|
Bitte im Prüfung meines Logfile's ... da ich das Gefühl habe, das da sich auf meinem Rechner im Hintergrund ein paar böse Sachen abspielen :( Logfile of HijackThis v1.98.2 Scan saved at 17:26:25, on 31.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\System32\svxhost.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\msxml32.exe C:\WINDOWS\System32\sysentry32.exe C:\WINDOWS\System32\winu32.exe C:\WINDOWS\System32\svchost32.exe C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\updater.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Software sonstige\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe O4 - HKLM\..\Run: [WindowsRegKey update] updater.exe O4 - HKLM\..\Run: [XML Service] msxml32.exe O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe O4 - HKLM\..\Run: [update service] winu32.exe O4 - HKLM\..\Run: [Internet Iexplorer] svchost32.exe O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] updater.exe O4 - HKLM\..\RunServices: [XML Service] msxml32.exe O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe O4 - HKLM\..\RunServices: [update service] winu32.exe O4 - HKLM\..\RunServices: [Internet Iexplorer] svchost32.exe O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe O4 - HKCU\..\Run: [WindowsRegKey update] updater.exe O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plkdqi32.dll (file missing) Ich danke schon mal im Voraus :daumenhoc Gruss Tom |
Hallo, dein System ist leider völlig durchseucht mit aktiver Malware, darunter auch aktive Backdoor Trojaner (die bot Familie lässt grüßen)! Imho kommt nur ein Neuaufsetzen deines Systems in Frage, wenn du wieder ein sauberes System haben willst. http://oschad.de/wiki/index.php/Kompromittierung Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
So schlimm, meinst Du, ich hab mal den Auto-Checker von www.hijackthis.de durchlaufen lassen, und der motzt mir eigentlich nur "3" als Böse an. Einer davon wäre dieser da -> O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe Ich hab den PC erst seit 2 Wochen, und als ich I-Net eingerichtet hatte funzte alles normal, aber dann ging es los, der Datenempfang wurde immer langsamer (es wurden Unmengen an Daten weggesandt, welche die Leitung dicht machten). Hab mir daraufhin ne Anti-Viren-Software und ne Firewall besorgt. Und dabei festgestellt, das sehr viele ".exe"n, meinte Leitung benutzen wollen, hab diese alle mal in der Firewall nicht zugelassen. Ich hab auch die o.g. Datei über msconfig deaktiviert, und auch die Datei aus dem Verzeichnis gelöscht, wo sich diese befand. Nun läuft der Rechner im I-Net eigentlich "normal" von der Geschwindigkeit her, obwohl immer noch ein paar Daten einfach so gesendet werden !!! Meint Ihr nicht, das ich da nochmal irgendwie ohne einen F-Disk zu rande kommen könnte. :confused: |
Zitat:
Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 Zitat:
Zitat:
Zitat:
[Ironie an] Es sei denn, du teilst gerne dein Rechner mit anderen I-net User [Ironie aus] Aber mal im Ernst, denk doch bitte mal an: - Online-Banking - Ebay - Online-Shoppen - Bewerbungen, Kreditkartennummern, - vertrauliche Dokumente und Emails - Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails) - Server für abgelegte Daten wie z.B. Kinderpornografie usw. - DDOS-Attacken |
So nun hab ich XP neu augespielt, nur DFÜ-Eingerichtet (mit Firewall) und dann die ganzen Updates (auch SP2) gezogen, hat zwar alles seeeeehr lange gedauert, aber nu ist alles auf dem laufenden. Habe als Firewall nun noch zusätzlich Securepoint Personal Firewall und als VirenProgramm "AntiVir" in der Version 6.0 Danach hab ich mir den Mozilla gezogen und nu surf ich nur noch mit Mozilla !!! Hab nun nochmals Hijack laufen lassen und bei der automatischen Auswertung gab es nichts böses mehr. Unten ist das LOG. Äh ... meint Ihr, das ich nu (ziemlich) sicher bin, oder soll ich noch was inst'en, was hilft, das mein PC "sauber" bleibt ? Hier das aktuelle HiJack-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 19:52:03, on 04.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\sonstige Anwendungen\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wpabaln.exe C:\SONSTI~1\WINZIP\winzip32.exe C:\sonstige Anwendungen\hijackthis\HijackThis.exe Danke für die vorherigen Aussagen :daumenhoc und evtl. Tipps von Euch, die noch kommen mögen ;) |
Das Log-File ist zwar nicht vollständig, aber bei den laufenden Prozessen seh ich auch nichts verdächtiges, ergo sauber. Zitat:
Damit es auch so bleibt, benutze immer dein Brain bevor du irgendetwas ausführst. Weitere Absicherung findest du hier: http://faq.underflow.de/#SECTION000110000000000000000 btw: Sicherheit hast nichts mit der Anzahl der installierten Software zu tun, denn sie erhöhen nur unnötig die Angriffsfläche auf dein System. |
Hallo..ich bin neu hier und aus dem benachbarten Austria....smile Bin mich gerade mit dem thema Firewall am auseinandersetzen und wollte im zuge dessen mein System auf Schläfer untersuchen. Plötzlich hörte ich denBegriff logfile?!? Hab jedenfalls denn Hijack runtergeladen und dieses Ergebniss herausbekommen...... Logfile of HijackThis v1.98.2 Scan saved at 20:57:44, on 14.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\OpenOffice.org1.1.2\program\soffice.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Avant Browser\avant.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\WinXP\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startpage.iload.to/?m=abc&t=&u=http:%2F%2Fwww.vol.at%2F&x=E17ECF3B-C89A-474F-BB28-39FD72C0C691&pid=386-a2p-0-0-}ct=AT O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart Ist das gut so? lach Wäre nett wenn mir jemand schnell mal drüber schaut der sich da auskennt... denn ich tu es nicht...smile 1000000 Dank im vorhinein.. Karim |
|
Dies wäre evtl. zu fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startpage.iload.to/?m=abc&t=&u=http:%2F%2Fwww.vol.at%2F&x=E17ECF3B-C89A-474F-BB28-39FD72C0C691&pid=386-a2p-0-0-}ct=AT Beende deine unnötigen Dienste: http://www.dingens.org Schließe deine Ports ... ... dann wird eine Firewall im Normalfall überflüssig. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board