|
Log-Analyse und Auswertung: 00spazbox.net --> logfileprüfungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.09.2004, 07:57 | #1 |
| 00spazbox.net --> logfileprüfung gleich nach dem starten versucht(meistens) mein rechner eine verbindung zu 00spazbox.net zu erstellen. mit antivir und adaware ist nichts zu finden. die automatische logfileauswertung hat mir auch nicht geholfen könnt ihr mir weiterhelfen. Logfile of HijackThis v1.98.2 Scan saved at 08:52:30, on 15.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\khooker.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\NEOLEC Mouse\NEOLEC Mouse\1.1\MOUSE32A.EXE D:\player\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\winmon32.exe C:\WINDOWS\System32\ctfmon.exe E:\MOZZILA\MOZILLA.EXE C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe D:\Common\Bin\WinCinemaMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe D:\WinAce.exe C:\Dokumente und Einstellungen\Abba\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.angesagter.de/ O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 6\SnagItBHO.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll (file missing) O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\deamom\daemon.exe" -lang 1033 -noicon O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC Mouse\NEOLEC Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [WinampAgent] D:\player\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fwwjymw.exe O4 - HKLM\..\Run: [Window Monitor] winmon32.exe O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\MOZZILA\MOZILLA.EXE" -turbo O4 - HKCU\..\Run: [Window Monitor] winmon32.exe O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe O4 - Startup: tempweg.bat O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/24d29e460517ab9...dxIE601_de.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...47/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{19758CB3-E4D4-42C9-80DA-26C4141B7305}: NameServer = 217.237.149.225 217.237.151.97 O17 - HKLM\System\CCS\Services\Tcpip\..\{6C71B8CF-CEB8-45FF-B0F0-71B6658144C9}: NameServer = 192.168.0.1,145.253.2.11 |
15.09.2004, 09:15 | #2 |
| 00spazbox.net --> logfileprüfung Platform: Windows XP (WinNT 5.01.2600)
__________________MSIE: Internet Explorer v6.00 (6.00.2600.0000) Dein System ist nicht gepatched und daher anfällig für viele längst geschlossene Sicherheitslücken. Daran kann es u.a. liegen, dass bei dir aktive Backdoorprogramme am Werkeln sind, dein Rechner gehört nicht mehr dir und ist nicht mehr vertrauenswürdig. http://www.sophos.de/virusinfo/analyses/w32sdbotoi.html Das Beste wäre: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Willst du trotzdem eine reparatur versuchen (was ich definitiv nicht empfehle), E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\WINDOWS\System32\winmon32.exe (vorher Prozess beenden im Taskmanager) O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fwwjymw.exe O4 - HKLM\..\Run: [Window Monitor] winmon32.exe O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe O4 - HKCU\..\Run: [Window Monitor] winmon32.exe O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/24d29e460517ab...RdxIE601_de.cab Boote in den abgesicherten Modus, lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Besser: 1-11 abarbeiten. Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html http://www.mathematik.uni-marburg.de...c-removal.html http://faq.underflow.de/ |
Themen zu 00spazbox.net --> logfileprüfung |
adapter, antivir, avg, bho, check, dateien, einstellungen, excel, explorer, file missing, hijack, hijackthis, internet, internet explorer, launch, microsoft, monitor, programme, software, starten, system, system32, tcpip, temp, update, usb, windows, windows xp |