HijackThis - Logfile

Dieses Thema im Forum "Sicherheit" wurde erstellt von Sonoma, 13. Dezember 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Sonoma

    Sonoma Byte

    Registriert seit:
    25. November 2004
    Beiträge:
    77
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    da ist Adware auf deinem Computer gehe mal in den abgesicherten modus (F8 beim booten) und löschen die Datei C:\WINDOWS\system32\hlwin.dll (Dateien richtig suchen)
    dann fixt(Haken davor und auf "fix checked") du folgende Einträge:
    O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\system32\hlwin.dll
    O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\system32\hlwin.dll

    danach erstellst du ein neues Logfile und postest wieder den Link zur Auswertung.


    Grüße Jasager
     
  3. Sonoma

    Sonoma Byte

    Registriert seit:
    25. November 2004
    Beiträge:
    77
    Hallo Jasager,

    habe den PC im abgesicherten Modus gestartet und nach "hlwin.dll" gesucht. Konnte die Datei nicht finden. Suchoptionen so eingestellt, wie unter "Dateien richtig suchen" beschrieben.

    Gruß
    Sonoma
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    die müßte aber eigentlich da sein, siehst du die anderen im system32 Ordner enthaltenen Dateien?
    Lass mal Ewido im abgesicherten Modus laufen und poste das Log, bereinigt von den ganzen Cookiesmeldungen.


    Grüße Jasager
     
  5. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.655
    @Sonoma

    Arbeitest du in einem Benutzerkonto mit eingeschränkten Rechten?

    Dann ist der Schreibzugriff auf das Systemverzeichnis gesperrt und die "hlwin.dll" konnte dort nicht eingeschleust werden, beim Versuch den PC zu infizieren.
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,

    müßte dann aber nicht ein "file missing" hinter dem O2 und O18 Eintrag stehen?


    Grüße Jasager
     
  7. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.655
    @Jasager
    Hast wahrscheinlich Recht.

    Wenn die Datei da ist, sie aber mit normalen Mitteln nicht sichtbar zu machen ist, könnte ein Rootkit das verhindern.

    Was das bedeutet, brauche ich dir wohl nicht zu sagen.
     
  8. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Die Konsequenzen sollten klar sein - aber an die Datei kommt man vielleicht per Netzwerk. Bis zum Login-Screen das System hochfahren und dann über einen anderen Rechner und die Administratorfreigaben die Datei suchen.

    Gruss, Matthias
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich glaube noch nicht so richtig an ein Rootkit, eher an einen Bedienfehler des TE. Ein normales Rootkit hätte dann nämlich auch die beiden HijackThis Einträge getarnt, aber mal abwarten.
    Ein Test mit F-Secure Blacklight kann aber nicht schaden, auch wenn damit natürlich nichts ausgeschloßen werden kann.


    Grüße Jasager
     
  10. Sonoma

    Sonoma Byte

    Registriert seit:
    25. November 2004
    Beiträge:
    77
    Hallo,

    sende Dir hier das Log von "evido".

    ---------------------------------------------------------
    ewido security suite - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 14:36:31, 14.12.2005
    + Report-Checksumme: EE878534

    + Scanergebnis:

    HKU\S-1-5-21-1685927933-681764103-101265881-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\flirttoday.de -> Spyware.LZIO : Ignoriert


    ::Report Ende

    Gruß
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hmm, da ist nichts zu sehen von der hlwin.dll, lasse mal F-Secure Blacklight scannen und poste das Log (Textdatei die im selben Ordner nach dem Scan erscheint).


    Grüße Jasager
     
  12. Sonoma

    Sonoma Byte

    Registriert seit:
    25. November 2004
    Beiträge:
    77
    Hallo,

    und hier das nächste Log ...


    12/14/05 19:10:39 [Info]: BlackLight Engine 1.0.30 initialized
    12/14/05 19:10:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    12/14/05 19:10:39 [Note]: 7019 4
    12/14/05 19:10:39 [Note]: 7005 0
    12/14/05 19:10:54 [Note]: 7006 0
    12/14/05 19:10:54 [Note]: 7011 1004
    12/14/05 19:10:55 [Note]: FSRAW library version 1.7.1014
    12/14/05 19:12:30 [Note]: 7007 0


    Gruß
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    auch nichts zu erkennen, mach mal einen Onlinescan bei Panda und poste das Ergebnis.


    Grüße Jasager
     
  14. MisterL9

    MisterL9 Byte

    Registriert seit:
    23. September 2005
    Beiträge:
    8
    lade dir das tool spy sweeper runter und lass das mal rüberlaufen dauert zwar bissel länger aber dafür iss es sehr gründlich und vorab kannst ja auch online scan machen um zu sehen was alles auf dein system hast hier iss der link dahin http://www.webroot.com/de/
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Spysweeper ist zwar nicht schlecht, aber so toll das du es in jedem Thread anpreisen mußt ist es auch nicht.


    Grüße Jasager
     
  16. Sonoma

    Sonoma Byte

    Registriert seit:
    25. November 2004
    Beiträge:
    77

    Hallo,

    Hier das "Panda" Log: Ereignis Zustand Standort

    Hacktool:Hacktool/VTestTool Nicht desinfiziert C:\Programme\AxBx\PC Security Test 2005\files\virus1.txt


    Gruß
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen