Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile, verdächtige Einträge (https://www.trojaner-board.de/29678-logfile-verdaechtige-eintraege.html)

settedecimi 03.06.2006 09:09
Logfile, verdächtige Einträge
 
Liebes Forum,

bevor ich die Festplatte neu formatiere, weil es mich einfach interessiert:

ich habe die mir verdächtigen und unnützen Einträge fett gestellt. Wie richtig liege ich damit? Wäre das System noch zu retten?

Logfile of HijackThis v1.99.1
Scan saved at 07:13:38, on 03.06.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\cmd.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\System32\taskmgr.exe
C:\Programme\HijackThis\download\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com[/COLOR][/B][/B]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www6.inode.at/config/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
F2 - REG:system.ini: UserInit=%SystemRoot%\system32\userinit.exe,
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\System32\explorer.exe
O4 - HKLM\..\Run: [defender] C:\\defender23.exe
O4 - HKLM\..\Run: [Microsoft Windows AntiVirus] uoptnbctfxs.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\RunServices: [Microsoft Windows AntiVirus] uoptnbctfxs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148817187453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148835671444
O20 - Winlogon Notify: klogon - C:\WINNT\System32\klogon.dll
O20 - Winlogon Notify: Uninstall - C:\WINNT\system32\k044lahq1d4e.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe



Vielen Dank für eure Antworten und herzliche Grüße aus dem huschikalten Wien

Sunny 03.06.2006 10:11
Hallo,

Deine Kiste ist ganz schön zu gemüllt, vorallem wenn ich das lese:

Logfile of HijackThis v1.99.1
Scan saved at 07:13:38, on 03.06.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

ob eine Bereinigung da noch Sinn macht ist abzuwarten!

Lass folgende Dateien hier auswerten, und poste danach das Ergebnis --> Virustotal

C:\WINNT\System32\explorer.exe
C:\Programme\Network Monitor\netmon.exe

Gruß
Daniel

dartus 04.06.2006 00:07
Zitat:
ob eine Bereinigung da noch Sinn macht ist abzuwarten!
Da gibt es kein Abwarten!

dartus

settedecimi 06.06.2006 21:30
Danke für die klaren Worte! Interessieren täte mich zwar schon, welches der böseste Eintrag im logfile ist, aber angesichts der Massen von postings im Forum habe ich Verständnis für knappe Antworten.

Schöne Grüße aus Wien!

Wildone 06.06.2006 21:42
Hallo,
ich gebe dir mal kurz die Einträge, die du fälschlicherweise dick markiert hast:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = : (kann legitim sein wenn du zum surfen einen proxy verwendest)

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx (Google Toolbar)
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\System32\explorer.exe (hätte dick markiert sein sollen, ist definitiv Malware)
O4 - HKCU\..\Run: [internat.exe] internat.exe normal siehe hier
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
(harmlos siehe hier)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148817187453
(harmlos siehe hier)


Grüße Wildone

cosinus 06.06.2006 21:48
Der Patchzustand der Kiste ist einfach erschreckend, das SP4 ist (wenn ich mich nicht irre) schon vor drei Jahren herausgekommen und du hast es nicht drauf. Aber selbst mit einer frischen W2k-Kiste die das SP4 hat, darfst Du so noch nicht mit onlinegehen, denn im SP4 sind noch keine RPC- und LSASS-Patches enthalten. Deswegen auch das Update Rollup1 besorgen. Und danach alle danach erschienenen Patches nachladen über das Windowsupdate.

settedecimi 08.06.2006 13:53
Danke für die Erläuterungen.

Ich wollte mein Alt-Notebook neu aufsetzen, hab aber nur eine Uralt-Version von W2K daheim und hab gedacht, ich hätte eine kleine Schonfrist, bis das System upgedated wäre. Leider hats nur ungefähr 2 Minuten gedauert, bis die Kiste verseucht war... deshalb der ungepatchte Zustand. Hab das einfach unterschätzt.

Wir alle sind gescheit, die einen vorher, die anderen nachher.

lg

cosinus 08.06.2006 14:03
Naja, was heißt Uraltversion, die Kiste ist einfach nur ungepatcht gewesen. :blabla:
Wichtig ist auf jeden Fall, dass Du die Patches offline einspielst, noch vor der ersten Internetverbindung.
Ist der Rechner im Netzwerk oder ein Standalone-PC? Wenn letzteres zutrifft solltest Du alle nicht benötigten Netzwerk- bzw. Systemdienste abschalten, bei http://ntsvcfg.de findest Du dazu mehr Infos.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131