[helix]

Zitat

tja das ist die frage die DU dir stellen musst
schade dass mein guide noch nicht online ist... schau aber in den nächsten tagen im sicherheits-forum nach, denn ich glaube kaum dass dein system jetzt wieder ganz sauber ist... kurzfassung : ad-aware, spybot search&destroy und hijackthis downloaden (links mit google leicht zu finden), im abgesicherten modus starten, virenscanner manuel starten und scannen, mcafee stinger scannen, ad-aware full-scan und search&destroy scannen.. neu booten, hijackthis scannen, log speichern und im sicherheits-forum posten... ausserdem mit diesem tool ganz leicht ungebrauchte dienste abschalten, da kommt auch ohne firewall nix

das hat strider mir gesagt und ich hab es hiermit getan

Angehängte Datei(en)

•  hijackthis.log.txt (2,28K)
  Anzahl der Downloads: 204

[Stulle]

• D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
  
• O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

brauchst Du nicht.

[Matze]

>D:\WINDOWS\System32\ssms.exe
>O4 - HKLM\..\RunServices: [Scan Register] ssms.exe
>O4 - HKLM\..\Run: [Scan Register] ssms.exe
Wurm (W32/Gismo-A)

>O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
>O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
Böse Spyware.

>O4 - Startup: Trillian.lnk = ?
>O4 - Global Startup: DSLMON.lnk = ?
Unnötig

Dieser Beitrag wurde von MatzeSZ bearbeitet: 15. Juni 2004 - 12:05

[Zeitzer]

Hier mein Txt. Vieleicht gibt es da auch was zu löschen.

TXT File

[Rika]

>C:\WINDOWS\system32\altsvc.exe
Verdächtig.

>C:\WINDOWS\system32\lssas.exe
Böse. Sober-Wurm. Sowas kommt von grenzenlosem Klickwahn bei eMails oder Warez aus Tauschbörsen...

>R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Browser - Tuned by WinExperts
LOL. Genau.

>R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
Merkwüridg.

[Matze]

>R3 - Default URLSearchHook is missing
Fixen

>R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
Hatte ich vorhin schon bei einem gesehen. Sehr merkwürdig.

>C:\WINDOWS\System32\alg.exe
WindowsFirewall - überflüssig.

>O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Absicht?

[belia269]

...

Dieser Beitrag wurde von belia269 bearbeitet: 01. Juni 2009 - 08:17

[Pergon]

Es gibt einen Wurm der sich den LSASS Namen zu nutzen macht- der Wurm heist aber soviel ich weis "issas.exe" und der Dienst heist halt "lsass.exe" - ein kleiner aber nicht zu verachtender Unterschied. Den Dienst LSASS hat und sollte jeder laufen lassen weil dieser andere steuert. Jetzt nicht meckern - ich kann das nicht besser ausdrücken weil ich da kein Spezi bin ;-)

[Rika]

lsass -> gut
lssas -> böse

Man beachte den feinen Unterschied.

[Pergon]

GENAU !!!


Ich werd dieser Tage auch mal ein hijacklog hier posten - hab das selber noch nie gemacht - kenne mich da zu wenig aus und bin schon gespannt auf euer Feedback!

[belia269]

Den feinen Unterschied hatte ich leider nicht beachtet/gemerkt...
DANKE

Und die letzten 2 Einträge? Bei der Automatischen Auswertung kam "Eventuell böse"!!

[Matze]

Die letzten 2 Einträge sind beide auch gut, weil die IP-Adresse "217.237.151.161" eine von T-Online ist. -
Die automatische Auswertung kann leider nicht für dich beurteilen ob die IP-Adresse gut oder schlecht ist. Ich bin aber dabei gesamte Adressbereiche als gut zu deklarieren.

[Rika]

Ähm... ganze Adressbereiche? Es geht dort um _DNS-Server_.

[Matze]

Zitat (Rika: 15.06.2004, 17:35)

Ähm... ganze Adressbereiche? Es geht dort um _DNS-Server_.

Das weiß ich. Aber es gibt ja mehr als nur eine IP Adresse von T-Online die als "Gut" zu deklarieren ist. Wenn ich dem Script jetzt sage es soll alle IP-Adressen von T-Online als Gut deklarieren benötige ich logischerweise einen Adressbereich.

Korrigiere mich wenn ich falsch liege.

[Rika]

Damit deklarierst du aber auch mögliche bösartige Fake-DNS-Server, die im gleichen Adressbereich liegen, als gutartig.
Daher würde ich allerhöchstens 217.237.149-151.*, 194.25.2* und 217.5.100.* akzeptieren.