|
Log-Analyse und Auswertung: Habe ich mein System kompromittiert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.12.2008, 23:11 | #16 | ||||
Gast | Habe ich mein System kompromittiert?Zitat:
Zitat:
Zitat:
Weil der immer so langsam lief, und wenn man was schreiben wollte, dauerte es ewig, er hat dann auch so laut gearbeitet.. Meinst du, das ginge jetzt wieder anständig? Dann lad ichs mir gleich nochmal runter. Mein Antivirus versucht auch grad sich zu updaten. Bin gespannt, ob das jetzt klappt! Zitat:
|
08.12.2008, 23:22 | #17 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert?Zitat:
Netzwerkwürmer versuchen sich immer weiter zu verbreiten. Die kippen Deine Internetleitung mit Kopien von sich zu, um weitere verwundbare Systeme zu infizieren, oder die Leitung von Dir wird dichtgekippt mit Spam, sodass Dein System für einen kleinen Teil der Abermillionen Junkmails in Postfächern weltweit ist. Eigentlich kann da die ganze Palette drin sein, alles ist möglich, Du solltest auch davon ausgehen, dass alle Eure Passwörter nun bekannt sind, denn die Dinger können Passwörter mitloggen bei der Eingabe. Naja, das mit Firefox kann ich nicht so ganz nachvollziehen, welche Version war das und was für Hardware hast Du? Interessant sind besonders CPU und RAM. Da Du noch Windows 2000 hast, würde ich vermuten, dass der PC schon älter ist.
__________________ |
09.12.2008, 00:00 | #18 | ||||
Gast | Habe ich mein System kompromittiert?Zitat:
Zitat:
Macht sich der Besitzer dieses Pcs eigentlich strafbar, wenn so was auf dem Pc abläuft? Zitat:
Zitat:
Ja, die CPU und RAM Werte würde ich auch gerne wissen. Nur leider weiss ich noch nicht, wo ich das auf dem System ablesen könnte. Ich weiss zwar, dass das irgendwie geht, aber wie noch nicht... Gebrauchsanweisung und sowas, wo das drinsteht, haben wir hier natürlich auch nicht... (Schluder, schluder) Der Pc ist so sechs oder sieben Jahre alt. Ich interessiere mich auch für Windows XP, aber das muss ja auch mit der Hardware passen. Geändert von Helena1 (09.12.2008 um 00:09 Uhr) Grund: Ergänzung eingefügt |
09.12.2008, 00:35 | #19 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert?Zitat:
Aber dadurch, dass die eigene Kiste infiziert ist und deswegen der Rechner womöglich noch gleich in ein Botnetz ist, wird man selbst zum Gefahrenherd, da die aktive malware Spam versendet! Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2008, 01:17 | #20 | |
Gast | Habe ich mein System kompromittiert?Zitat:
Arbeitsspeicher : 64MB Grafikkarte : 3dfx Interactive, inc. Voodoo3 (16MB) Monitor : 17"CRT Festplatte : 8GB 5400 RPM Also, wenn ich das mit aktuellen Werbeprospekten vergleiche, dann ist der schon ziieemlich alt |
09.12.2008, 01:27 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert? Der ist uralt, das war so ziemlich genau vor 10 Jahren mal in
__________________ --> Habe ich mein System kompromittiert? |
09.12.2008, 01:36 | #22 |
Gast | Habe ich mein System kompromittiert? So, jetzt habe ich die richtige Datei verlinkt: http://www.file-upload.net/download-...sting.txt.html Ok, ein "Link" ist das trotzdem nicht geworden....(Editiert) Na, jetzt versteh ichs endlich!! Geändert von Helena1 (09.12.2008 um 01:39 Uhr) Grund: was hinzugefügt |
09.12.2008, 08:43 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert? Ich warte noch auf das Combofix - Scripten
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2008, 15:17 | #24 |
Gast | Habe ich mein System kompromittiert? Hmm, das ist komisch, ich wollte gerade das Combofix - Scripten starten, und meinen Antivir Guard deaktivieren, doch der ist nicht zu finden! Der taucht auch nicht im Statusmenü in der Übersicht auf. Im Expertenmodus kann ich ihn auch nicht finden und bei Rechtsklick auf den Schirm in der Taskleiste finde ich ihn auch nicht.... Der Schirm ist auch geöffnet. Als ich den runtergeladen habe, war der Guard noch überall zu finden. Das ist echt komisch, werde den eben noch mal neu runterladen. |
