|
Könntet Ihr bitte mal nachsehen??? Hallo, folgendes Log habe ich heute erhalten.... Logfile of HijackThis v1.99.1 Scan saved at 23:50:09, on 01.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\DSentry.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\XAMPP\xampp\mysql\bin\mysqld-nt.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Creative\SBLive\Diagnostics\diagent.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\lalala\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/026ad4f7...dxIE601_de.cab O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/ActiveX/P...orUploader.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: MySql - Unknown owner - C:/Programme/XAMPP/xampp/mysql/bin/mysqld-nt.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe Wie sieht es aus??? Vielen Dank für Eure Hilfe - herzliche Grüße Sternchen |
Sieht gut aus. Hast die irgendwelche Probleme mit dem Rechner oder Anzeichen für Schädlinge? Und wenn dieser Foto-Uploader: Zitat:
|
Hallo, danke für die schnelle Antwort. Ich hatte gestern von Antivir eine Meldung über einen Troyaner TR/Drop.VB.DW.3 erhalten. Ich habe danach meinen Rechner gescannt und dabei in den Temporären Dateien des Internet-Explorer folgende Datei gefunden: JS/Small.af. Das hat mich ziemlich nervös gemacht, deshalb habe ich mir heute "The Cleaner" besorgt und dabei wurden noch 182 Dateien von perfect keylogger gefunden...die habe ich entfernt. Danach habe ich nochmal den Virenscanner rüberlaufen lassen und nochmal "The Cleaner"...es war dann zwar alles sauber, nervös war ich dennoch, weshalb ich mir HIJack besorgt habe... Kann ich nun beruhigt sein? |
Zitat:
http://de.wikipedia.org/wiki/Keylogger Lass mal eScan laufen Anleitung |
Hallo Andy... dann mache ich das mal! Vielen Dank - ich melde mich wieder Herzliche Grüße Sternchen |
Und falls Du nicht schon einen anderen Browser benutzt, denk mal über einen Wechsel z.B. zu Firefox nach. Ändere sämtliche Passwörter...nur zur Sicherheit. Bis dann. |
Noch was, Perfect Keylogger ist eigentlich ein "normales" Programm, aber in Verbindung mit den gefundenen Schädlingen, weiss man nie. |
Ich schon wieder.... Zu diesem: Zitat:
http://www.antiviruslab.com/descript...212356&lang=de Und bei aktiv gewordenen Backdoor-Programmen, wird hier zum Neuaufsetzen geraten.....siehe sehr gute Beschreibung zum Neuaufsetzen Es gibt auch andere Meinungen dazu, aber um ganz sicher zu sein, solltest Du auf jeden Fall darüber nachdenken. |
So....nach fast 3 Stunden habe ich nun folgendes Ergebnis: Wed Mar 02 11:34:15 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed Mar 02 11:34:15 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-14123A1D.ZIP.VIR Wed Mar 02 11:34:30 2005 => File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-14123A1D.ZIP.VIR infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. Wed Mar 02 11:34:30 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-436A82A1.ZIP.VIR Wed Mar 02 11:34:30 2005 => File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-436A82A1.ZIP.VIR infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. Wed Mar 02 12:10:03 2005 => File C:\Programme\XAMPP\xampp\apache\bin\kill.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. Wed Mar 02 12:50:00 2005 => Total Files Scanned: 153886 Wed Mar 02 12:50:00 2005 => Total Virus(es) Found: 3 Die ersten zwei Viren sind in der Quarantäne, oder??? Der dritte wird als not-a-virus angezeigt und trotzdem aufgelistet, wie muß ich das verstehen? Nochmals zu dem Vorfall wie ich darauf aufmerksam wurde, jetzt etwas exakter: Ich habe eine Seite mit einem bestimmten Liedtext bei Google gesucht und bin auf einer Seite gelandet, die zwar nicht den Liedtext, dafür aber den netten Virus hatte. Mein Virenscanner hat ihn gemeldet und ich habe ihn in die Quarantäne verschoben. Danach habe ich einen kompletten Virenscan durchgeführt und die Datei JS/Small.af im Cache des Explorers gefunden und gelöscht. Kann es denn nicht sein, daß diese Datei JS/Small.af versucht hat die Troyaner zu installieren und mein Virenscanner hat es abgebloggt? Ich habe den Scan ja auch sofort gemacht und nicht gewartet... Dann müßte der Rechner doch jetzt sauber sein, oder? Neu aufsetzen wäre bei meiner augenblicklichen Auslastung mit Arbeit eine Katastrophe....und wenn ich es vermeiden kann.... Der Perfect Keylogger muss schon älter sein, ich habe ihn auch auf meinem Notebook gefunden und ich glaube ich hatte ihn mir über ICQ eingefangen (denn da sind einmmal komische Dinge passiert). Rechner und Notebook sind über einen Router verbunden. Ich habe ihn dort auch entfernt, einen anderen Befall habe ich auf dem Notebook nicht gefunden. Seit meinem Troyanerbefall (da war mein Notebook ausgeschaltet) unterbreche ich immer jeweils die Anbindung an den Router bei einem der beiden Geräte, damit keine Netzwerkverbindung zwischen ihnen zustandekommt. Was einen anderen Browser betrifft, bin ich leider nicht wirklich flexibel. Ich bin Webdesignerin und da nunmal der Explorer immer noch der Browser erster Wahl ist, muß ich auch sehen wie mein Produkte dort aussehen! Vielen Dank...herzliche Grüße Sternchen |
Hallo, ja, die entscheidenden Sachen sind im Quarantäne-Ordner. Diesen könntest Du leeren. Bei der dritten Meldung werden nur Routinen erkannt, welche auch von Schädlingen genutzt werden (deshalb die Anzeige). Keine Gefahr bei dem PC-Welt-Programm! Es könnte sein, dass der Virenscanner das Ausführen des Trojaners verhindert hat, aber wissen kann man es nicht. Es sieht fast so aus, dass er nicht aktiv wurde. Aber......? Der Keylogger war anscheinend nicht das Problem. Passwörter würde ich trotzdem ändern. Nicht, dass Du Deine Webseiten mal nicht mehr erreichen kannst und vielleicht sogar illegale Angebote sich dort befinden.... Zum Betrachten von (eigenen) Sites ist der IE zu gebrauchen, auch für Windows-Updates, aber gerade Du solltest wissen, dass der IE NICHT Normkonform ist. Klar, er macht es einem leichter, da er Normabweichungen "ausbessert", aber dafür werden ggf. Deine Seiten mit anderen Browsern nicht ordentlich angezeigt. Wenn Du schon nicht ohne ihn kannst, dann konfiguriere ihn auf jeden Fall sicher. Vielleicht prüfst Du "wenigstens" Deine Arbeit auch mit anderen Browsern. Mein Vorschlag: IE für die Arbeit, Firefox zum Spielen, Surfen usw. Herzliche Grüße Andy |
Hallo Andy, ich danke Dir! Natürlich kontrolliere ich meine Webseiten auch bei anderen Browsern, das ist doch klar! Und sie sehen dann auch bei allen gut aus - das schreibt mir mein Perfektionismus vor:-) Paßwörter habe ich zum größten Teil schon geändert und leicht flau fühle ich mich im Magen immer noch... Ich werde den Rechner jetzt dennoch erstmal nicht neu aufsetzen... Was hältst Du von dem Programm "The Cleaner" - ich denke darüber nach es mir zu kaufen. Herzliche Grüße Bea |
Mein Perfektionismus oder beser ne kleine Paranoia haben mich auch zu "The Cleaner" und zu "WinPatrol" und und und..... geführt. Ich bin zufrieden und kann diese empfehlen. Aber eScan, AdAware Spybot S&D sind Klassiker, welche man haben muss und dann noch "Dienste abschalten"..............Du siehst.....Paranoia :kloppen: Flau könnte einem eigentlich immer sein, aber warum soll gerade Dein Rechner für illegale Sachen mißbraucht worden sein? Könnte, aber eher unwahrscheinlich. Vielleicht ein bissel Spam weiterverteilt oder ein paar Angriffe auf z.B: Heise.de, aber vermutlich nicht mehr. Diese Trojaner werden meistens ja nicht geziehlt platziert, sondern breit gestreut. Sei ein bissel vorsichtig beim Surfen, sichere den IE und alles wird gut! :dummguck: Zitat:
Alles Gute und liebe Grüße Andy |
Hola again! Ja, so ein bissl Paranoia ist nicht unbedingt schlecht...Ad-Aware habe ich auch... Zitat:
Ich danke Dir für Deine Mühe - herzliche Grüße Bea |
Gern geschehen! :dummguck: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board