|
bitte mal dieses LogFile prüfen Hallo, ich mache seit ein paar Wochen Praktikum in einer kleinen Firma mit einem Netzwerk aus fünf WindowsPCs, einer davon fungiert gleichzeitig als Arbeitsplatz, Server und Speicherort für alle Daten. Heute sagt mir ein Mitarbeiter, er glaubt auf eben diesem PC einen Virus zu haben. Komische Dinge, die mir aufgefallen sind: Task-Manager lässt sich nicht aufrufen (Symbol erscheint evtl. kurz in der Taskleiste und verschwindet dann wieder) Norton AntiVir habe ich installiert, lässt sich aber nicht ausführen (einfach keine Reaktion, beim Starten des PCs erscheint das durchgestrichene NortonSymbol unten rechts in der Taskleiste, verschwindet aber, wenn man es anklickt) Ab und zu erscheint ein Fenster "Verbindung zu au2026.comex.ru", in dem man Benutzername und Passwort eingeben soll, dahinter liegt ein Fenster, in dem man gefragt wird, ob man chinesische Schriftzeichen installieren will. Da Norton nicht funktioniert, wollte ich mal AntiVir versuchen. free-av.de ließ sich von dem Rechner aus gar nicht erreichen, habs dann woanders herbekommen, aber es lässt sich nicht fertig installieren "Mögliche Erklärung: Datenträger ist voll" , das kann aber nicht sein. Hab jetzt mal HJT drübergejagt, bitte schaut euch mal das LogFile an. Vielen Dank schon mal! Logfile of HijackThis v1.99.1 Scan saved at 12:04:47, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\keyhook.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\WINDOWS\system32\winlog.exe C:\WINDOWS\system32\winlog.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wisptis.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/ O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\Navapw32.exe O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{9D71954A-8492-4B45-9CD6-B2473C872B85}: NameServer = 212.105.193.2 O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
hallo, ist dies also ein firmen pc?? habe ich das richtig verstanden?? |
wenn man den Laden Firma nennen kann... Anscheinend hat sich das nie/selstenst jemand drum gekümmert, und es kennt sich hier auch keiner aus. (außer mir so ein bisschen, und ich weiß jetzt auch nicht mehr weiter) Wenn ihr das jetzt nicht machen wollt, weils ein FirmenPC ist, ist auch ok, dann muss mein Chef halt jemanden bezahlen. Aber trotzdem Danke. |
Also mit bereinigen, fürchte ich, wird das nichts. Da muss schon neu aufgesetzt werden, ich meine den Agobot und den Bagle bei Dir im Log entdeckt zu haben. Zitat:
|
also bagle ist auf jeden fall dabei.. Lustig, hab grad am Sonntag den Rechner von meiner Mam neu aufgesetzt...;) Danke für die Hilfe, ich lass da jetzt die Finger von. Immerhin weiß ich jetzt, was es ist. Fürs nächstemal...;)) Danke nochmal und ein gutes neues Jahr! |
Ja, lass da lieber die Finger von. Nachher wirst Du noch verantwortlich dafür gemacht, sollte ein Datenverlust auftreten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board