hilfe bei LOG...

Dieses Thema im Forum "Sicherheit" wurde erstellt von ossiassi, 26. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ossiassi

    ossiassi Byte

    Registriert seit:
    31. März 2004
    Beiträge:
    92
    Nachdem ich einen Trojaner hoffentlich erfolgreich entfernt habe möchte ich euch bitten die Log datei anzusehen:

    Logfile of HijackThis v1.98.0
    Scan saved at 13:18:10, on 24.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Winamp\winampa.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Messenger\MSMSGS.EXE
    C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\Labtec Wireless Desktop\MulMouse.exe
    C:\Programme\Labtec Wireless Desktop\MagicKey.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.954\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R3 - Default URLSearchHook is missing
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [Rundll] Rundll.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [MAGIXautostart] E:\install\program\setup.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Labtec Wireless Desktop aktivieren.lnk = C:\Programme\Labtec Wireless Desktop\MulMouse.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

    Habe eine automatische Auswertung der log datei machen lassen nach der ich folgende zwei einträge fixen soll:

    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [Rundll] Rundll.exe

    was meint ihr?? danke
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo ossiassi,

    wenn ich mir deine bisherigen Beiträge so ansehe, scheint es so, das du kein oder ein wackliges Sicherheitskonzept hast.

    Ein Trojaner Dropper lädt immer weitere Malware (Würmer oder Trojaner) in deinem System nach und integriert diese.

    Diese zwei Einträge kannst du zwar fixen, ändert aber nichts an der Tatsache, das dein System kompromittiert war oder immer noch ist.

    Wenn du eine sichere Lösung haben willst, dann setzte dein System neu auf!

    Daher lege ich dir folgende Seite an Herz:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html



     
  4. ossiassi

    ossiassi Byte

    Registriert seit:
    31. März 2004
    Beiträge:
    92
    hab die 2 einträge gefixt.

    mit meinem system bin ich eigentlich zufrieden, seit dem ich es neu aufgesetzt habe, nach meinen beiträgen zwecks neustarts hatte ich kein problem mehr damit, außer halt mit dem trojaner letztens, die sache ist aber die, die datei wo der trojaner drauf sein sollte hatte ich mind. 3 monate auf der festplatte, ohne je ein problem zu haben, bzw. ohne eine meldung von antivir oder trojancheck erhalten zu haben. ich update antivir fast täglich, windows auch und hab zonealarm immer an.
    klar wäre xp neu aufsetzten das beste, aber wenn es nicht unbedingt sein muß...

    bin immer dankbar für eure tipps

    danke und ciao
     
  5. Bischof

    Bischof Byte

    Registriert seit:
    17. April 2004
    Beiträge:
    119
    Na ja,
    es stellt sich immer noch die Frage, ob der Trojaner aktiv war oder nicht...

    mfg
     
  6. Bischof

    Bischof Byte

    Registriert seit:
    17. April 2004
    Beiträge:
    119
    ...und lege nach der Konfigurierung ein Image an!

    mfg
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen