WinFuture-Forum.de: Hijack This - Logfile-auswertung - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Hijack This - Logfile-auswertung


#1 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

  geschrieben 12. Januar 2005 - 18:56

Hallo,

ich habe mein Logfile automatisch auswerten lassen. Dabei wurden folgende unbekannten Einträge gefunden:

Zitat

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarest...es2/Install.cab
   
04 - Global Startup: CAPIControl.lnk = ?

O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe

O4 - HKCU\..\Run: [REF UP] C:\DOKUME~1\besitzer\ANWEND~1\BLUEAD~1\send dash.exe

O4 - HKCU\..\Run: [MagnifyingGlass] C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe /autorun

O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe

O4 - HKLM\..\Run: [Hole meet win data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bindanteholemeet\first log.exe   

O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe           

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe

O2 - BHO: (no name) - {AEA437CE-CFA0-6D35-29A1-6940818D4C1B} - C:\DOKUME~1\besitzer\ANWEND~1\SETTIN~1\Win cool.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnvnscmurzy.com/f_oKgNazkj2gSx0...6cEqePUGTroBTee 6bVbrnZiBqU.asp

C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe   

C:\WINDOWS\system32\BTSetBootKey.exe


Kennt jemand diese Einträge? Kann ich sie fixen?
0

Anzeige



#2 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 18:58

Kannst du mal das ganze log Posten Bitte
0

#3 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

geschrieben 12. Januar 2005 - 19:00

Logfile of HijackThis v1.99.0
Scan saved at 12:11:50, on 12.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\DayDisplay\DayDisplay.exe
C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2004\EDICT.EXE
C:\Dokumente und Einstellungen\besitzer\Eigene Dateien\Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnvnscmurzy.com/f_oKgNazkj2gSx0...6bVbrnZiBqU.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AEA437CE-CFA0-6D35-29A1-6940818D4C1B} - C:\DOKUME~1\besitzer\ANWEND~1\SETTIN~1\Win cool.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Hole meet win data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bindanteholemeet\first log.exe
O4 - HKCU\..\Run: [JDReminder] C:\Programme\jdgebneu\JDReminder.exe /NOTIFY
O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [MagnifyingGlass] C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe /autorun
O4 - HKCU\..\Run: [REF UP] C:\DOKUME~1\besitzer\ANWEND~1\BLUEAD~1\send dash.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarest...es2/Install.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Dieser Prozeß wurde als böse deklariert:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnvnscmur...6bVbrnZiBqU.asp

Dieser Beitrag wurde von Lokimann bearbeitet: 12. Januar 2005 - 19:02

0

#4 Mitglied ist offline   stefanra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.208
  • Beigetreten: 13. September 04
  • Reputation: 1

geschrieben 12. Januar 2005 - 19:01

Den EIntrag mit der Startseite des IE kannst du problemlos mit Hijack This fixen.
0

#5 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 19:03

Das solltest du Im abgesicherten Modus bei Deaktivierter systemwiderherstellung Fixen!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnvnscmur...6bVbrnZiBqU.asp


Die sind unnötig die solltest du auch Fixen

O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Kennst du diese Seite? Wenn nicht Fixen und die .cab manuell löschen
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

Das ist der OO Quickstarter der ist Gut
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe


Die kenne ich nicht , du solltest prüfen ob du programme hast die so Heißen

O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe (kenns
O4 - HKCU\..\Run: [MagnifyingGlass] C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe /autorun

O4 - HKCU\..\Run: [REF UP] C:\DOKUME~1\besitzer\ANWEND~1\BLUEAD~1\send dash.exe

O4 - HKLM\..\Run: [Hole meet win data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bindanteholemeet\first log.exe

O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe

O2 - BHO: (no name) - {AEA437CE-CFA0-6D35-29A1-6940818D4C1B} - C:\DOKUME~1\besitzer\ANWEND~1\SETTIN~1\Win cool.exe

C:\Programme\Virtual Magnifying Glass\Magnifying Glass.exe

C:\WINDOWS\system32\BTSetBootKey.exe


So das war es!! Prüfe mal ob du die Nicht bekannten Programme kennst

Dieser Beitrag wurde von Flo01 bearbeitet: 12. Januar 2005 - 19:14

0

#6 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

geschrieben 12. Januar 2005 - 19:18

Danke vielmals! Nach genau 18 Minuten seit Fragestellung eine brauchbare Antwort zu haben ist "Forumrekord"! Oder? Für mich jedenfalls. ^_^ Ich setze gleich alles Genannte um.

P.S. Solche kurzen "Werbepausen": "Geht gleich weiter", wünsche ich mir auch beim Fernsehfunk! ^_^

Dieser Beitrag wurde von Lokimann bearbeitet: 12. Januar 2005 - 19:21

0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 21:11

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
O4 - HKLM\..\Run: [Hole meet win data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bindanteholemeet\first log.exe
O2 - BHO: (no name) - {AEA437CE-CFA0-6D35-29A1-6940818D4C1B} - C:\DOKUME~1\besitzer\ANWEND~1\SETTIN~1\Win cool.exe

Offensichtlicherweise böse!

O4 - HKCU\..\Run: [REF UP] C:\DOKUME~1\besitzer\ANWEND~1\BLUEAD~1\send dash.exe

Wahrscheinlich böse.

O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe

Wahrscheinlich Treiber oder bekannte Software.

@flo01:
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe

Offensichtlicherweise der OpenOffice Quickstart.

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarest...es2/Install.cab

Sieht mir eher normal aus.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 21:19

@Rika

Zitat

Das ist der OO Quickstarter der ist Gut
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe


Da hast du glaube ich was übersehen, habe ich oben doch geschrieben!

Aber kann ja mal Passieren!

Die anderen sachen kenne ich nicht und google wiß auch nix aber ich denke deine Vermutung "Böse ist richtig"

Wäre es dir Möglich uns mal Genauer zu erklären warum die Einträge Die du gepostet hast Böse sind?

Würde mich interresieren, lerne nämlich gerne was dazu!

Dieser Beitrag wurde von Flo01 bearbeitet: 12. Januar 2005 - 21:23

0

#9 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 21:25

Schau dir doch einfach mal die Namen und die Ordner, in denen dieses Programm liegen, an...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#10 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 12. Januar 2005 - 21:38

OK in diesen ordnern sollten eigentlich keine anwendungen liegen da hast du recht!

und was ist das deiner meinung nach ?

Trojaner oder adware

@Lokimann

Lad die dateien hier mal Hier hoch und laß sie dort auf maleware prüfen

O4 - HKLM\..\Run: [Hole meet win data] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bindanteholemeet\first log.exe

O2 - BHO: (no name) - {AEA437CE-CFA0-6D35-29A1-6940818D4C1B} - C:\DOKUME~1\besitzer\ANWEND~1\SETTIN~1\Win cool.exe

O4 - HKCU\..\Run: [REF UP] C:\DOKUME~1\besitzer\ANWEND~1\BLUEAD~1\send dash.exe


Das ergebnis poste bitte wieder hier

Dieser Beitrag wurde von Flo01 bearbeitet: 12. Januar 2005 - 21:47

0

#11 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

geschrieben 13. Januar 2005 - 15:52

Scanner Malware name Time taken
AntiVir X 0.19 seconds
Avast X 1.51 seconds
BitDefender X 0.78 seconds
ClamAV X 0.38 seconds
Dr.Web Win32.HLLW.ForBot.based 0.77 seconds
F-Prot Antivirus X 0.21 seconds
Kaspersky Anti-Virus Backdoor.Win32.SdBot.gen 0.99 seconds
mks_vir X 0.22 seconds
NOD32 probably unknown NewHeur_PE 0.58 seconds
Norman Virus Control X 25.42 seconds

Dieser Beitrag wurde von Lokimann bearbeitet: 13. Januar 2005 - 15:56

0

#12 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 13. Januar 2005 - 15:55

hast du beide dateien gescannt?

Dieser Beitrag wurde von Flo01 bearbeitet: 13. Januar 2005 - 15:59

0

#13 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

geschrieben 13. Januar 2005 - 15:58

Ich habe die 3 von Dir benannten Dateien gescant
0

#14 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 13. Januar 2005 - 15:59

OK Ist auch egal du hast einen backdoor trojaner drauf.
Die einzige Akzeptable möglichkeit ist Format c:
(system neu aufsetzen! komplett)

Backdoor.Win32.SdBot.gen

weil

Kompromittierung

und dann den rechner wie folgt sichern

Rechner sichern


Edit: bei welcher datei kam das ergebnis?

Dieser Beitrag wurde von Flo01 bearbeitet: 13. Januar 2005 - 16:02

0

#15 Mitglied ist offline   Lokimann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 119
  • Beigetreten: 20. Mai 04
  • Reputation: 0

geschrieben 13. Januar 2005 - 16:06

Vielen Dank für dieschnelle Hilfe.
Habe alle 3 Dateien auf einmal gescant.
Hole es noch einzeln nach.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0