Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile... verdacht auf Malware (https://www.trojaner-board.de/33902-logfile-verdacht-malware.html)

yeti 28.11.2006 09:42
Logfile... verdacht auf Malware
 
Hi,

ich habe hier den Rechner eines Bekannten stehen. Mit deisem Rechner läßt sich kaum noch arbeiten. Sehr sehr langsam, bisweilen auch keinerlei Reaktion mehr.

Mindestens zwei Prozesse gehören meiner Meinung nach nicht dahin:
c4u.exe5120.exe
c4u.exe3072.exe

Die habe ich in der Prozessliste gefunden und eben daraufhin auch dieses HJT-Logfile erstellt. Was meint Ihr dazu?
(Abgesehen vom Systemstand und der Outpost-Deponie ;-) )

Gruß Yeti

-------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 09:37:05, on 28.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
G:\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\ISDN_UTL\isdnsta.exe
C:\Programme\QuickTime\qttask.exe
G:\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\shellexp.exe
C:\WINDOWS\c4u.exe5120.exe
C:\WINDOWS\c4u.exe3072.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\sistray.exe
C:\Dokumente und Einstellungen\internet\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] g:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [ISDNStatus] C:\Programme\ISDN_UTL\isdnsta.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] "g:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en
O4 - HKCU\..\Run: [Winsvr] C:\WINDOWS\c4u.exe5120.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\c4u.exe3072.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{392213D9-8329-4633-A4CC-E38E6A35FD4D}: NameServer = 192.168.0.99
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - g:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - g:\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe

Yopie 28.11.2006 09:58
Automatische Auswertung

Backdoor: Neuaufsetzen wird empfohlen. Siehe Link "Backdoor entfernen" in meiner Signatur.

Wozu ich nicht rate: die Starteinträge mit Hijackthis fixen (evtl. im abgesicherten Modus) und hoffen, dass kein weiterer Schaden entstanden ist.

Gruß :daumenhoc
Yopie

yeti 28.11.2006 10:11
Hi,

vielen Dank für Deinen Tipp.
Die automatische Auswertung habe ich mir auch gerade angesehen. Weißt Du, wie der "Infektionsweg" für diesen Schädling ist?

Hat er sich den per Mail geholt und einen Anhang ausgeführt?

Vielen Dank
Gruß Yeti

Yopie 28.11.2006 10:16
Zitat:
Zitat von yeti (Beitrag 242075)
Hat er sich den per Mail geholt und einen Anhang ausgeführt?
Möglich. Oder sich 'nen Hoppelwestern runtergeladen, der in Wirklichkeit ein trojanisches Pferd war. Oder Cracks. Oder Codecs.

Oder der Browser ist unsicher / unsicher konfiguriert / nicht aktuell.

Mit Sicherheit also menschliches Versagen.

Gruß :daumenhoc
Yopie

yeti 28.11.2006 10:20
Zitat:
Zitat von Yopie (Beitrag 242077)
Möglich. Oder sich 'nen Hoppelwestern runtergeladen, der in Wirklichkeit ein trojanisches Pferd war. Oder Cracks. Oder Codecs.

Oder der Browser ist unsicher / unsicher konfiguriert / nicht aktuell.

Mit Sicherheit also menschliches Versagen.

Gruß :daumenhoc
Yopie
Hi Yopie,

vielen Dank für Deine Info.
Dann werd ich da mal vorsichtig diesen hier machen: :kloppen:

Gruß Yeti

Yopie 28.11.2006 10:40
Zitat:
Zitat von yeti (Beitrag 242078)
Dann werd ich da mal vorsichtig diesen hier machen: :kloppen:
Nur nicht zu zughaft. ;)

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19