Hallo!
Hier ist das Logfile vom Rechner, der immer wieder mal einfach runterfährt.
XP Home Edition, Mac Affee Virenscanner, Norton Firewall neu installiert, Wurm Korgo wurde mehrfach gefunden.
Wär mal nett, wenn jemand mal für mich prüfen könnte.
Danke, Martin


Logfile of HijackThis v1.97.7
Scan saved at 22:34:27, on 29.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\System32\wuauclt.exe
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ecampus.uni-kl.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...085.1372106482

Hallo bollock,

</font><blockquote>Zitat:</font><hr />...Wurm Korgo wurde mehrfach gefunden... </font>[/QUOTE]Wenn Du das weißt, würde ich an Deiner Stelle nicht mehr lange 'herum experimentieren', sondern das System komplett neu aufsetzen. Ich bin bekennenderweise kein Freund einer 'voreiligen' Neuinstallation, aber in diesem Fall würde ich genau dies tun.

Siehe u.a. hier

Du solltest anschließend als erstes die 'Ferbindungsfirewall' von XP aktivieren und das System patchen. Am Besten besorgst Du Dir am Kiosk ein Computer-Magazin mit einer Patch-CD. Im Moment haben die mal wieder verschiedene Verlage im 'Programm'. Diese CD's haben imho meist einen 'Patchstand' von Februar/März 2004. Die restlichen Patches solltest Du mit aktivierter 'Ferbindungsfirewall' von www.windowsupdate.microsoft.com herunterladen und erst dann den Rechner 'zu Ende' einrichten...

Je nach 'Wichtigkeit' des Rechners lohnt sich auch die Anschaffung eines Imaging-Tools wie z.B. Symantec Ghost oder Acronis True Image (letzteres gab es vor kurzem auch kostenlos in einer Vorgängerversion auf versch. Heft-CD's). Wenn der Rechner neu gemacht ist und alles nach Zufriedenheit eingerichtet ist, solltest Du ein Abbild (Image) erstellen. Dieses kannst Du so nach evtl. neuem Malwarebefall schnell und umkompliziert 'zurückspielen'.

Hallo Lutz!
Danke Dir für Deine Ausführungen.
Ich seh auch, dass der Rechner nicht wirklich immer auf dem aktuellen Stand gehalten wurde. Aber der Wurm Korgo wurde ja immer vom Mac Affee isoliert, hab´s nur der Vollständigkeithalber geschrieben.
Das mit der Neuinstallation werde ich wohl bald mal machen.
Ich bin aber trotzdem daran interessiert, ob in dem Logfile noch was anderes zu sehen ist, oder ob es unauffällig aussieht.
Danke, Martin

Es ist immer schwierig (eigentlich sogar unmöglich!) aufgrund eines solchen Logs die Diagnose zu wagen, dieses oder jenes System ist clean.

Dieser Eintrag
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [SYSTEM] lsas.exe </font>[/QUOTE]deutet zum Beispiel auf einen Netzwerk-Wurm hin.

Überprüfe die Datei einmal online bei Kaspersky oder benutze eScan (siehe Signatur). Sollte sich mein 'Verdacht' bestätigen, kommst Du imho nicht um eine kurzfristige Neuinstallation herum, wenn Du ein 'sauberes' System haben willst.

Edit zum Zwecke der Link-Korrektur in der Signatur...

[ 29. Juni 2004, 10:13: Beitrag editiert von: Lutz ]

Danke, das ist doch schon mal was...
Ja, ich denke Neuinstallation tut not...
Ich schick Dir das Ergebnis hier nochmal rein.
Danke und Gruß