09.12.2008, 16:48 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert? Ist der noch installiert? Wenn nicht, und der auch nirgendwo im Taskmanager auftaucht, kannst Du den später nachinstallieren. Mach das dann erst mit Combofix.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2008, 18:04 | #26 | |
Gast | Habe ich mein System kompromittiert? Also, ich fasse mal kurz zusammen, was die letzten Stunden passiert ist: Als erstes kam meine Schwester bei mir an, und erzählte mir, sie hätte nen Link über ICQ bekommen, wie alle ihre Freunde dort, den sie dann natürlich auch anklicken musste! Sie wurde dann auf eine Seite namens versaute Klassenfahrt umgeleitet(Ja, ich habe sie gebeten, nie wieder Links bei iCQ anzuklicken!). Das war vor zwei Tagen. Und ich wundere mich, das der PC heute Probleme beim runterfahren hat, und das sich das Internet nicht automatisch trennt, wie sonst immer! Dann habe ich grade den Combofix ausgeführt und als er den Logfile angezeigt hat, kam die Meldung Zitat:
Also, beim ersten Mal ist diese Meldung nicht gekommen, haben wir uns jetzt schon wieder was eingefangen? (Vielleicht dank ICQ?)Neuer Hijackthis?) Naja, dann ist da noch das Problem, das der Logfile nicht zu finden ist? Der alte ist noch da, aber mit Datum von gestern(dachte, vielleicht hätte sich der neue da mitreingestellt, aber kann ja eigentlich auch nicht...). Werde mal weitersuchen. Der kann ja nicht einfach weg sein. Aber musste auch wieder neu starten, weil der komplett eingefroren ist. Wenn ich ihn gleich finde, poste ich ihn. |
09.12.2008, 18:10 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert? Saublöd das ganze. Konsequenz: Der Schwester die Adminrechte entziehen oder gleich PC-Verbot. Wenn Ihr daran nicht nachhaltig was dran verändert, dann werdet Ihr immer wieder Opfer von Malware, dann bringt auch das ganze Neuaufsetzen nix mehr, wenn Ihr Euch ständig neu infiziert. Du kannst im Grunde mit der Liste von vorne anfangen. Bitte alle Logfiles der Liste nach neu erstellen und hier mit Codetags umschlossen posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2008, 18:34 | #28 | ||
Gast | Habe ich mein System kompromittiert?Zitat:
Zitat:
Mit Codetags umschlieesen oder doch lieber als Link setzten (nach deiner Anleitung)? Ähm, die letzte listing.txt kann ich einfach nicht mehr finden. |
09.12.2008, 18:43 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Habe ich mein System kompromittiert? Sieh aber auch zu, dass die Konten nur Benutzer- und keine Adminrechte bekommen! Auch keine Hauptbenutzerrechte! Das Administratorpasswort sollte auf keinen Fall leer oder zu einfach zu erraten sein und am besten nur Du wissen oder zumindest der, der sich mit der Materie auskennt. Denn nur der kann systemweit Programme installieren oder das System manipulieren. Die alte listing.txt ist jetzt egal, Du solltest eh nun neue Logfiles erstellen. Soweit es geht, bitte um Codetags umschlossen posten (keine Zitat-Tags!!).
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2008, 19:07 | #30 | |||
Gast | Habe ich mein System kompromittiert?Zitat:
Zitat:
Zitat:
Dann mache ich das hier jetzt hoffentlich mit dem neuen Hijackthis-Logfile richtig: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:09:34, on 09.12.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\LXSUPMON.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\System32\cidaemon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\egal\Desktop\msconfig.exe /auto O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738 O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131 O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131 O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Health Center Service (HCenterSer) - Unknown owner - c:\RECYCLER\tesktog.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg -- End of file - 4589 bytes |
Themen zu Habe ich mein System kompromittiert? |
1.exe, adobe, antivir, auswertung, avg, avira, bho, bios, cracker, desktop, explorer, frage, hijack, hijackthis, internet, internet explorer, logfile, manipulation, micro, microsoft, problem, programme, registry, software, system, system32, trojaner-board, updates, windows |