Trojaner-Board - 010-Eintraege

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 010-Eintraege (https://www.trojaner-board.de/26362-010-eintraege.html)

Hallo,
habe noch eine frage:vor drei tagen, als klar wurde, dass das system gestört ist, hatte ich vorher norton (nis und nav) deinstalliert, weil es abgelaufen war und stattdessen nur ein anti-viren-programm (avg) draufgemacht, also keine personal firewall. Kann es sein, dass die verseuchung mit dadurch verursacht wurde (mal abgesehen von leichtsinnigem surferverhalten)?
Gruß
jule54

Hallo,
ich würde gern auch meinen logfile posten, der sieht leider auch nicht gut aus, wie die automatische logfileauswertung gezeigt hat:dummguck: IE ist veraltet, aber ich benutze ihn kaum. Und es scheint sich da auch was zu tummeln. Was sagt ihr?

Logfile of HijackThis v1.99.1
Scan saved at 09:29:49, on 01.02.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.arcor.de

Gruß
jule54

Hi,
hab mal so einfach reingeschaut...
wo ist das Problem? O10 Einträge sind keine da; und alles andere sieht doch gut aus.
Den alten IE kannst doch einfach bei microsoft updaten, auch wenn du ihn nicht benutzt; ist es sinnvoll, ihn aktuell zu halten.
cacatoa

Hallo,
danke, ist beruhigend. Nein, richtig Böses war auch nicht in der automatischen Auswertung, nur kleinere Sachen zum Fixen. Habe vor lauter Angst, nachdem der Rechner meines Sohnes befallen ist, wohl nicht so genau hingeschaut.
Ich hatte bei einer Adaware-Prüfung die Meldung
ALEXA obj[0]=RegValue : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
und viele Tracking Cookies im IE, ist nicht Alexa auch so'n gemeines Teil?
Gruß
jule54

Hallo,
nein Alexa ist harmlos, kann zwar entfernt werden ist aber eigentlich nicht schlimm, siehe z.B. hier (denke einfach mal das gilt auch für 98).

Grüße Wildone

Hallo!
Erstmal vielen Dank bis hier. Jetzt habe ich noch zwei Fragen, bevor wir uns am Wochenende ans Neuaufsetzen machen, aber dafür muss ich wohl einen neuen thread aufmachen?? Trotzdem:
1. Können .doc und .jpg Dateien des kontaminierten Systems evtl. noch gerettet weden?
2. Was genau muss ich machen und was brauche ich, um dd if=/dev/zero of=/dev/hda zur kompletten Formatierung der Festplatte durchzuführen? -

Tschuldigung für die laienhaften Fragen.:o

Grüße
jule54

Hallo,
jpgs kann man Problemlos übernehmen, doc Dateien sollten vor dem aufspielen auf das neue System von einem aktuellen Virenscanner noch mal sicherheitshalber gegengecheckt werden.
Du brauchst die WINXP CD, die Treiber (incl. Chipsatztreiber usw.) für die Hardwarekomponenten, und am besten SP2. Steht aber soweit eigentlich alles in der Anleitung drin, zumindest verlinkt. Wenn du konkrete Fragen zu ihr hast, kein Problem.

Grüße Wildone

Hallo wildone,
ja, aber ich dachte, um die Festplatte wirklich komplett zu löschen, müsste ich was mit dd if=/dev/zero of=/dev/hda von Knoppix machen (lt. link auf http://oschad.de/wiki/index.php/Kompromittierung)?
gruß
jule54

Hallo,
nein, du mußt nicht mit Knoppix hantieren. die Systempartition(wahrscheinlich C:\ ) formatierst du über die XP-CD, die anderen Partitionen müßen auch nicht zwingend formatiert werden (ist zumindest umstritten, siehe auch Satz in der Anleitung:

Zitat:

A: Es sollte mindestens die System-Partition (i.d. Regel C:), besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.

Also neu Partitionieren mußt du nicht, wenn du die anderen Partitionen auch formatieren willst kannst du das jetzt schon machen, im Explorer einfach Rechtsklick darauf und formatieren wählen.

Grüße Wildone

Hallo!
Wir fangen jetzt an. Einfach nur rechtsklick auf C und formatieren? Sind dann wirklich alle bösen Dinger weg??

Hallo,
nein, die Systempartition kannst du so nicht formatieren, nur die anderen. Die Systempartition formatierst du wie in der Anleitung beschrieben:
Link
mit der XP-CD.

Grüße Wildone

Also war ne falsche Frage, ich soll's ja über die CD machen, aber wo steckt die Datei?

ok, unsere Einträge haben sich überschnitten, ich les noch mal weiter, dachte irgendwie, das Formatieren müsste am Anfang stehen, ich lese jetzt! Danke!

Hallo wildone,
sorry für das Durcheinander, bin ein bisschen nervös. Von Formatieren ist ja in der anleitung direkt nichts zu lesen, oder habe ich wieder was übersehen? Verstehe ich richtig, dass ich auf Seite 4 beginne?