Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Analyse von HiJackThis-Log (https://www.trojaner-board.de/46046-bitte-um-analyse-hijackthis-log.html)

Geezus 20.11.2007 15:06
Bitte um Analyse von HiJackThis-Log
 
Hi TB-Team
Hatte vor kurzem selbst ein Problem mit einem Trojaner und bin auf diese Seite gestoßen. Hab mich dann auch mühsam durchgeboxt und es geschafft, mein HJT-Log selbst zu analysieren und dem Trojaner den Garaus zu machen. Insgesamt eine sehr informativer Ausflug zum Thema Netzsicherheit und so. Großes Lob für eure geduldige Arbeit hier :daumenhoc
Da ich aber vorher keinerlei Erfahrung in der Thematik hatte, war der ganze Vorgang sehr zeitaufwendig.
Nun ist bei meiner Mitbewohnerin ein Problem auf ihrem Laptop aufgetreten, und ich würd ihr gerne helfen. Hab aber momentan nicht die dafür notwendige Freizeit. Daher wär ich für eine Auswertung des HJT-Log sehr dankbar.

Problem: Das Laptop hat sich vor kurzem wohl selbstständig runter und wieder hoch gefahren, ohne (laut ihrer Aussage) irgendeine Form von Fehlermeldung zu geben. Sie ist selbst recht unbekümmert, was die Absicherung im Netz angeht. Sprich, Sie sollte eigentlich ein Antiviren-Programm und eine Firewall nutzen, da Sie nicht die nötige Sicherheitsdisziplin an den Tag legt, um ohne diese Helferlein zu surfen. Da aber auch noch Win98SE instaliert ist, ist es schwierig, etwas zu finden, was anwenderfreundlich und kostenlos ist. Momentan hat Sie deswegen auch keine Firewall, und ich weiss nicht, ob es sinnvoll wäre, einfach alle Dienste zu stoppen. Schließlich müsste Sie ja dann selbst manuell entscheiden, was aktiviert werden darf und was nicht. Und ob das in Ihrem Fall sinnvoll wäre, wage ich zu bezweifeln ;)
Es kommt also alles mögliche als Fehlerquelle in Frage. Aber eine Analyse des Log-Files wäre genug der Mühe, da alles andere ja in Ihrer eigenen Verantwortung liegt und ich mir da auch schon das Maul fusselig gelabert hab.
Wenn allerdings irgendwer noch nen Tip hätte, welche Firewall kostenlos, 98SE-kompatibel und simpel zu bedienen ist, wäre dieser auch gern gesehen.

Hier also der Log-File:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:46, on 20.11.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\KEYMAP.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAMME\D-LINK AIRPLUS\AIRPLUS.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [KEYMAP] C:\WINDOWS\SYSTEM\Keymap.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo
O4 - HKUS\.DEFAULT\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - .DEFAULT Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe (User 'Default user')
O4 - .DEFAULT Startup: atomzeit.lnk = C:\Programme\atomzeit.exe (User 'Default user')
O4 - .DEFAULT Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Startup: atomzeit.lnk = C:\Programme\atomzeit.exe
O4 - Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe
O8 - Extra context menu item: &Google-Suche - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.arcor.de
Für jede hilfreiche Antwort schon mal Danke im Vorraus. Und entschuldigt bitte die lange Einleitung, wollte nur die Problematik so klar wie möglich umschreiben.

