Hijacklogfile vom Freund

Dieses Thema im Forum "Sicherheit" wurde erstellt von C.C.A., 21. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. C.C.A.

    C.C.A. Byte

    Registriert seit:
    16. Januar 2004
    Beiträge:
    112
    Hallo, hier das Logfile von einem PC eines Freundes (nicht meins!)
    Er ist der absolute nur-user, der bis vor wenigen Monaten absolut 0 (in Worten Null) Ahnung gehabt hat, sich dann einen vorinstallierten PC gekauft hat und sich durch try and error alles mehr oder weniger selbst beigebracht, von der Mausbenutzung bis zu MS-WORD (respektabel). Ich befürchte nur, dass er noch nicht so das rechte Sicherheitsverständnis hat und beim surfen sich vielleicht was eingefangen hat.
    "Grundaufklärung" meinerseits läuft stockend an, da ich von XP nicht allzuviel weiss und ich auch schlecht "vor Ort" agieren kann.
    Vor einer Woche hat er auf Anraten von mir erstmalig den XP internen Firewall aktiviert.
    Leider reichen meine Kenntnisse nicht aus zu einer Beurteilung des Logfiles.
    Habt ihr maln Blick drauf?
    THX
    H.


    Logfile of HijackThis v1.97.7
    Scan saved at 16:42:16, on 21.01.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
    C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Sophos SWEEP for NT\ICMON.EXE
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
    C:\Programme\Super\super.exe
    C:\WINDOWS\slrundll.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G903CJ0R\HijackThis[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1417E8-645B-427F-A11A-F04AF6D75D09}: NameServer = 62.104.191.241 62.104.196.134
     
  2. Gast

    Gast Guest

  3. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Also wenn das Programm Super mit der super.exe nicht mit Absicht installiert ist, dann ist das ein kleines Programm, dass es einem Back-Door Trojaner erlaubt, einen entfernten Remote mit Admin Rechten auszuführen. Ist ein Tool der hackerszene in den frühen 90ern, was er ja aber bestimmt nicht ist.
     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo C. C. A.

    Bis auf dieses Super.exe kann ich nichts verdächtiges entdecken.

    Ich würde empfehlen, daß dein Freund mal Ad-Aware und Spybot installiert und nach der Installation die Programme über die Updatefunktion aktualisiert. Anschließend soll er beide Programme nacheinander durchlaufen lassen und alles Gefundene entfernen.

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen