|
Log-Analyse und Auswertung: Virtumonde und andere schweinereienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.07.2006, 21:43 | #1 |
| Virtumonde und andere schweinereien Hallo zusammen, also bei mir handelt es sich um einen Firmenrechner und das Problem ist ich kann den nicht Platt machen sonst gibt es ärger mit dem Chef. Offen und ehrlich gebe ich zu einige nicht Jugendfreie Sites besucht zu haben und dabei hab ich mir wohl was eingefangen. Wie ich schon gelesen habe setzt ihr hier Eure HijackThis liste rein und dann wird einem geholfen. Also ich bin nicht so der Computerfreak und hoffe das ihr mir helfen könnt. Logfile of HijackThis v1.99.1 Scan saved at 22:40:08, on 26.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5346.0005) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\gearsec.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ishost.exe C:\WINDOWS\system32\ismon.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Guido\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126788110671 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146235474359 O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://cyberschmiddi.axiscam.net:8192/activex/AMC.cab O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.pattayalivecam.com/AxisCamControl.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{3DE7D68E-DA25-4ABB-826E-77FADF35CC9B}: NameServer = 192.168.0.254 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Wäre nett wenn mir jemand helfen könnte. Gruß HuaHin |
26.07.2006, 21:49 | #2 | ||
Administrator > Competence Manager | Virtumonde und andere schweinereienZitat:
für Firmenrechner wirst du in diesem Forum keinen Support bekommen! Von niemandem. Was man dir aber mit großer Sicherheit sagen kann, ist das du höchstwahrscheinlich doch Ärger mit Chef bekommst.... Zitat:
Gruß Daniel
__________________ |
26.07.2006, 21:52 | #3 |
| Virtumonde und andere schweinereien Danke sehr hilfreich. Warum hilft man denn niemandem der Probleme mit einem Firmenrechner hat?
__________________ |
26.07.2006, 21:55 | #4 | ||
Administrator > Competence Manager | Virtumonde und andere schweinereienZitat:
Zitat:
Stell dir vor jemand hier aus dem Forum gibt dir einen Rat: z.B. *Lösche deine Festplatte *mach dies, mach das...usw. *dann stellst du plötzlich fest, Moment, wo sind denn die ganzen Kundendaten/geschäftliche Daten hin? *somit "könntest" du/man Beispielsweise rechtliche Schritte einleiten, da man dir ja nicht gesagt hat, das du deine Daten Beispielsweise sichern müsstest bevor du alles löschst! Verstehst du?
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
26.07.2006, 22:02 | #5 |
| Virtumonde und andere schweinereien Das verstehe ich schon. Also ich erklär das mal ganz genau, mein Arbeitsplatzrechner ist infiziert, von diesem aus greife ich über eine Remotedesktopverbindung auf unseren Server zu wo alle Programme für die Firma gespeichert sind. Mein Arbeitsplatzrechner dient mir mehr oder weniger für Private zwecke, dort sind keine Firmensachen vorhanden. Mein Problem ist natürlich wie bekomme ich die Remotedesktopverbindung wieder hin und wie mache ich das mit den Durckern die an meinem Rechner angeschlossen sind??? |
26.07.2006, 22:06 | #6 |
Moderator, a.D. | Virtumonde und andere schweinereien Wenn das ein Firmenrechner ist, was macht dann Beta-Software wie der IE7 da? Da das ein Firmenrechner ist, sollte es ja kein Problem sein, den zuständigen Admin zu kontaktieren, oder professionelle Hilfe in Anspruch zu nehmen. Gruß Yopie |
26.07.2006, 22:08 | #7 |
| Virtumonde und andere schweinereien Admin gibt es nicht, hier gibt es nur meinen Chef und mich, und der hat noch weniger ahnung als ich. IE7 hab ich mir runtergeladen. |
27.07.2006, 07:51 | #8 | |
| Virtumonde und andere schweinereienZitat:
Zumindest sollte man nicht mit Beta-Browser-Versionen im Internet surfen. Du fährst ja auch nicht mit einem halbfertigen Auto durch die Gegend, wo beispielsweise noch die Türen fehlen. Wer hat denn Eure Rechner damals aufgesetzt? Ihr müsstet doch zumindest einen externen Admin haben, oder? |
Themen zu Virtumonde und andere schweinereien |
192.168.0.2, adobe, adobe reader, boot, button, dateien, explorer, handel, helfen, helper, hijack, hijackthis, internet, internet explorer, messenger, microsoft, norman, object, problem, programme, software, system, system32, temp, virtumonde, windows, windows xp, yahoo |