  | |
| Malware verdacht Bitte um hijackthis.log auswertung | |
|
Von: Keimling * am 02.01.2007 Scan saved at 17:32:31, on 02.01.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe D:\NORTON~1\NORTON~3\GHOSTS~2.EXE c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe D:\NORTON~1\NORTON~1\NPROTECT.EXE D:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\khooker.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\system32\sistray.EXE C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Sitecom\Bluetooth Software\BTTray.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\WinRAR\WinRAR.exe C:\DOKUME~1\Steffen\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe Reader 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Corel Family & Friends Erinnerungsfunktionen.LNK = D:\Corel Print House\cffrem.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A4697DF-8860-43B0-B947-7EDBF6E5BBA9}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{41DAB95D-8FD9-4AF8-B944-13F078858602}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{81FF7B38-2F28-4A52-B506-DC45348D4660}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{B95F6630-C2BF-4910-88A2-28BEC88794D3}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.29 85.255.112.109 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.29 85.255.112.109 O17 - HKLM\System\CS2\Services\Tcpip\..\{009CFDEC-CE7E-4622-B9CA-49BDFEA079DF}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.29 85.255.112.109 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~1\NORTON~3\GHOSTS~2.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE Ja das is der log könnte mir pls wer helfen ob noch was zu retten ist und wenn ja wie? | |
|
Antwort 1 von Sir Reklov am 02.01.2007 da ist nichts mehr zu retten,außer deiner nackten Haut vielleicht...  Grund dafür ist das hier : Zitat Ein völlig ungepatchtes System !!Wer so dämlich ist,sich mit einem solchen verwundbarem System im Netz rumtreibt,dem ist nicht mehr zu helfen... Kannst du eigentlich russisch ?  Ich frage nur weil dein Provider dort momentan herkommt...  Falls es nämlich Stress gibt,bei der Abrechnung,solltest du in russisch dagegen protestieren können... Dem Staaatsanwalt, der dir vielleicht demnächst seine Aufwartung macht,hingegen,kannst du in deutsch deine Unschuld beteuern.. Den Service Pack 2 besorgen und ganz schnell neu aufsetzen !! Sir Reklov | |
|
Antwort 2 von HELP am 02.01.2007 die Angelegenheit ist ernst aber nicht hoffnungslos ! Fixe umgehend diesen Eintrag aus dem Logfile of HijackThis O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe und alle 8 O17 Einträge! Boote den PC neu überprüfe deinen PC Anschluss dringend mit dem Freeware Online-Scanner von F-Secure. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion. Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab! Deaktiviere zuerst die Systemwiederherstellung von Windows XP. Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien, ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner, http://www.ccleaner.com/ccdownload.asp und führe den Befehl Cleaner aus. F-Secure Online Scanner http://support.f-secure.com/enu/home/ols.shtml (Einige wenige Teile der Software sind in Englisch) Wähle die Option Vollständiger Systemscan Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido vorgenommen werden. Zum Teil in Englisch und nur für Windows XP und 2000 http://www.ewido.net/de/onlinescan/ Gut bei der Spyware / Adware Erkennung und Beseitigung. Wenn Malware entdeckt, muss nach dem Scan der Button Remove Infections gedrückt werden, damit die Schadprogrammen automatisch beseitigen. (Eventuellen Meldungen beim Scan von Ewido unter TrackingCookie sind harmlos und stellen keine akute Gefahr dar) Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier ! Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder. Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier. Wichtig und der nächste Schritt ! Das Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt. Hier muss unbedingt gehandelt werden! Nur mit SP2 und allen folgenden Patches ist Windows XP ausreichend vor Gefahren geschützt. Bitte umgehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen. Updates Links für Windows XP: Service Pack 2, ca. 265MB: http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de Sicherheitspatches nach SP2, ca. 90MB: http://download.winboard.org/details.php?file=42 | |
|
Antwort 3 von Vaderrr am 04.01.2007 Zitat Kannst du eigentlich russisch ? Grin Mal ne Frage: Woher weisst du von welchem Land der Provider stammt ---> mit Hilfe von diesem Hijackthis Log?? --> Wie machst du das?Ich frage nur weil dein Provider dort momentan herkommt... Cool Falls es nämlich Stress gibt,bei der Abrechnung,solltest du in russisch dagegen protestieren können. Vaderrr | |
|
Antwort 4 von tremor4fun **** am 04.01.2007 Kannst du eigentlich russisch ? Spricht man in der Ukraine wirklich russisch? (Nur mal so interessehalber!) | |
|
Antwort 5 von Vaderrr am 04.01.2007  ?? | |
|
Antwort 6 von tremor4fun **** am 04.01.2007  | |
|
Antwort 7 von Vaderrr am 04.01.2007 | |
|
Antwort 8 von Sir Reklov am 04.01.2007 um die Frage von "tremor4fun" zu beantworten ,kann man www.wikipedia.de aufsuchen..... Die Whois -Abfrage läßt sich hier bequem machen http://www.iks-jena.de/cgi-bin/whois Die ukrainische IP ist recht bekannt,wenn man sich mit dem Thema beschäftigt.Ist aber leicht mit dem "Arcor-Provider" zu verwechseln,Die haben ähnliche,also immer erst vorher gegenchecken,bevor ihr jemanden in Panik versetzt..... Sir Reklov | |
|
Antwort 9 von tremor4fun **** am 04.01.2007 Ukraine: Amtssprache: Ukrainisch Quelle: www.wikipedia.de man, man, man, alles muss man alleine machen | |
| « zurück | Antworten |
