1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

hijack eines ungepatchten Systems

Discussion in 'Sicherheit' started by Darklord, Jun 9, 2004.

Thread Status:
Not open for further replies.
  1. Darklord

    Darklord Halbes Megabyte

    Das Notebook einer Kollegin, ohne irgendwelche Patches... Von ihr schon "bereinigt"... Ohne Firewall, nur mit Antivir...

    Der MSBlast/Lovesan lässt grüßen...

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\khooker.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    C:\WINDOWS\System32\msblast.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\OEM\Quick Button XP\QuickPB.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    D:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    O4 - HKLM\..\Run: [windows auto update] msblast.exe
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Denk dran!.lnk = C:\Programme\DATA BECKER\Denk dran!\BdR.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: QuickPB.lnk = C:\Programme\OEM\Quick Button XP\QuickPB.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
    O16 - DPF: {635CDE37-D58A-4BA1-B04B-4FC26B3A96C5} (ISyncInfo Class) - http://host.interactual.com/whv/hpotter/OfflineSync.dll
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37291.093287037
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    Blaster und Sasser soll auch drauf gewesen sein und jetzt entfernt sein... Ich werde das System trotzdem neu aufsetzen... Sygate mal drauf, wenn Brain 1.0 schon versagt, alle Patches...

    Nur weil das Notebook alle paar Tage mal kurz an ist und per Modem, hat sie noch nie XP geupdatet...

    :eek::aua::heul:

    Bringt mir immerhin zwei bis drei Kisten Bier ein... :D
     
    Darklord, Jun 9, 2004
    #1
  2. tommylee8de

    tommylee8de Kbyte

    Nur Sasser und Blaster? Das hört sich doch noch gut an. Eine entfernte Bekannte hatte 17 Viren auf ihrem PC und natürlich keine Firewall, Antivirus und keine Patches. Solchen Leuten gehört der PC weggenommen. :(
     
    tommylee8de, Jun 10, 2004
    #2
  3. Darklord

    Darklord Halbes Megabyte

    Naja.... An die konnten Sie sich noch erinnern...
    Die Virendefinitionen waren auch schon ein Jahr alt...
    :aua:
     
    Darklord, Jun 10, 2004
    #3
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Da kann ich nur Amen sagen. :D
    Man sollte wirklich mal nen verbindlichen PC-Führerschein einführn, vielleicht in Form eines USB-Sticks den man nach bestandener Prüfung erhält. Und alle PCs booten dann nur noch wenn der Stick eingesteckt ist. ;)
     
    TheD0CT0R, Jun 10, 2004
    #4
  5. Gast

    Gast Guest

    Das wäre eine akzeptable Lösung, ich glaub du hast soeben ne Marktlücke entdeckt :D
     
    Gast, Jun 10, 2004
    #5
  6. Cidre

    Cidre Halbes Megabyte

    @ Darklord
    Dieser Autostart Eintrag ist aber immer noch aktiv, trotz Blaster Entfernung ;)
     
    Cidre, Jun 10, 2004
    #6
  7. Darklord

    Darklord Halbes Megabyte

    Der Hijackscan war ja auch das erste, was ich drüberlaufen lies... Wollte ja erstmal wissen, was da so alles drauf ist... War erstaunt, dass da nur der Blaster angezeigt wurde.
    Die uralte Antivir-Version, die da drauf war, die kannte den Blaster gar nicht... Erst die neueste Version, die ich von der PC-Games Hardware DVD installierte, der fand ihn...

    Trotzdem habe ich gestern das System platt gemacht und werde den PC so sicher wie möglich machen... Ob es lange hält?

    Pfui Darklord, böser Darklord... :D
     
    Darklord, Jun 10, 2004
    #7
Thread Status:
Not open for further replies.

Share This Page