|
Kerio backdoor Trojan active Vampire, theprayer1, ... Hallo Leute, meine Firewall schlägt seit ein paar Monaten Alarm, wg. Intrusions wie: BACKDOOR Trojan active Vampire, theprayer1, filenail, transcout, deltasource usw. usf. Oft mit einem Verweiss auf Whitehats.corn... Am Anfang war ich mir nicht sicher, bzw hatte keine Zeit und kein Wissen... Jetzt habe ich mich entschlossen mienen Rechner zu säubern, zur Not sogar Neuzuinstallieren. Naja hier mal mein Hijack Log, beim Scan lief kein Programm im Vordergrund... Logfile of HijackThis v1.99.0 Scan saved at 15:22:13, on 22.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\rundll32.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [InitPulsar] C:/Scope/app/bin/sfp.exe -s O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PDEngine - Unknown - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler - Unknown - C:\Programme\Raxco\PerfectDisk\PDSched.exe Ich hoffe Ihr könnt mir weiter helfen, auch mit Links wenn dieses Thema schon zu oft behandelt worden ist... Danke Ich hoffe der Thread ist hier richtig gelandet :heilig: |
Gute Links zum Thema PC-Sicherheit: http://www.mathematik.uni-marburg.d...compromise.html http://faq.underflow.de/ http://faq.jors.net/virus http://www.dingens.org/ http://ntsvcfg.de/ Zu deinem Prob: Log schaut soweit ganz sauber aus. Scanne jedoch mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Wird was gefunden? Wenn ja, wo? Pfadangabe! |
erstmal Danke für die prompte Antwort! :daumenhoc so ich habe die Geschichte mit escan durchgeführt, danke guter tip! escan hat auch was gefunden! und zwar mehrere zip dateien oder installer die ich blind aus dem Netz/Lan gesaugt hatte. --> gelöscht und eine die mir mehr Sorgen bereitet hat und zwar unter: c:\dokumenteund...\Admin..\Anwendungsdaten\Sun\Java wie die datei hies weiss ich leider net mehr, ich glaube irgend was mit jaws die Datei die escan gefunden hatte habe ich gelöscht + gleichnamige Zip datei alles im Abgesichertnen! Danach alles wieder mit escan und es sieht so aus als hätte ich alle (die escan findet) erwischt... Sicherhalbsweiser schicke ich mein Hijack Log und bitte um überprüfung, diesmal läuft die DFÜ, Firefox und Kerio... Danke im voraus und an alle ein FROHES FEST :snyper: dont shot santa Logfile of HijackThis v1.99.0 Scan saved at 00:19:34, on 24.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\rundll32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Security\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{E884E066-BE31-42B1-B029-F1DCC531AB8E}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Ach ja auch danke für die Links die Geschichte bei www.Dingens ist gar nicht schlecht... |
Dein Log ist sauber. Zitat:
Ebenfalls solltest du ein eingeschränktes Benutzerkonto erstellen und ausschliesslich mit diesem surfen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board