[okilee]

Hallo Leute,

in letzter Zeit habe ich dank dieses Forums mehr über die Sicherheit gelernt. Und das PFW und Virenprogramme keine wirkliche Sicherheit bieten.

Vielleicht kann der eine oder andere mir bei der Interpretation meines Scan-Log helfen. Benutze Bitdefender und weiß nicht ob mein Rechner Kompromitiert ist oder nicht. Vorallem die von mir Fettmarkierten Einträge machen mir sorgen. Vielen dank im vorraus.

Okilee:



//-----------------------------------------------------------------
//
// BitDefender report file
//
// Created on: 13/02/2005 14:00:52
//
//-----------------------------------------------------------------


Statistics

Scan path : C:\
Folders : 4310
Files : 237623
Archives : 13175
Packed files : 20386
Identified viruses : 8
Infected files : 25
Warnings : 0
Suspect files : 5
Disinfected files : 0
Deleted files : 2
Copied files : 0
Moved files : 2
Renamed files : 0
I/O errors : 66
Scan time : 01:43:03
Scan speed (files/sec) : 38

Summary:

C:\Dokumente und Einstellungen\Oktay Demir\Anwendungsdaten\Thunderbird\Profiles\default.4bu\Mail\pop.mail.yahoo.de\Sent=>(message 106)=>[Subject: Fw: Papierform][Date: Sun, 8 Jun 2003 01:34:33 +0100]=>(MIME part)=>(MIME part)=>(message body) Suspect Exploit.Iframe.Vulnerability

C:\Dokumente und Einstellungen\Oktay Demir\Anwendungsdaten\Thunderbird\Profiles\default.4bu\Mail\pop.mail.yahoo.de\Sent=>(message 106) Update

C:\Dokumente und Einstellungen\Oktay Demir\Lokale Einstellungen\Anwendungsdaten\Identities\{45413A85-CC00-4F26-A8A9-3F63478FBF42}\Microsoft\Outlook Express\Gesendete Objekte.dbx=>(message 125)=>[Subject: Fw:

C:\Programme\Microsoft AntiSpyware\Quarantine\51F11AE0-38FD-4535-9BA5-9BDD01\00BFF396-8C25-4D86-B8BC-120556 Disinfection failed
C:\Programme\Microsoft AntiSpyware\Quarantine\51F11AE0-38FD-4535-9BA5-9BDD01\00BFF396-8C25-4D86-B8BC-120556 Moved

C:\Programme\Softwin\BitDefender Free Edition\Infected\96wu19rd.exe Infected Trojan.Dropper.Small.GT
C:\Programme\Softwin\BitDefender Free Edition\Infected\96wu19rd.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\96wu19rd.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036930.exe Infected Trojan.Downloader.Small.GM
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036930.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036930.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036945.exe Infected Trojan.Downloader.Small.GM
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036945.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0036945.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038201.exe Infected Trojan.Downloader.Dyfuca.BW
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038201.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038201.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038205.exe Infected Trojan.Downloader.Dyfuca.BW
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038205.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038205.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038295.exe Infected Trojan.Downloader.Small.GM
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038295.exe Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\A0038295.exe Move failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\DB72C8A7-369E-4AE0-B0D8-555072 Infected Application.Adware.PowerReg.3.0
C:\Programme\Softwin\BitDefender Free Edition\Infected\DB72C8A7-369E-4AE0-B0D8-555072 Disinfection failed

C:\Programme\Softwin\BitDefender Free Edition\Infected\MFEX-2.DAT Infected Trojan.Downloader.Small.GM
C:\Programme\Softwin\BitDefender Free Edition\Infected\MFEX-2.DAT Disinfection failed
C:\Programme\Softwin\BitDefender Free Edition\Infected\MFEX-2.DAT Move failed

[Indoril]

Da sich alles in einem Unterverzeichnis des BitDefender Programmordners mit dem Namen "Infected" befindet, nehme ich mal an, dass das verseuchte Dateien sind, die in Quarantäne gesteckt wurden und eben nicht desinfiziert werden konnten.
Ist allerdings nur eine Vermutung anhand der Wörter bzw. Ordnernamen

[okilee]

Das heißt mein Rechner scheint nicht Kompromitiert zu sein?
Danke für die Antwort

[okilee]

Hier das Log File von Hijackthis. Anmerkung benutze kein Internet Explorer nur FF:

Logfile of HijackThis v1.99.0
Scan saved at 16:58:35, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\WINDOWS\notepad.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\OKTAYD~1\LOKALE~1\Temp\Rar$EX00.488\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http...com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Programme\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Programme\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...s/yinst0401.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/...io4_0_2_10a.cab
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

[cubone]

Hi,
hier ist dein Log. Du solltest die "Bösen" mal Fixen.

Dieser Beitrag wurde von cubone bearbeitet: 13. Februar 2005 - 17:04

[belia269]

HIER die automatische Auswertung deines Log-Files bei hijackthis.de

[okilee]

Was meint ihr mit Fixen, wie geht das? Einfach die betreffende Datei löschen?

Habe laut Auswertung einige Sachen die "Böse" sind.

[belia269]

"fixen" bedeutet, dass du die Einträge in Hijackthis auswählst (haken dran), und dann auf "fix checkecked" klickst. dadurch werden die Einträge gelöscht.

[okilee]

Danke... das habe ich dann doch hinbekommen.

Doch nochmal zu meiner Frage: Ist mein Rechner Kompromitiert? Kann das überhaupt bejaht oder verneint werden?

[Graumagier]

Zitat

Doch nochmal zu meiner Frage: Ist mein Rechner Kompromitiert?

Ja.

Zitat

Kann das überhaupt bejaht oder verneint werden?

Ja.

[okilee]

Müsste ich dann klugerweise die Anweisungen in diesem Forum befolgen, das heißt meinen Rechner neu aufsetzen? Oder bin ich sicher wenn ich die Probleme gefixt habe?

[Graumagier]

Zitat

Müsste ich dann klugerweise die Anweisungen in diesem Forum befolgen, das heißt meinen Rechner neu aufsetzen?

Ja.

[okilee]

Scheiße...

das ist scheiße viel arbeit... vorallem wenn man sein System wieder so haben will es derzeit ist.

Kann ich mir arbeit ersparen und Einfach mit dem Windowseigenen Programm eine früheren Systemzustand herstelle?

[Graumagier]

Zitat

Kann ich mir arbeit ersparen und Einfach mit dem Windowseigenen Programm eine früheren Systemzustand herstelle?

Nein.