Hallo Leute,
meine Firewall schlägt seit ein paar Monaten Alarm, wg. Intrusions wie: BACKDOOR Trojan active Vampire, theprayer1, filenail, transcout, deltasource usw. usf. Oft mit einem Verweiss auf Whitehats.corn...
Am Anfang war ich mir nicht sicher, bzw hatte keine Zeit und kein Wissen...
Jetzt habe ich mich entschlossen mienen Rechner zu säubern, zur Not sogar Neuzuinstallieren.
Naja hier mal mein Hijack Log, beim Scan lief kein Programm im Vordergrund...


Logfile of HijackThis v1.99.0
Scan saved at 15:22:13, on 22.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InitPulsar] C:/Scope/app/bin/sfp.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PDEngine - Unknown - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler - Unknown - C:\Programme\Raxco\PerfectDisk\PDSched.exe


Ich hoffe Ihr könnt mir weiter helfen, auch mit Links wenn dieses Thema schon zu oft behandelt worden ist... Danke

Ich hoffe der Thread ist hier richtig gelandet

Gute Links zum Thema PC-Sicherheit:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/



Zu deinem Prob:
Log schaut soweit ganz sauber aus. Scanne jedoch mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html
Wird was gefunden? Wenn ja, wo? Pfadangabe!

erstmal Danke für die prompte Antwort!

so ich habe die Geschichte mit escan durchgeführt, danke guter tip!

escan hat auch was gefunden!
und zwar mehrere zip dateien oder installer die ich blind aus dem Netz/Lan gesaugt hatte. --> gelöscht
und eine die mir mehr Sorgen bereitet hat und zwar unter:
c:\dokumenteund...\Admin..\Anwendungsdaten\Sun\Java
wie die datei hies weiss ich leider net mehr, ich glaube irgend was mit jaws
die Datei die escan gefunden hatte habe ich gelöscht + gleichnamige Zip datei
alles im Abgesichertnen!

Danach alles wieder mit escan und es sieht so aus als hätte ich alle (die escan findet) erwischt...

Sicherhalbsweiser schicke ich mein Hijack Log und bitte um überprüfung, diesmal läuft die DFÜ, Firefox und Kerio...

Danke im voraus und an alle ein FROHES FEST dont shot santa


Logfile of HijackThis v1.99.0
Scan saved at 00:19:34, on 24.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E884E066-BE31-42B1-B029-F1DCC531AB8E}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe


Ach ja auch danke für die Links die Geschichte bei www.Dingens ist gar nicht schlecht...

Dein Log ist sauber.

Zitat:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Das ist schlecht. Auch wenn du, dank Firefox, den IE nicht mehr oder nur noch für das Win Update verwendest, sollte er trotzdem aktualisert werden. Darum IE 6 SP1 installieren, sowie weitere sicherheitsrelevante Patches.

Ebenfalls solltest du ein eingeschränktes Benutzerkonto erstellen und ausschliesslich mit diesem surfen.