hijack eines ungepatchten Systems

Dieses Thema im Forum "Sicherheit" wurde erstellt von Darklord, 9. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Darklord

    Darklord Halbes Megabyte

    Registriert seit:
    4. Juni 2000
    Beiträge:
    684
    Das Notebook einer Kollegin, ohne irgendwelche Patches... Von ihr schon "bereinigt"... Ohne Firewall, nur mit Antivir...

    Der MSBlast/Lovesan lässt grüßen...

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\khooker.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    C:\WINDOWS\System32\msblast.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\OEM\Quick Button XP\QuickPB.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    D:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    O4 - HKLM\..\Run: [windows auto update] msblast.exe
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Denk dran!.lnk = C:\Programme\DATA BECKER\Denk dran!\BdR.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: QuickPB.lnk = C:\Programme\OEM\Quick Button XP\QuickPB.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
    O16 - DPF: {635CDE37-D58A-4BA1-B04B-4FC26B3A96C5} (ISyncInfo Class) - http://host.interactual.com/whv/hpotter/OfflineSync.dll
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37291.093287037
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    Blaster und Sasser soll auch drauf gewesen sein und jetzt entfernt sein... Ich werde das System trotzdem neu aufsetzen... Sygate mal drauf, wenn Brain 1.0 schon versagt, alle Patches...

    Nur weil das Notebook alle paar Tage mal kurz an ist und per Modem, hat sie noch nie XP geupdatet...

    :eek::aua::heul:

    Bringt mir immerhin zwei bis drei Kisten Bier ein... :D
     
  2. tommylee8de

    tommylee8de Kbyte

    Registriert seit:
    3. Juli 2003
    Beiträge:
    197
    Nur Sasser und Blaster? Das hört sich doch noch gut an. Eine entfernte Bekannte hatte 17 Viren auf ihrem PC und natürlich keine Firewall, Antivirus und keine Patches. Solchen Leuten gehört der PC weggenommen. :(
     
  3. Darklord

    Darklord Halbes Megabyte

    Registriert seit:
    4. Juni 2000
    Beiträge:
    684
    Naja.... An die konnten Sie sich noch erinnern...
    Die Virendefinitionen waren auch schon ein Jahr alt...
    :aua:
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Da kann ich nur Amen sagen. :D
    Man sollte wirklich mal nen verbindlichen PC-Führerschein einführn, vielleicht in Form eines USB-Sticks den man nach bestandener Prüfung erhält. Und alle PCs booten dann nur noch wenn der Stick eingesteckt ist. ;)
     
  5. Gast

    Gast Guest

    Das wäre eine akzeptable Lösung, ich glaub du hast soeben ne Marktlücke entdeckt :D
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Darklord
    Dieser Autostart Eintrag ist aber immer noch aktiv, trotz Blaster Entfernung ;)
     
  7. Darklord

    Darklord Halbes Megabyte

    Registriert seit:
    4. Juni 2000
    Beiträge:
    684
    Der Hijackscan war ja auch das erste, was ich drüberlaufen lies... Wollte ja erstmal wissen, was da so alles drauf ist... War erstaunt, dass da nur der Blaster angezeigt wurde.
    Die uralte Antivir-Version, die da drauf war, die kannte den Blaster gar nicht... Erst die neueste Version, die ich von der PC-Games Hardware DVD installierte, der fand ihn...

    Trotzdem habe ich gestern das System platt gemacht und werde den PC so sicher wie möglich machen... Ob es lange hält?

    Pfui Darklord, böser Darklord... :D
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen