WinFuture-Forum.de: Hijack This Log File - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Hijack This Log File WinHosts.exe


#1 Mitglied ist offline   mecky 

  • Gruppe: aktive Mitglieder
  • Beiträge: 43
  • Beigetreten: 11. Juni 05
  • Reputation: 1

geschrieben 10. November 2005 - 00:48

Moin moin,
ich habe mal bei mir HijackThis über das System laufen lassen.Das Log File habe ich auswerten lassen über HijackThis.de.Da wird mir angezeigt,das ein unnötiger Prozeß bei mir läuft.Die Meldung sieht so aus......
C:\WINDOWS\system32\WinHosts.exe Unbekannt Laufender Prozess. (WinHosts.exe)
Dies ist ein unbekannter Prozess.

Diese Meldung habe ich auch prüfen lassen,und da sieht das Ergebniss so aus......
Datei überprüfen
Überprüfung von WinHosts.exe
Dateigröße: 98304 Bytes
MD5-Hashwert: ff6c51d0404ca162350716eb6dffc71f
=======================================

F-Prot Antivirus: Virus scanning report - 10 November 2005 @ 0:38

F-PROT ANTIVIRUS
Program version: 4.5.4
Engine version: 3.16.6

VIRUS SIGNATURE FILES
SIGN.DEF created 8 November 2005
SIGN2.DEF created 8 November 2005
MACRO.DEF created 25 October 2005

Search: /WinHosts.exe
Action: Report only
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER

/WinHosts.exe is a security risk named W32/SillyTrojan.JH


Clam AV: Trojan.Delf-28 FOUND

VirusBlokAda: Keinen Virus gefunden.
Was hat das zu bedeuten?Wird dieser Dienst unbedingt gebraucht oder kann ich ihn unter Dienste deaktivieren?Wie kann ich Einträge im LogFile fixen?
Mein LogFile sieht übrigens so aus:
Logfile of HijackThis v1.99.1
Scan saved at 00:17:04, on 10.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\WinHosts.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3CD54166-6DBA-4D4C-AF78-EDA31E72E81A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3CD54166-6DBA-4D4C-AF78-EDA31E72E81A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1D2A9B-BB36-4DA3-B6CB-7D2F1DCFC38A}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe

Danke schon mal im vorraus für die Hilfe.

Gruß aus dem Norden.....mecky
0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 10. November 2005 - 01:00

Zitat

/WinHosts.exe is a security risk named W32/SillyTrojan.JH


Zitat

Clam AV: Trojan.Delf-28 FOUND


Zitat

Was hat das zu bedeuten?


Wie wär's, wenn du mal die Bildschirmmeldung liest? Es handelt sich offensichtlich um ein Trojanisches Pferd. Und nein, das wird ganz bestimmt nicht benötigt.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 10. November 2005 - 14:46

Hallo Mecky

Wer das emule.exe ständig im Hintergrund laufen hat, braucht sich auch nicht über WinHosts.exe wundern. Da hat auch dein ganzer Symantec-Kram nicht geholfen. Falls du etwas über den Typ der Malware wissen willst, dürfte hier ein guter Ausgangspunkt sein: http://www.viruslist.com/de/viruses/encycl...a?virusid=66368

Die Lösung deines Problems wird hier http://faq.jors.net/virus.html und hier http://malte-wetz.de.vu/index.php?viewPage...compromise.html beschrieben.

Den Rest hat dir Rika schon geschrieben.
0

#4 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 10. November 2005 - 22:42

Zitat

Wer das emule.exe ständig im Hintergrund laufen hat, braucht sich auch nicht über WinHosts.exe wundern.

Ich erwarte einen Verweis auf eine Schwachstelle in benanntem Programm oder eine ordentliche Begründung deiner Einschätzung.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#5 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 10. November 2005 - 22:50

@ Rika


Wenn er sich mit emule ilegale sachen zeiht, is klar warum die kiste verseucht ist.

Voraussetzung ist aller dings das er sowas macht, von daher denke ich meinte er nicht das programm, sondern das was damit *meistens* gemacht wird
0

#6 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 11. November 2005 - 19:07

Hallo Rika

Beitrag anzeigenZitat (Rika: 10.11.2005, 22:42)

Ich erwarte einen Verweis auf eine Schwachstelle in benanntem Programm oder eine ordentliche Begründung deiner Einschätzung.

Ich weiss, das mit deinem Posting für mich ein klein wenig Glatteis aufgetreten ist. ;) Grundsätzlich wird aus der Software selbst wohl kaum eine Gefahr kommen. Viel eher aus dem Prinzip. Wenn ich Google nach Filesharing Malware befrage und es schwirren mehr als 40.000 deutschsprachige Fliegen auf, so ist das wie im Stadtpark - man braucht nicht mehr nachsehen ob es stimmt, es liegt ganz einfach was da und so viele Fliegen können sich nicht irren.

Hier und in anderen Foren wird kaum ein erfahrener User ankommen und fragen wie er das Zeugs wieder los wird. Oder würde etwa dir und den anderen Regulars...? Ok. Es hat also einen unerfahrenen Anwender getroffen. Auch dann, wenn das eMule-Team glaubhaft versichert, jede Datei auf dem Server geprüft zu haben. Wie denn?

Nun ist aber Filesharing nicht nur eine sehr praktische Quelle zum download von Files jeder Art sondern auch eine sehr einfache Möglichkeit, Malware jedes Typs zu verteilen. Und hier trifft es eben nicht den erfahrenen User, der alles kritisch prüft, was auf die HD kommt und auch weiß, wie er mit sowas umgehen muß. Getroffen wird der Neuling, der sich freut nun endlich sein lang gesuchtes File zu besitzen. Gleich mal ausführen und nach paar Sek. sitzt alles perfekt. Das Botnet hat ein neues Mitglied. Oft merkt er nicht einmal wie und was passierte, sondern erst viel später, wenn der Scanner zufällig mal aktualisiert oder die Signatur mit gegeben wurde. Neuere Trojaner werden sogar von der nachgeladenen Software wieder gelöscht und sind damit unauffindbar. Die Ergebnisse von Jotti und VirusTotal sind ein Spiegelbild der Hilflosigkeit von Scannern jeden Herstellers. Kleines Beispiel dazu vom 11.11.05 gegen 18:27 h ;) :

Angehängtes Bild: Bild1.gif

Dies ist der Grund, warum jedem unerfahrenen Heimanwender vom Filesharing abgeraten werden muß. Der Neuling erkennt nicht die Gefahren und ist ihnen nicht gewachsen. Er glaubt in seinem von Symantec, Kaspersky und ZL für den Dschungelkrieg ausgerüsteten Panzer absolut sicher zu sein. Er versteht nicht, das Malware auf diesem Weg ganz elegant an all diesem Kram vorbei auf die HD und zur Ausführung gelangt.
(Es sei denn, die Malware gibt freiwillig auf, weil sie mit der Geschwindigkeit eines solchen Systems nicht mehr zurecht kommt. ;) )

Aber wem schreibe ich das eigentlich?
0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 11. November 2005 - 19:42

Benanntes Trojanisches Pferd in der WinHosts.exe ist allerdings keine Malware, die bevorzugt in Tauschbörsen zu finden ist. Es gibt viele andere bevorzugte Blödheiten, um sich sowas einzufangen, z.B. IE-Benutzung oder W4R3Z-Tausch auf 'ner LAN-Party.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 __maggus__

  • Gruppe: Gäste

geschrieben 11. November 2005 - 20:04

Beitrag anzeigenZitat (Rika: 11.11.2005, 19:42)

Benanntes Trojanisches Pferd in der WinHosts.exe ist allerdings keine Malware, die bevorzugt in Tauschbörsen zu finden ist. Es gibt viele andere bevorzugte Blödheiten, um sich sowas einzufangen, z.B. IE-Benutzung oder W4R3Z-Tausch auf 'ner LAN-Party.


Naja, vor allem beim Austausch von illegalem Krimskrams im Rahmen einer LAN-Party ist es der eingen Dummheit zuzuschreiben, wenn man sich die gemeinen Viren und Trojaner gleich mitkopiert, von Scherzen anderer Leute mal abgesehen.

Zum Thema eMule: Sicherlich ist es nicht zwingend eine Schlussfolgerung, dass jemand der eMule auf seinem System laufen hat, auch Raubkopien aus dem Internet herunterlädt. Sicherlich sind ein Großteil der eMule Nutzer nicht nur mit dem Laden von legalen Inhalten beschäftigt, aber auch nützliche Sachen werden im ed2k-Netz angeboten, von Wikipedia ganz zu schweigen, das darin den perfekten Weg gefunden hat, die eigenen Server zu entlasten und trotzdem die Offline-Ausgabe ihres Lexikons zur Verfügung zu stellen.
0

#9 Mitglied ist offline   mecky 

  • Gruppe: aktive Mitglieder
  • Beiträge: 43
  • Beigetreten: 11. Juni 05
  • Reputation: 1

geschrieben 12. November 2005 - 15:36

Moin moin,
danke erstmal für Eure Hilfe und Tipps zu meinem Problem.Dieses Forum ist echt super,und ich habe mittlerweile auch das Problem behoben.Danke nochmal.
Nun ganz kurz zu meinem emule.Ich ziehe mir ledeglich Sachen herunter,die ich unter anderem mal teste.Ich nutze emule nicht,um illegale Sachen zu ziehen,bzw.weiter zu verteilen.Das nochmal ganz kurz dazu.
Trotzdem Danke nochmal für Eure Tipps und Hilfe.

Grüße aus dem Norden.........
mecky
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0