Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte HT log-file auswerten :) (https://www.trojaner-board.de/7985-bitte-ht-log-file-auswerten.html)

Malkesh 30.09.2004 13:29
bitte HT log-file auswerten :)
 
hallo alle miteinander, ich waere sehr dankbar, wenn mir jemand dieses hijackthis log auswerten koennte.

das problem an diesem rechner: genau genommen ist er kompromittiert und ich persoenlich wuerde die festplatte einschliesslich master boot record platt machen und neu aufsetzen (er war von ueber 50 viren, dialern, etc. befallen)
allerdings handelt es sich nicht um meinen rechner und der besitzer weigert sich eine neu installation durchzufuehren ohne zumindest eine datensicherung vornehmen zu koennen.
also habe ich den rechner so gut ich konnte wieder zum laufen gebracht, diverse sicherheitsupdates aufgespielt und immer wieder durchgescannt. ich hoffe auch aus diesem hijackthis logfile noch nuetzliche informationen zu bekommen, nicht dass ich etwas wichtiges und offensichtliches uebersehen habe... ich waere euch also sehr verbunden wenn ihr mir diesen gefallen tut und mir nicht nur um die ohren werft "dein system ist kompromittiert, mach format c und fdisk!" - das weiss ich selber und ich hoffe den besitzer noch ueberzeugen zu koennen. genug gelabert, hier das log-file:

Logfile of HijackThis v1.98.2
Scan saved at 14:17:02, on 30.9.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\COMPAQ\CPQINET\CPQInet.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\zstatus.exe
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Documents and Settings\Marko\Desktop\viren-cleaning\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iskon.hr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.49.1.204:1979
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Program Files\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095691189424


vielen dank schonmal an alle die sich die muehe machen.

chaosman 30.09.2004 13:38
@Malkesh
dein log sieht zwar sauber aus, wenn ich dass lese, kann ich dir nur empfehlen setze das system neu auf.
lasse den besitzer mal folgen site lesen
http://www.mathematik.uni-marburg.de...ompromise.html
"das problem an diesem rechner: genau genommen ist er kompromittiert und ich persoenlich wuerde die festplatte einschliesslich master boot record platt machen und neu aufsetzen (er war von ueber 50 viren, dialern, etc. befallen)
allerdings handelt es sich nicht um meinen rechner und der besitzer weigert sich eine neu installation durchzufuehren ohne zumindest eine datensicherung vornehmen zu koennen."
bei dieser menge bleibt dir nur neu auf zu setzen
vielleicht macht der besitzer sich mal gedanken über sein surfverhalten.
chaosman

MountainKing 30.09.2004 13:41
Was genau wurde denn auf dem Rechner gefunden?

Malkesh 30.09.2004 13:49
danke für die schnelle antwort, und ja, wie gesagt, ich habe vor mit dem besitzer über dieses schwerwiegende problem zu reden.

unter anderem hab ich den agobot gefunden (rbot.gen), francette.n, small.eh, xpyout.a, forbot.o und den servUdaemon ... alleine schon wegen dem agobot und dem servUdaemon kommt der rechner nicht um's neu aufsetzen drum rum - das waren jedenfalls die häufigsten vertreter. außerdem befanden sich noch irgendwelche versionen von sasser auf dem system (ein fix war zwar vorhanden, aber scheinbar nur einer der ersten, welcher neue versionen unberücksichtigt lies).

außerdem war noch diverse spyware und dialer vertreten, weiß ich jetzt grade aber leider nicht mehr auswendig was das so alles war. da müsste ich unter umständen die entsprechenden logfiles von escan durchwühlen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131