|
Kann sich bitte mal jemand mein log ansehen? Hallo, ich habe dank der tollen direkten Hilfe von Cidre und den posts von zig anderen Leuten meinen Computer wieder in Ordnung gebracht. Insgesamt wurden von Kaspersky anti Virus: Win32.Francette.n in der Datei syshost.exe Backdoor.win32.Wootbot.gen in der Datei sdin.exe Backdoor.win32.Rbot.gen in der Datei bling.exe im system32 Ordner von Windows gefunden. Scheinbar sind die jetzt alle unschädlich gemacht. Ich hab in ein par Tagen eine wichtige Prüfung(Satellitentechnik) und bis dahin darf mein Computer auf keinen Fall mehr schlappmachen. Ich hab deshalb heute ne Art Computertag eingelegt und alles was ich konnte bereinigt und die Virendefinitionen upgedated. Ich möchte ich Euch bitten, Euch mein log mal anzusehen um sicherzustellen, dass jetzt alles wieder in Ordnung ist. Noch was: Es ist echt beeindruckend, wie die Leute hier uneigennützig ihre Zeit zur Verfügung stellen, echt vielen Dank dafür. Wenn Microsoft auch nur ein hundertstel der Zeit mir dem Sourcecode zubringen würde wie die Windows Benutzer beim ausbügeln von Problemen, dann würde es diese ganzen Probleme echt nicht geben. vielen Dank im voraus, Martin So, hier nun mein Logfile: Logfile of HijackThis v1.98.2 Scan saved at 14:41:22, on 06.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe //Warum gibt es diesen Eintrag so oft? C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky\KAV\avpcc.exe C:\Programme\Kaspersky\AdministratorKit\avps.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Kaspersky\KAV\avpm.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe //Warum gibt es diesen Eintrag zweimal? C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe //Warum gibt es diesen Eintrag zweimal? C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe C:\Programme\Kaspersky\KAV\avpcc.exe C:\Programme\BOINC\boinc_gui.exe C:\WINDOWS\System32\1XConfig.exe C:\Programme\Taskmanager\TaskMan.exe C:\Dokumente und Einstellungen\Herfson\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\KAV\avpcc.exe /wait O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096295979879 O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE7C6ED-2FE4-40B7-AE67-9B61FA38F22A}: NameServer = 130.149.4.20,130.149.2.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C68985C-2F1A-4FA2-B6AC-674B60324D23}: NameServer = 192.168.121.252,192.168.121.253 |
Auch wenn dein System offentsichtlich "sauber" sein sollte, würde nach deiner Prüfung, das System neu aufsetzen, da dieses wirklich nicht mehr vertrauenswürdig ist. Es liefen mindestens zwei aktive Backdoor Trojaner (Backdoor.win32.Wootbot.gen und Backdoor.win32.Rbot.gen), möglicherweise wurden Dateien manipuliert, Infos und Passwörter gestohlen usw, kurz gesagt: Jemand hatte möglicherweise Fernzugriff auf dein System! Zitat:
Quelle: Backdoor.win32.Rbot.gen Du solltest trotzdem diese Punkte abarbeiten: http://www.trojaner-board.de/showpos...28&postcount=2 Jedes System ist verwundbar. In deinem Fall standen die Sicherheitspatches schon lange bereit, MS trifft also keine Schuld. Auch du kannst aktiv dazu beitragen, daß dein System dementsprechend abgesichert ist, wenn du einige Regeln befolgst, siehe http://www.mathematik.uni-marburg.de...ompromise.html |
Danke für Deine Zeit.:aplaus: Ich hab den Artikel editiert, auch wenn ich da ein bischen anderer Meinung bin als Du was die Sicherheitslücken angeht. Ich hab eigentlich keine Zeit Windows neu zu installieren, wie gesagt, ich hab bald Prüfung und brauch meinen Computer jeden Tag, außerdem hab ich hier jede Menge Daten drauf, deren Sicherung echt umständlich wäre und meine langsam angepassten Einstellungen würd ich auch ungern verlieren. Würde es nicht reichen meine Passwörter zu ändern und ab nun ein bischen vorsichtiger zu sein? Wenn jemand schon Zugriff auf meinen Computer hatte und jetzt nicht mehr hat kann ich doch auch durch eine Neuinstallation nichts mehr ändern. Martin |
Zitat:
Freilich sind die Sicherheitslücken bei MS enorm, aber dann gilt es diese Produkte so sicher wie möglich zu konfigurieren oder andere Alternativen zu verwenden: - Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 - Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ - MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ Zitat:
Bei einer Neuinstallation und entsprechender Absicherung hat definitiv keiner mehr einen Zugriff auf dein System. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board