Greetz

Cleriker 20.11.2007 16:27
Hallo,

da du ja offensichtlich schon einige Zeit verbracht hast,
brauche ich dich ja nicht merh willkommen zu heißen :)

Deinen Berichten zu folge und diesem Eintrag nachgehend:
Zitat:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
gehört der PC nicht mehr deiner Freundin, sondern . . .
siehe selbst: -> Troj/Opwin-11

Deshalb rate ich ein NeuAufsetzen des Systems mit
anschließender Absicherung. Motivation gebe deiner Freundin
mit den Worten. "Wenn Sie nicht strafrechtlich verfolgt werden will . . ."

mfg Cleriker

1. System neu aufsetzen mit anschließender Absicherung
2. Service Pack 2 updaten / installieren
3. XP-Updates updaten / installieren
4. Firewall von Windows XP SP2 aktivieren
(Start > Einstellungen > Systemsteuerung > Sicherheitscenter > Firewall > aktivieren)
5. Avira Antivir Personal Edition downloaden
6. Sofort updaten oder die Updates selbst runterladen
* Update Antivir Paket 1
* Update Antivir Paket 2
> Avira Fenster öffnen > oben auf Update klicken > manuelles Update
> Pfad raussuchen, in der die Pakete gespeichert sind (können auch gepackt sein)
7. Java-Update durchführen
8. neueste Version von Motzilla Firefox runterladen und als Standartbrowser benutzen
9. Etwa alle 3 Monate den CCleaner ausführen

Geezus 20.11.2007 16:51
@ Cleriker

Danke für die schnelle Hilfe. Hatte sowas schon befürchtet. Hab deine Problemlösung weitergegeben und die Dame gelobt auch Besserung. Eine Frage bleibt allerdings noch. Sie möchte natürlich Ihre persönlichen Daten sichern und später neu aufspielen. Ich hab Ihr dazu geraten, diese in ein zip- oder rar-Archiv zu packen. Wenn das System dann nach Deiner Anleitung erneuert wurde, sollte man dieses doch problemlos mit AntiVir und Spybot auf Befall überprüfen können, bevor man es entpackt, oder? Und Schädlinge sollten dann doch auch innerhalb dieses Packets gebunden sein, solange man es nicht entpackt - richtig?
Ach verdammt, Ihre gesamten Passwörter muss Sie ja jetzt auch ändern. Ääääh, und ich wohl auch, da ich denselben Laptop hier und da benutzt hab.....:eek:
Na Mahlzeit

Cleriker 20.11.2007 17:01
Zitat:
Wenn das System dann nach Deiner Anleitung erneuert wurde, sollte man dieses doch problemlos mit AntiVir und Spybot auf Befall überprüfen können, bevor man es entpackt, oder?
Vertraue besser nur auf Antivir. Spybot halte ich nur für eine
gute Idee, wenn es sich um die Registry handelt.

Zitat:
Ach verdammt, Ihre gesamten Passwörter muss Sie ja jetzt auch ändern
Na dann leg mal los. Bankdaten, Ebay usw. nicht vergessen.

mfg Cleriker

BataAlexander 20.11.2007 17:02
Man Cleriker, den Thread mal lesen, bevor man postet!

W98 hat keine SP2 und google liefert nicht im ersten Treffer immer das richtige Ergebnis! Siehe Link

Imho ist der Rechner soweit es geht sauber. Allerdings sind W98 Rechner im Netz nicht mehr sicher, da hier keine Sicherheits relevaten Updates mehr zur Verfügung gestellt werden.
Über kurz oder lang sollte hier also eine Umstellung erfolgen.

Geezus 20.11.2007 17:24
hehe, na da bin ich aber froh! Und wenn Clerikers Analyse auch nicht ins Schwarze getroffen hat, hatte sie doch was Gutes. Nach der ersten Panikattacke wurde mein Drängen auf einen Wechsel von 98 zu XP endlich mal ernst genommen.
Schönen Abend noch

rafta666 20.11.2007 17:58
Bräuchte bitte auch hilfe bei der analyse eines hijackthis-logs!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Cleriker 21.11.2007 10:09
Zitat:
Man Cleriker, den Thread mal lesen, bevor man postet!
W98 hat keine SP2 und google liefert nicht im ersten Treffer immer das richtige Ergebnis! Siehe Link
:balla:oh man, ich sollte mehr auf Qualität
als auf Quantität gehen bei den TO's:balla:

Danke@Bata


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131