|
Log-Analyse und Auswertung: Hijack-Logfile Ich kann nix finden, aber eindeutige AnzeichenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.09.2004, 17:10 | #1 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen Moin, moin, ich hoffe, jemand kann mir bei meinem härtesten Problem dieser Art helfen. Habe gestern über RealVNC bei einem Bekannten, der über merkwürdige Störungen klagte, auf dem Rechner nachgeschaut. Es gibt eindeutige Anzeichen für Viren oder Trojaner. Ad-Aware und F-Secure (beide aktuell) finden nichts. Zwischendurch tauchen aber Virenmeldungen auf, das F-Secure etwas (TFTP1992 in /system32 gelöscht hat wg. Befall von Backdoor.Rbot.gen oder Win32 Lovsan.a. Patchdownload um der Sicherheits-Patches von MS funktionierte auch nicht. Outlook Express und IE funktionieren mittlerweile kaum noch. Hier das Log-File, würde mich über jede Hilfe freuen: Logfile of HijackThis v1.98.2 Scan saved at 11:40:04 AM, on 9/16/2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\WINNT\System32\svchost.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE C:\WINNT\system32\hidserv.exe C:\WINNT\System32\nvsvc32.exe C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\WINNT\system32\slserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\Tablet.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\RealVNC\VNC4\WinVNC4.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\WINNT\Explorer.EXE C:\WINNT\Dit.exe C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe C:\WINNT\system32\USBMonit.exe C:\WINNT\system32\internat.exe C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe C:\WINNT\system32\rundll32.exe C:\Program Files\Nikon\NkView5\NkvMon.exe C:\WINNT\system32\Wtablet\TabUserW.exe C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FAPIEXE.EXE C:\WINNT\slrundll.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\taskmgr.exe C:\Documents and Settings\Paolo Leoni\Desktop\HiJack This.exe\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.email.lu/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [CallControl 4.5] C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\Wtablet\TabUserW.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{35453DE4-9A43-4FA9-8641-49A1B60B22CC}: NameServer = 195.71.37.148 193.189.244.205 Also ich kann nix finden. Vielleicht sieht ja einer von euch was. Vielen Dank im Voraus. Thorsten aus Hamburg |
16.09.2004, 17:23 | #2 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen__________________
__________________ |
16.09.2004, 17:26 | #3 |
Administrator, a.D. | Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen Hallo,
__________________das Log-File sieht offentsichtlich sauber aus, aber das muß nichts heißen. Überprüfe das System mit eScan: Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. http://www.mwti.net/antivirus/free_utilities.asp Danach die Virus Log Information des eScan posten. Generell sollte man bei einer Backdoor Kompromittierung die sicherste Lösung wählen und das System neu aufsetzen, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Info zu Backdoor.Rbot.gen findest du hier: http://www3.ca.com/securityadvisor/v....aspx?id=39437 Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html
__________________ |
16.09.2004, 17:38 | #4 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen Hallo chaosman, danke für den Tip. Brachte aber nix zu Tage. Die Einträge, die bei der automatischen Überprüfung unbekannt waren (DIT.exe od. hidserv.exe) hatte ich schon als Hardware-Treiber identifiziert. Den Prozess BackWeb-4476822.exe, den ich fixen soll ist von F-Secure für die automatischen Updates. Hilft nicht viel weiter. Thorsten |
16.09.2004, 19:33 | #5 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen hallo seifried, mache doch mal was cidre vorgeschlagen hat mit escan. findet dein virenscanner nichts in der abgesicherte modus? chaosman
__________________ Bonus vir semper tiro |
16.09.2004, 20:20 | #6 | |
| Hijack-Logfile Ich kann nix finden, aber eindeutige AnzeichenZitat:
konnte leider nur remote über RealVNC (Hamburg - Trier) auf den PC zugreifen. Werde erst am Samstag an dem angesprochenen PC sitzen. Werde mir escan, Kapersky, Spybot etc. brennen und dann noch mal schauen. Bin aber doch etwas erschüttert, dass Ad-Aware, F-Secure und Hijack nix finden. Werde wohl den Virenscanner F-Secure gegen Kapersky austauschen. Bisher hatte ich keine große Probleme mit Viren. Wenn ich mir was eingefangen habe, wusste ich bisher woher (Tochter oder selber Schuld), konnte sie identifizieren und beseitigen. Aber so etwas???? Zur weiteren Info: Gestern fand ich einen Prozess "wuadt.exe", der heute nicht mehr erscheint. Selbst Google hatte keinen Eintrag über diesen Prozess. Benennt der Trojaner sich selbstständig um? Fragen über Fragen. Thorsten |
19.09.2004, 08:49 | #7 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen So, die Sache hat sich erledigt. Hatte heute direkten Zugriff auf den PC. Dort hatten sich einige Trojaner (W32/Agobot-IX, W32/Agobot-LZ, W32/Sdbot.gen.t etc.) eingenistet. Daten sichern -> Neuinstallation. Etwas sauer war ich, weil F-Secure so versagt hat. Werde mir 'nen neuen Standard-Virenscanner suchen. Hat da jemand ne Empfehlung? Gruss und Dank an chaosman und Cidre, Thorsten |
19.09.2004, 09:55 | #8 |
| Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen Vor dem Virenscanner versagt in der Regel der Nutzer. Verwendung eines alten IE und auch noch Outlook, evtl. beide nicht gut konfiguriert, kein regelmäßiges Aufspielen von Patches, da kann es schon schwieriger werden. Mich wundert es zwar auch ein wenig, dass F-Secure da nichts gefunden hat, aber man weiss nicht, wie der Infektionsweg war und eventuell war der Scanner ja durch die Schädlinge beeinträchtigt. Verlassen darf man sich darauf sowieso nicht, wichtiger ist die Anwendung der Tips, die Cidre schon gepostet hat: http://faq.underflow.de/#SECTION000120000000000000000 http://www.mathematik.uni-marburg.de...ompromise.html Ansonsten kann man wohl Kaspersky AV empfehlen, im Moment gibt es bei der Chip jeden Monat einen Lizenzkey, so dass man die Lizenz immer verlängern kann oder halt die Vollversion kaufen, wenn man es denn will. Sicherheit beginnt aber NICHT beim Virenscanner. :P |
19.09.2004, 13:44 | #9 |
Gast | Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen F-Secure ist nicht schlecht. Du hättest die infizierten Dateien auch an samples@f-secure.com schicken können, damit diese zukünftig erkannt werden. Ich kann mir aber ehrlich gesagt nicht vorstellen, dass F-Secure diese Dinger nicht erkannt hat. Evtl. war F-Secure nicht auf aktuellem Stand?!? Tests von AV's siehe hier: http://www.rokop-security.de/main/article.php?sid=693 http://www.rokop-security.de/main/se...query=&topic=5 |
Themen zu Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen |
ad-aware, adobe, bho, desktop, dll, explorer, f-secure, ftp, gelöscht, hijack, hijackthis, hilfe, internet, internet explorer, internet security, log-file, meinem, microsoft, monitor, nvcpl.dll, office, outlook express, problem, rundll, security, software, sp3, störungen, tcpip, viren, win32, windows |