Logfile

Nonsens82 · 03.03.2007, 18:43

Hallo
Da mein Vater keine Ahnung von Computern hat, muße ich sein System checken. Leider zu spät wie sich herrausgestellt hat. Das System war mit über 20 Trojanern befallen, unter anderem "Security Troubleshooting".
Ich hab alle gelöscht. Leider tritt immer noch folgende Probleme auf und mein stark begrenztes Wissen reicht dafür nicht aus.

Probleme:
1. Wenn ich etwas "ergoogel" und über den Link weitergeleitet werden will, leitet er mich in 3 von 5 Fällen auf "angebliche" PC-Sicherheitsseiten.
2. Ich habe dem InternetExplorer "about blank" als Startseite zugewiesen, ich gelange beim starten des IE aber immer auf die MSN Homepage.
3. Das Sicherheitsupdate für WinXP (FlashPlayer) schlägt immer fehl.

Was ich unternommen habe:
1. Im abgesicherten Modus Antivir, Spybot, Adaware, Stinger (MC Affee) und CWShredder laufen gelassen.
2. Im abgesicherten Modus SmitfraudFix.exe ausgeführt

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA
[/edit]

nochdigger · 03.03.2007, 19:12

Hallo

Zitat:

Ich hab alle gelöscht. Leider tritt immer noch folgende Probleme auf und mein stark begrenztes Wissen reicht dafür nicht aus.

leider schreibst du nicht was und wie es glöscht wurde.

Zitat:

1. Wenn ich etwas "ergoogel" und über den Link weitergeleitet werden will, leitet er mich in 3 von 5 Fällen auf "angebliche" PC-Sicherheitsseiten.

das wird daran liegen, dass eure anfragen über einen ukrainischen Server laufen (umgeleitet) zu sehen hier

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0980099B-41C1-40BD-9B7D-C2E335D4CD01}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{5502D801-6FDF-47C7-AE79-4FE36F335A7A}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.22 85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{0980099B-41C1-40BD-9B7D-C2E335D4CD01}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22 85.255.112.101

diese "Netzwerkadresse" gehört zu

Zitat:

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

und zur krönung habt ihr einen Backdoortrojaner und ein Rootkit aktiv im System gehabt

Zitat:

O20 - Winlogon Notify: mmxF32 - mmxF32.dll (file missing)-->Troj/Haxdoor-BO - Trojaner - Sophos Bedrohungsanalyse

Zitat:

Könnt ihr mir weiterhelfen?

vermutlich nicht so wie du es dir wünscht.
Folge dieser Anleitung zum neu aufsetzen des Systems mit anschließender Absicherung --> Anleitung zur Neuinstallation

MFG

trott · 03.03.2007, 19:18

Hallo!
Also deine Antivirus Programme wurden manipuliert, deshalb finden sie auch nichts. Du hast so einen Backdoorserver auf deinem System, also kontrolle über deinen PC ist von aussen über IRC Kanal möglich und wahrscheinlich bist auch Mitglied eines Bot Netzes.
Ich hab da ein Tool gefunden, welche das Problem beseitigen sollte(hab es selber nicht ausprobiert), heisst Haxfix, und du musst es dort runterladen: Haxfix Haxdoor Removal - HijackThis.de Support Board

Probier das mal und wenns klappt, jag gleich nachher Spybot und Co der Reihe nach drüber!
Viel Glück!

nochdigger · 03.03.2007, 19:29

Hallo

im allgemeinen werden hier am Board keine Backdoors bereinigt

aus dem Grund wie du ihn eben genannt hast, dass Dateien/Programme auf dem betroffenen Rechner manipuliert worden sein können, zumal auchnoch ein Rootkit auf dem System unterwegs war ist das Mittel der Stunde die Neuinstallation.

MFG

trott · 03.03.2007, 19:43

Wie gesagt, Neuinstallation ist das sicherste und wenn deine allgemeinen PC Kenntnisse nicht wirklich fortgeschritten sind auch das vernünftigste.
Gerade bei solchen Sachen kann man sich dann als normaler PC Anwender nie 100% sicher sein und auch selbst überprüfen ob wieder alles im Lot ist!
mfg

Nonsens82 · 05.03.2007, 19:27

Ich danke euch allen für euer Bemühen.
Ich werde mich jetzt wohl an die Arbeit machen.

Soll ich den 2. PC im Netzwerk auch Neuinstallieren? Einzigeste Anzeichen für Probleme ist, das der 2. PC ab und zu nicht ins Netz kommt.

Auf jedenfall ein dickes Lob an euch

p.s. sry für den Fehler beim Logfile (Editieren)

nochdigger · 05.03.2007, 19:47

Hallo

Zitat:

Soll ich den 2. PC im Netzwerk auch Neuinstallieren?

eventuell sollte man mal einen Blick draufwerfen, du kannst ja mal ein editiertes

Hijackthis Log reinposten.

MFG

Logfile

Log-Analyse und Auswertung: Logfile

Logfile

Logfile

Logfile

Logfile

Logfile

Logfile

Logfile

Ähnliche Themen: Logfile

03.03.2007, 19:29	#4
nochdigger	Logfile Hallo im allgemeinen werden hier am Board keine Backdoors bereinigt aus dem Grund wie du ihn eben genannt hast, dass Dateien/Programme auf dem betroffenen Rechner manipuliert worden sein können, zumal auchnoch ein Rootkit auf dem System unterwegs war ist das Mittel der Stunde die Neuinstallation. MFG

03.03.2007, 19:43	#5
trott	Logfile Wie gesagt, Neuinstallation ist das sicherste und wenn deine allgemeinen PC Kenntnisse nicht wirklich fortgeschritten sind auch das vernünftigste. Gerade bei solchen Sachen kann man sich dann als normaler PC Anwender nie 100% sicher sein und auch selbst überprüfen ob wieder alles im Lot ist! mfg

05.03.2007, 19:27	#6
Nonsens82	Logfile Ich danke euch allen für euer Bemühen. Ich werde mich jetzt wohl an die Arbeit machen. Soll ich den 2. PC im Netzwerk auch Neuinstallieren? Einzigeste Anzeichen für Probleme ist, das der 2. PC ab und zu nicht ins Netz kommt. Auf jedenfall ein dickes Lob an euch p.s. sry für den Fehler beim Logfile (Editieren)