log datei bitte überprüffen danke vor ab

yozgatli tamer · 19.02.2005, 20:24

hi könnt ihrmal ein auge darauf werfen und ein info über den zustand geben danke ! :aplaus:

Logfile of HijackThis v1.99.1
Scan saved at 20:17:58, on 19.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\HAYRET~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [RSPC Driver] sajj.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [RSPC Driver] sajj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSPC Driver] sajj.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BAE177-97C0-4717-A615-AEA0DD340EEB}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Cidre · 19.02.2005, 20:34

Hallo,

ich hab nun ein

darauf geworfen und muss dir mitteilen, dass es bis auf diese Einträge[#], fast sauber wäre.

[#]:
O4 - HKLM\..\Run: [RSPC Driver] sajj.exe
O4 - HKLM\..\RunServices: [RSPC Driver] sajj.exe
O4 - HKCU\..\Run: [RSPC Driver] sajj.exe

Chris14 · 19.02.2005, 20:46

und vom rspc driver vermute ich das schlimmste. lass die datei sajj.exe im ordner c:\windows\system32 vermutlich, bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.
(falls die dateien nicht angezeigt werden:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

Cidre · 19.02.2005, 21:03

@ Chris14

Siehe auch http://www.sophos.com/virusinfo/analyses/w32rbotsn.html

Chris14 · 19.02.2005, 21:20

naja dann hat sich der fall eh erledigt.
@yozgatli tamer du hast einen rbot auf dem system - dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

yozgatli tamer · 23.02.2005, 19:02

also jungs ich muss nochmals erwähnen das ihr ein super team seit danke
ach übrigens sorry das es so lange gedauert hat

yozgatli tamer · 25.02.2005, 21:06

Zitat:

Zitat von Chris14

und vom rspc driver vermute ich das schlimmste. lass die datei sajj.exe im ordner c:\windows\system32 vermutlich, bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.
(falls die dateien nicht angezeigt werden:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

hi

Frage : jedesmal wen ich bei http://virusscan.jotti.org/de geht der balken ein wenig neher an die 100 % grenze was wen ich es ereiche ?????
nur eine frage am rande

übrigens ist dies auch nicht mein rechner des halb kan ich euch kein log datei zu kommen lassen . jaja ich weis ihr werdet euch fragen wiso poste ich dann über haubt
ich versuch wie ihr in meiner (kleiner)umgebung zu helfen anregungen zeigen und selber lernen (learning by doing ) ich glaube ist richtig geschrieben :-)

19.02.2005, 20:34	#2
Cidre Administrator, a.D.	log datei bitte überprüffen danke vor ab Hallo, ich hab nun ein darauf geworfen und muss dir mitteilen, dass es bis auf diese Einträge[#], fast sauber wäre. [#]: O4 - HKLM\..\Run: [RSPC Driver] sajj.exe O4 - HKLM\..\RunServices: [RSPC Driver] sajj.exe O4 - HKCU\..\Run: [RSPC Driver] sajj.exe __________________ __________________

19.02.2005, 21:03	#4
Cidre Administrator, a.D.	log datei bitte überprüffen danke vor ab @ Chris14 Siehe auch http://www.sophos.com/virusinfo/analyses/w32rbotsn.html __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

log datei bitte überprüffen danke vor ab

Log-Analyse und Auswertung: log datei bitte überprüffen danke vor ab