|
Hab ein Problem für euch!!! Hallo ich glaub ich hab da ein alt bekanntes Problem für euch. Hier das logfile von hijackhis: ogfile of HijackThis v1.98.2 Scan saved at 11:30:12, on 07.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\services\wmplayer.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\YAHOO!\MESSEN~1\ymsgr_tray.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\McAfee\McAfee VirusScan\VsMain.exe C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe C:\Dokumente und Einstellungen\Anne Theis\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettersearch.biz/ F3 - REG:win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Wäre nett wenn ihr mir helfen könntet. Gruss Krames |
Hallo, ja, das ist leider ein bekanntes Problem mit einer weniger erfreulichen Lösung. In deinem System hat sich ein Backdoor etabliert, es ist daher nicht mehr vertrauenswürdig: http://www.sophos.de/virusinfo/analy...2agobotbm.html Beste und sicherste Konsequenz: http://board.protecus.de/showtopic.p...me=1097944155& Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html http://www.forum-3dcenter.org/vbulle...d.php?t=163074 |
Hi MountainKing, welche Eintraege weissen hier auf einen Backdoor hin ? Bin neu auf dem Gebiet, habe noch Probleme mit der Auswertung der Logfiles. Vielen Dank im Voraus Clemenza |
Zitat:
C:\WINDOWS\System32\services\wmplayer.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe Gruss edit: Naja,wenn du noch unerfahren bist,solltest du dich gut belesen,und mit der Auswertung erstmal enthaltsamsam sein :bussi: |
Hi Clemenza, im Sophos-Link steht ja drin, welche Einträge der Trojaner vornimmt. Das Auswerten ist nicht zuletzt Übungssache, wenn du dich ein bißchen mit den normalen Systemprogrammen (zuerst schaue ich in der Regel die O4-Liste durch) auskennst, kannst du auch sehr schnell sehen, was verdächtig ist. Gerade die Backdoors geben sich gern Namen, die irgendwie nach windows klingen, um vorzuspiegeln, dass sie zum System gehören (mediaplayer, windows update, windows compliant oder wie hier xpsystem). Die sind eigentlich gerade deshalb ziemlich fix zu entdecken, wenn man, wie gesagt die üblichen Windowsprozesse, die im Hintergrund laufen, kennt. Ebenso verdächtig sind Prozesse, die ganz seltsame Namen haben wie "wrzchdzdfzrhefzf.exe", das sind dann die Schädlinge, die ihre Namen per Zufall generieren, haben den Nachteil, dass man sie per google schlechter aufspüren kann. Andererseits, wenn du nach einer solchen Datei suchst und gar kein Ergebnis kommt, ist es im Prinzip genauso aussagekräftig, denn für alle "guten" bzw. echten Windowsprozesse gibt es Einträge bzw. Erklärungen. Je mehr Logfiles du dir durchliest, umso schneller siehst du das. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board