Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log-Auswertung....kundiger Blick gefragt ;) (https://www.trojaner-board.de/6596-log-auswertung-kundiger-blick-gefragt.html)

oodag 31.07.2004 20:23
Log-Auswertung....kundiger Blick gefragt ;)
 
Hallo,

Ich hatte mir ein Image gebrannt, eingelegt (Autostart), dann wurden
Virenscanner und Firewall ausgeschaltet etc...

Ok, rechner runtergefahren und mit dos-scanner gecheckt:
Habe folgendes Programm ausgemacht: xpsp1mfh.exe -> umbenannt.

Nach Neustart wollte dann xpsp1mfh.exe ins Internet..

Naja ich hab mich dann informiert, neuen Virenscanner installiert,
beim Scan hatte er auch einen LoveBug.. und andere gefunden, hatte diese dann entfernt.

Anm.: Habe XP, alle Patches und aktuellen Virenscanner sowie ZApro... ?!

Hatte dann 1 Woche Ruhe, nun will immer eine meiner Anwendungen, z.B. Firefox ins Inet, obwohl ich grad am surfen bin, oder spoolsv.exe auch...

Inzwischen habe ich meinen Rechner mit 3 versch. Viren-SW gecheckt & nichts gefunden..., evtl kann ma einer das HijackThis-Log anschauen?

VORHER:
Logfile of HijackThis v1.98.0
Scan saved at 18:45:28, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Ontrack\Fix-It\mxtask.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\ClocX\ClocX.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\sol1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\Fix-It\MemCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunServices: [Media Player Update] xpsp1mfh.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

NACH MEINER PRÜFUNG:
Logfile of HijackThis v1.98.0
Scan saved at 21:08:21, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\ClocX\ClocX.exe
C:\Programme\D-Tools\daemon.exe
D:\PROGRA~1\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sol1\Desktop\HijackThis.exe
C:\WINDOWS\System32\NOTEPAD.EXE

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67349014-DA1D-422F-BB63-AE7AF2FD2E12}: NameServer = 217.237.151.97 194.25.2.129

Was gehört da nicht hin?

Gruss, "oodag" ;) :crazy:


Anm: Die automatische Auswertung & Free eScan Antivirus Toolkit Utility (nichts gefunden) hatte ich gemacht, die hatte aber z.B. Zonealarm als Zone Alarm Ex-Virus erkannt ?, deshalb frag ich lieber Leute die sich auskennen ;)

*Christian* 31.07.2004 20:35
Das zweite Log schaut sauber aus ..... :party:

Das mit ZoneAlarm hab ich nun gemeldet, da dies schon seit längerer Zeit so ist.

oodag 31.07.2004 20:38
Hehe, das war ma ne schnelle Antwort ;) thx..

Eine Frage hätte ich noch:

Wenn ich den Eintrag:
O17 - HKLM\System\CCS\Services\Tcpip\..\{67349014-DA1D-422F-BB63-AE7AF2FD2E12}: NameServer = 217.237.151.97 194.25.2.129 lösche, dann kann ich keine Seite mehr ansurfen.... ???

Muss dann erst die Inet Verbindung neum starten dann gehts wieder ... :crazy:
..und dann steht der Eintrag (die selben IP´s!!?! - habe keine feste!!) wieder im Hijack-Log. (obwohl ich den rausgenommen hatte und NICHT neu gestartet habe).
Ist das normal?

Bei netstat sagt der auch 2 Verbindungen zu localhost (1413, 1412) ???

Ich weiss ich bin "nub" aber deshalb frag ich ja ;)

Gruss,....


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19