hallo,

habe eben HijackThis laufen lassen, was auch meine commodo firewall *.exe gesehen hat als laufender prozess.

Die logfileauswertung sagt aber:
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.

Weiss jemand was ich nun denken soll? Ist commode hijack nicht bekannt?

vg Stefan

Hallo,

nicht jede Software-Firewall ist der Datenbank zur Auswertung bei hijackthis.de auch bekannt. Also kein Grund für unnötige Panik.

Zitat:

Zitat von root24

Hallo,

nicht jede Software-Firewall ist der Datenbank zur Auswertung bei hijackthis.de auch bekannt. Also kein Grund für unnötige Panik.

Danke :-) panik bekomme ich nicht. dachte nur, dass ein bekanntes programm erin anderes bekanntes kennen könnte. Aber ok.

Was ist denn deiner meinung nach z. zt. die einfachste open source (oder kostenlose) fw?

VG S

Zitat:

Zitat von stefan2602

Was ist denn deiner meinung nach z. zt. die einfachste open source (oder kostenlose) fw?

Wenn Du sowas wie Commodo meinst, kann ich keine empfehlen. Wenn überhaupt reicht die Windows-Firewall. => Begründung

Zitat:

Zitat von root24

Wenn Du sowas wie Commodo meinst, kann ich keine empfehlen. Wenn überhaupt reicht die Windows-Firewall. => Begründung

Meine win-fw geht seit aufspielen des sp2 nicht mehr und ich habe schon alles versucht.

Nun habe ich aber einen backdoor. ircbot.st bzw mocbot drauf. 36 registryeinträge mit hotkey..........legacy_wgareg. Löschen geht nicht?

Eine wurmexe in der system 32 zu löschen ist leicht, aber hier wirds wohl umständlicher?
Ich will aber auch nicht alles neu machen, also suche ich nach auswegen...

Mein pc läuft übrigens unauffällig!

vg Stefan

Zitat:

Meine win-fw geht seit aufspielen des sp2 nicht mehr und ich habe schon alles versucht.

Nun habe ich aber einen backdoor. ircbot.st bzw mocbot drauf. 36 registryeinträge mit hotkey..........legacy_wgareg. Löschen geht nicht?

Du wunderst Dich, dass die WinFirewall abgeschaltet ist, wenn Du eine Backdoorinfektion hast?

Zitat:

Ich will aber auch nicht alles neu machen, also suche ich nach auswegen...

Kannst Du bei Backdoorbefall vergessen!

Zitat:

Mein pc läuft übrigens unauffällig!

Widerspricht sich überhaupt nicht mit Deinem vorigen Statement, dass die WinFirewall nicht funktioniert.

Zitat:

Zitat von root24

Du wunderst Dich, dass die WinFirewall abgeschaltet ist, wenn Du eine Backdoorinfektion hast?



Kannst Du bei Backdoorbefall vergessen!



Widerspricht sich überhaupt nicht mit Deinem vorigen Statement, dass die WinFirewall nicht funktioniert.

Der backdoor ist es gekommen als die win-fw schon lange nicht mehr lief unter sp2.
Fürn windows rechner ist das doch unauffällig :-) Er stürzt nicht ab und macht eigentlich immer das was ich will.

Im ernst, warum kann ich den backdoor nicht ohne neuinstall loeschen? Die backdoor-registryeinträge zeigen leider auch auf keine datei! Wie das ja sonst meist der fall ist.

Nachtrag: der backdoor zeigte natürlich doch auf eine wgareg.exe im sys32. Die konnte ich aber im laufenden betrieb umbenennen. Irgendwann hat irgendein scanner gefragt ob ich sie loeschen will und ich habe geloescht. Die exe ist also schon wochen nicht mehr da.
?
vg S

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Du hast vllt den Backdoor beseitigt, aber wer kann garantieren, dass nix wesentlich besseres versteckt wurde? Dadurch dass er aktiv war, hatte jmd Vollzugriff auf Deinen PC und wahrscheinlich immer noch.

Zitat:

Der backdoor ist es gekommen als die win-fw schon lange nicht mehr lief unter sp2.

Und das kann ich garnicht nachvollziehen.
Vllt könntest Du mal Dein HijackThis Logfile posten.

Zitat:

Zitat von root24

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Du hast vllt den Backdoor beseitigt, aber wer kann garantieren, dass nix wesentlich besseres versteckt wurde? Dadurch dass er aktiv war, hatte jmd Vollzugriff auf Deinen PC und wahrscheinlich immer noch.



Und das kann ich garnicht nachvollziehen.
Vllt könntest Du mal Dein HijackThis Logfile posten.

Hi, Du hast wohl recht mit dem neuaufsetzen. Mach ich wohl auch die tage, wenn es mich überkommt.

Und hier der Jack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:39, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3651B415-1FA6-44D6-AA6F-076A64D1B09F}: NameServer = 217.237.149.142 217.237.150.205
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: MySql (mysql) - Unknown owner - C:/xampplite/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4090 bytes


Was sagst Du?

Ich habe inzwischen die comodo neu aufgespielt und scan laufen lassen. Die meckert wegen einem trojaner in der winlogon. Das scheint mir aber eine fehlmeldung zu sein, zumal der fehler bei vielen anderen usern auftritt. Selbst bei neuaufgesetzten, die noch keine sekunde im netz waren.

vg Stefan

Zitat:

Zitat von stefan2602

Die meckert wegen einem trojaner in der winlogon. Das scheint mir aber eine fehlmeldung zu sein, zumal der fehler bei vielen anderen usern auftritt. Selbst bei neuaufgesetzten, die noch keine sekunde im netz waren.

Ohne wortgenauen Angaben kann man kaum was dazu sagen....

Zitat:

Zitat von root24

Ohne wortgenauen Angaben kann man kaum was dazu sagen....

Was meinst du genau? Du kannst zum hijack log nichts sagen? Das hijacklog wurde gemacht als der wgareg noch drauf war. also am samstag.

Erst gestern -sonntag- habe ich comodo neu drauf und es kam: Trojan.Win32.Patched.m(ID = 0x4d69a) C:\WINDOWS\system32\winlogon.exe

vg S.

Das HijackThis Logfile ist unauffällig. Heißt aber nicht, dass das System auch sauber ist.

Mit den wortgenauen Angaben meinte ich die Virenwarnung. Welches Programm meldet Dir das? Doch nicht die Commodo-Firewall? Deswegen wortgenaue Angaben, am besten ein Screenshot. Ich denke bei der winlogon.exe liegt eher ein Fehlalarm vor, um das zu überprüfen die angemeckerte Datei mal bei Virustotal überprüfen lassen.

Zitat:

Zitat von root24

Das HijackThis Logfile ist unauffällig. Heißt aber nicht, dass das System auch sauber ist.

Mit den wortgenauen Angaben meinte ich die Virenwarnung. Welches Programm meldet Dir das? Doch nicht die Commodo-Firewall? Deswegen wortgenaue Angaben, am besten ein Screenshot. Ich denke bei der winlogon.exe liegt eher ein Fehlalarm vor, um das zu überprüfen die angemeckerte Datei mal bei Virustotal überprüfen lassen.

Hi,

doch, die warnung kam aus der comodo. Aber wie ich schon weiter oben gesagt habe, ist es wohl ein fehlalarm, weil niemand auch nicht virustotal die winlogon als befallen meldet.

vg Stefan