs-Autostarteinträge in der Registry

    Beispieleinträge:
    O20 - AppInit_DLLs: msconfd.dll

    Dieser Registry-Wert, zu finden unter
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,
    lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art. Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt.

    Wolfgang
     
  9. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Wenn ich mich jetzt nicht total vertue, dann dürften zumindest dies hier die Virennamen sein (zumindest sind solche auch in der Virenliste genannt):

    Unter C:\WINDOWS\system32\oneacc.dll "not-a-virus:AdWare.Look2Me.ag"

    Unter C:\WINDOWS\system32\vzdex.dll "not-a-virus:AdWare.Look2Me.ag"

    Und dann noch folgende zwei:

    Object "AltNet Spyware/Adware" found in File System!

    Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System


    Hinzu kommen noch "66 Errors"..... :confused:
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Sagt die eScan-Log nichts zu der "rDcpldlg.dll" die fällt durch ihren raffinierten Starteintrag besonders auf siehe Erläuterungen zu O-20..

    Wolfgang
     
  11. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Seit vorhin schleicht sich beim Öffnen von Websites folgende Fehlermeldung ein:

    Microsoft Visual C++ Runtime Library

    Buffer overrun detected!

    Program: C:\WINDOWS\system32\rundll32.exe
    A buffer overrun has been detected which has corrupted the program's internal state. The program cannot safely continue execution and must now be terminated.
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hat er wahrscheinlich schon versucht, Eintrag im HjT-Log:
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    Ich würde vorschlagen mal die 4 Dateien die Escan gefunden hat manuell zu löschen. Was mit der rDcpldlg.dll ist weiss ich jetzt auch nicht, aber vielleicht ist das jetzt die vzdex.dll und wird bei jedem Neustart generisch neu erzeugt, ist aber nur eine Vermutung. Also erstmal die Systemwiederherstellung deaktivieren:
    Rechtsklick auf Arbeitsplatz, Eigenschaften, bei Systemwiederherstellung deaktivieren den Haken reinmachen. Dann im abgesicherten Modus starten und die vier von Escan monierten Dateien löschen. Erstell dann noch mal ein Hijackthis Logfile und poste es wieder.
    Hattest du eigentlich schon mal früher Probleme mit Viren/Würmern?


    Grüße Jasager
     
  14. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Spybot benutze ich schon seit langem; scheint zur Zeit trotz Updates bei mir jedoch nicht sonderlich effektiv gegen Spyware zu sein ;)

    Habe in der mwav.log noch einmal nachgesehen, die rDcpldlg.dll - Datei wurde gescannt, aber es stand keine weitere Bemerkung dort...
     
  15. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Naja, auf einen Versuch käme es an, obwohl ich noch bezweifle, dass die sich so ohne weiteres löschen lassen....

    Also bisher hatte ich nie Probleme mit Viren o. ä. - Aber vielleicht wusste ich es auch nicht ;)
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    falls sie sich nicht löschen lassen gibt es dan noch ein feines Tool in der Misctool section von Hijackthis, "delete on reboot" da dürften sie sich dann spätestens mit löschen lassen. Vielleicht läßt du deinen Rechner mal noch zusätzlich mit Adaware und mit Microsoft Antispyware .


    Grüße Jasager
     
  17. spielkind018

    spielkind018 Byte

    Registriert seit:
    15. Juli 2005
    Beiträge:
    13
    Die Zahl der gefundenen Viren bei eScan hat sich ein klein wenig gesteigert:

    319 Error;57 gefundene Viren:
    darunter vor allem

    not-a-virus:Adware(...)
    Trojan-Clicker(...)
    Trojan-Downloader(...)
    Exploit.HTML.Mht
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also wenn du mich fragst ist dein System komromittiert und gehört neu aufgesetzt, gerade bei den weiteren Auswirkungen die sich gezeigt haben. Kannst du mal noch die Trojan-clicker und die Trojan-downloader Einträge posten, es wundert mich ja doch wie es geschaft wurde das in Hijackthis quasi nichts zu sehen ist.Von Norton hätte ich ja sowieso nichts anderes erwartet :D Ansonsten hier noch eine Anleitung zum Neuaufsetzen.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen