Hilfe
Neues Thema
Antworten
Hab jetzt hier schon vieles gelesen und findes es auch sehr Interessant, wurde mir auch schon sehr weitergeholfen, allerdings komme ich mit dem Log noch nicht ganz zurecht.
Darum bitte ich einen von euch mal darum mir kurz und prägnant etwas zum untenstehenden Log zu sagen. Wenn es möglich wäre am Liebsten zu jedem Punkt, und wo ich diesen Finden kann.
Danke schonmal vor hier aus.
R3 - Default URLSearchHook is missing - Böse
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe - Unbekannt
O4 - HKCU\..\Run: [Fhiqip] C:\WINDOWS\System32\w?nword.exe - Unbekannt
O15 - Trusted Zone: *.skoobidoo.com - Böse
O15 - Trusted Zone: *.slotchbar.com - Eventuell Böse
O15 - Trusted Zone: *.windupdates.com - Böse
O15 - Trusted Zone: *.skoobidoo.com (HKLM) - Böse
O15 - Trusted Zone: *.slotchbar.com (HKLM) - Böse
O15 - Trusted Zone: *.windupdates.com (HKLM) - Böse
O15 - Trusted IP range: 67.19.178.84 - Eventuell Böse
O15 - Trusted IP range: 67.19.178.84 (HKLM) - Böse
O16 - DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} - - Eventuell Böse
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} - - Eventuell Böse
O21 - SSODL: AudioHQ - {76256A5E-0496-EF4C-E941-EE8B980C172E} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\lurwxr32.dll (file missing) - Unbekannt
O21 - SSODL: System - {7240379F-3FA6-41B8-B47B-5675383AA8E8} - vr_sys.dll (file missing) - Unbekannt
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) - Unbekannt
Seite 1 von 1
Interpretation Des Hijackthislogs
#1
BruceMangy 
geschrieben 25. Juni 2005 - 13:35
Nach oben
#2
flo
- Gruppe: aktive Mitglieder
- Beiträge: 7.955
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 25. Juni 2005 - 13:37
Hallo
Poste dann doch bitte das ganze LOG
Poste dann doch bitte das ganze LOG
#3
shogun03
geschrieben 25. Juni 2005 - 14:07
@flo
ich meine er will nur die punkte beschrieben haben , nicht entwurmen und entlausen.
@BruceMangy
das ist prinzipiell nicht schwer zu verstehen was man in so einem hijackthis-log sieht und liesst , wenn man erst einmal ein paar grundregeln und kenntnisse von "malware" weiss , indem du dir z.b. viele der malwarebeschreibungen bei AV-herstellern ansiehst.
z.b. :
malware (viren würmer hijacker usw.) installiert sich meist ins windows oder systemfolder , nehmen wir den logauszug von dir als prakt. beispiel.
O4 - HKCU\..\Run: [Fhiqip] C:\WINDOWS\System32\w?nword.exe - Unbekannt
hier kannst du 3 sachen rauslesen, die applikationsbenennung besteht aus reinen buchstabensalat und die malware-fälschung der winword.exe ist im systemfolder (normal ist das ja im office-folder) und die malware-fälschung ist als autostartobjekt eingetragen.
das kannst du jetzt somit 100%ig als malware einordnen ohne diese winword.exe mit einem av-programm gescannt zu haben.
O15 - Trusted Zone: *.windupdates.com - Böse
dies hier ist definitiv auch ein von einer malware eingetragener "vertrauenswürdige zone"-eintrag , weil die URL eine bekannte malware-webseite ist.
windows-updates gibt es grundsätzlich nur bei microsoft
O21 - SSODL: AudioHQ - {76256A5E-0496-EF4C-E941-EE8B980C172E} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\lurwxr32.dll (file missing) - Unbekannt
O21 - SSODL: System - {7240379F-3FA6-41B8-B47B-5675383AA8E8} - vr_sys.dll (file missing) - Unbekannt
bei dem eintrag ist die wahrscheinlichkeit zumindestens relativ, das es ungewollte programme sind . ich würde aber hier klar rückfragen ob er diese audio-applikations-software in dem ordner da kennt.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) - Unbekannt
bei dem eintrag ist die wahrscheinlichkeit aus 3 gründen schon wieder höher das es malware ist .
die einfache service-namenbenennung ist unklar , es gibt kein herstellername und das installationsfolder ist typisch für malwareinstallationen .
malware verwendet auch sehr oft nach windows,microsoft,system-ähnlich klingende namensfälschungen, die aber nur reine fälschungen sind um den ungeübten user weisszumachen das es was wichtiges ist
dieses prinzip kannst du in malwarebeschreibungen sehr gut erkennen.
ich hoffe, ich konnte dir ein kleinen überblick vermitteln.
ich meine er will nur die punkte beschrieben haben , nicht entwurmen und entlausen.
@BruceMangy
das ist prinzipiell nicht schwer zu verstehen was man in so einem hijackthis-log sieht und liesst , wenn man erst einmal ein paar grundregeln und kenntnisse von "malware" weiss , indem du dir z.b. viele der malwarebeschreibungen bei AV-herstellern ansiehst.
z.b. :
malware (viren würmer hijacker usw.) installiert sich meist ins windows oder systemfolder , nehmen wir den logauszug von dir als prakt. beispiel.
O4 - HKCU\..\Run: [Fhiqip] C:\WINDOWS\System32\w?nword.exe - Unbekannt
hier kannst du 3 sachen rauslesen, die applikationsbenennung besteht aus reinen buchstabensalat und die malware-fälschung der winword.exe ist im systemfolder (normal ist das ja im office-folder) und die malware-fälschung ist als autostartobjekt eingetragen.
das kannst du jetzt somit 100%ig als malware einordnen ohne diese winword.exe mit einem av-programm gescannt zu haben.
O15 - Trusted Zone: *.windupdates.com - Böse
dies hier ist definitiv auch ein von einer malware eingetragener "vertrauenswürdige zone"-eintrag , weil die URL eine bekannte malware-webseite ist.
windows-updates gibt es grundsätzlich nur bei microsoft
O21 - SSODL: AudioHQ - {76256A5E-0496-EF4C-E941-EE8B980C172E} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\lurwxr32.dll (file missing) - Unbekannt
O21 - SSODL: System - {7240379F-3FA6-41B8-B47B-5675383AA8E8} - vr_sys.dll (file missing) - Unbekannt
bei dem eintrag ist die wahrscheinlichkeit zumindestens relativ, das es ungewollte programme sind . ich würde aber hier klar rückfragen ob er diese audio-applikations-software in dem ordner da kennt.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) - Unbekannt
bei dem eintrag ist die wahrscheinlichkeit aus 3 gründen schon wieder höher das es malware ist .
die einfache service-namenbenennung ist unklar , es gibt kein herstellername und das installationsfolder ist typisch für malwareinstallationen .
malware verwendet auch sehr oft nach windows,microsoft,system-ähnlich klingende namensfälschungen, die aber nur reine fälschungen sind um den ungeübten user weisszumachen das es was wichtiges ist
dieses prinzip kannst du in malwarebeschreibungen sehr gut erkennen.
ich hoffe, ich konnte dir ein kleinen überblick vermitteln.
Dieser Beitrag wurde von shogun03 bearbeitet: 25. Juni 2005 - 14:13
#4
Strider
- Gruppe: aktive Mitglieder
- Beiträge: 2.816
- Beigetreten: 04. Dezember 03
- Reputation: 2
- Wohnort:Luxemburg
- Interessen:Musik, Hardware, Windows, Informatik im allgemeinen
geschrieben 25. Juni 2005 - 14:24
Bei Hijackthis Auswertungen ist Google dein bester Freund
svcproc
vr_sys.dll (unter advanced)
nail.exe
w?nword.exe
usw...
Diese und diese Seite können auch recht nützlich sein.
Hilfe zur Auswertung.
btw willkommen im Winfuture-Forum
svcproc
vr_sys.dll (unter advanced)
nail.exe
w?nword.exe
usw...
Diese und diese Seite können auch recht nützlich sein.
Hilfe zur Auswertung.
btw willkommen im Winfuture-Forum
Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#5
shogun03
geschrieben 25. Juni 2005 - 14:27
völlig richtig, unter google findet man immer fast alles was man für ein hijackthis-log braucht , viele (und damit meine ich wirklich sehr viele) sind einfach nur faul oder wissen nicht wie oder wo oder nach was sie suchen müssen
#6
BruceMangy
geschrieben 25. Juni 2005 - 16:03
Sicher weiss ich das ich bei google fast alles finden kann, aber dennoch greife ich gerne auf das Wissen anderer zurück, sofern sie es dann zur Verfügung stellen.
Besten Dank an euch, dies bringt mich schon ein stück weiter
Besten Dank an euch, dies bringt mich schon ein stück weiter
Thema verteilen:
Seite 1 von 1