|
Log-Analyse und Auswertung: Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.07.2006, 15:13 | #1 |
| Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile Hallo Leute, als ich heute einen zusätzlichen Online-Virenscanscan durch Trend-Micro-Housecall durchführte ergab sich angeblich folgende Infektion: - Hackingtools_Bruteforce - Spyware_Trak_Pwstealer Was mich jedoch etwas verwundert, denn: - mit dem Rechner gehe ich nur selten ins Netz - ich habe CA-ETrust Antivirus instlliert Auch befindet sich der Rechner hinter einem Server mit Firewall (AVM "Ken!Dsl") und Symantec-Viruskiller. Zur Sicherheit und um mir eine Neuinstallation zu ersparen (Seufz) machte ich noch einen Online-Scan via: - McAffee - Symantec Zusätzlich dazu noch einen Scan mit Free-AV. McAffee (online), Symantec (online), Free-AV (installiert) fanden jedoch keine Infektionen. Vielleicht könnte jemand von Euch ja mal einen helfenden Blick auf mein HijackThis-Log werfen und mir sagen ob sich darin eine Auffälligkeit findet. Da es sich im schlimmsten Fall um einen Key-Logger handeln könnte müsste ich nachvollziehen wann sich das Viech eingenistet hat, wenn Ihr im Log was findet zeigt mir bitte die entsprechende Zeile damit ich prüfen kann wann die Dateien sich eingenistet haben. Ich habe mir das Log zwar selber schon angeschaut aber da ich kein Experte in diesem Bereich bin könnte ich Rat gut brauchen. Hier also das Log für den "Administrator-User": ----------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:57:03, on 17.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Acer\eManager\anbmServ.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\dfue\KEN!\KENCLI.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\mqtgsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\acer\epm\epm-dm.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\dfue\KEN!\kentbcli.exe C:\Programme\syst\Sun-Java\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\gsfx\USBRadio\QuickRadio.exe C:\Programme\gsfx\iTunes\iTunesHelper.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\text\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\syst\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\User-Notebook\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.115.3:3128/ken2000.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.115.3:3128/ken2000.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.3:3128;https=192.168.115.3:3128;ftp=192.168.115.3:3128;socks=192.168.115.3:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\text\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\dfue\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\syst\Sun-Java\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [QuickRADIO] C:\Programme\gsfx\USBRadio\\QuickRadio.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\gsfx\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\text\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124107005995 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4805/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DEA981F0-B313-4769-8545-FDB9AD4F37C9}: NameServer = 192.168.115.2 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\Alert\ALERT.EXE O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\dfue\KEN!\KENCLI.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe ----------------------------------------------- Gruss aus Hamburg, Kord |
17.07.2006, 15:21 | #2 | |
| Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-LogfileZitat:
wenn es da nichts ergibt ist es auch nicht schlimm...möglicherweise stört sich der onlinescan an diesem html. eintrag. O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html stell fest ob sich das so gehört. |
17.07.2006, 15:28 | #3 | |||
| Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-LogfileZitat:
Zitat:
Zitat:
Schon mal danke für die schnelle Antwort! Gruss, Kord |
17.07.2006, 15:31 | #4 |
| Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile Das ist die Startseite von "Ken!DSL" auf dem Server. Der IE wurde so von Ken eingestellt. Das ist in Ordnung. [/quote] dann sollte es passen. |
17.07.2006, 15:50 | #5 |
| Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile [/quote]dann sollte es passen. [/QUOTE] Dir fällt also nichts ungewöhnliches auf? Das erleichtert schon mal. Danke für die Hilfe. Gruss, Kord |
Themen zu Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile |
adobe, adobe reader, alert, antivirus, antivirus scan, askbar, bho, bruteforce, computer, cyberlink, desktop, dsl, einstellungen, explorer, firewall, ftp, hacking, handel, hijack, internet, internet explorer, key-logger, launch, monitor, mssql, notification, prüfen, regsvr32, rundll, scan, server, sicherheit, software, spyware, system, trend micro, windows, windows xp |