Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: High Jack Log 21.01.2005 - Paar Fragen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.01.2005, 18:39   #1
L. S. G.
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Hallo zusammen,

erstmal danke dass es dieses Forum gibt. Hier hab ich schon einiges an Hilfe finden können. Nun aber zu meinem eigentlichen Problem. Nämlich:

Kann ich nicht ganz diese Sachen nachvollziehen:

Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 19:35:29, on 21.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ANTI-L~1\ALIE_1~1.6\alhlp.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Dokumente und Einstellungen\David\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Security Agent Manager] mssams.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106137309078
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCCD69C6-9F1A-4924-B1E4-B073F726719B}: NameServer = 81.89.96.11 81.89.96.12
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
Habe Win XP Prof. seit vorgestern [ 19.01.2005 ] installiert und sofort alle Updates gemacht. Vielleicht hat jmd. ne Idee, wo ich mir diese Sachen alle erklären lassen kann?

Danke schonmal für die Tips.

Alt 21.01.2005, 18:41   #2
HerrKautz
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Hallo,

dein Problem ist der hier http://www.sophos.de/virusinfo/analyses/w32rbotsv.html

Das bedeutet leider für dich Format c: und zwar nach dieser Anleitung

http://www.trojaner-board.de/showthread.php?t=12154

Gruss
__________________


Alt 21.01.2005, 18:54   #3
L. S. G.
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



wie kommst du denn auf diese Meldung? Ich würd gern wissen, wie bzw. wo du das gesehen hast
__________________

Alt 21.01.2005, 18:57   #4
cacatoa
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Einmischung:
Das:
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
ist er.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 21.01.2005, 18:58   #5
L. S. G.
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Hab ich mir gedacht. Also muss ich net alles löschen?


Alt 21.01.2005, 19:00   #6
cacatoa
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Eben gerade deswegen schon!
cacatoa
__________________
--> High Jack Log 21.01.2005 - Paar Fragen

Alt 21.01.2005, 19:02   #7
L. S. G.
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Reicht es nicht, den Wurm und die dazugehörenden Registry Einträge zu löschen und ein von dir empfohlenes Antivirus Scan Programm laufen zu lassen?

Alt 21.01.2005, 19:06   #8
chaosman
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



@L. S. G.
nein! du bist dir dann nicht sicher wirklich alles aus der registry zu entfernen.

W32/Rbot-SV ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalitäten und ermöglicht unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen, während er im Hintergrund als Dienstprozess aktiv ist.

W32/Rbot-SV verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern und über Netzwerkschwachstellen, wenn das Backdoor-Element den entsprechenden Befehl von einem remoten Benutzer erhält.

W32/Rbot-SV kopiert sich in den Windows-Systemordner unter mssams.EXE und erzeugt Einträge an folgenden Stellen in der Registrierung, so dass er beim Systemstart aktiviert wird und versucht, diese jede Minute zurückzusetzen:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Security Agent Manager
mssams.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Security Agent Manager
mssams.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Security Agent Manager
mssams.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
Security Agent Manager
mssams.EXE

W32/Rbot-SV fügt folgende Registrierungseinträge hinzu und versucht, sie alle 2 Minuten zurückzusetzen.

HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM
"N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous
"1"

W32/Rbot-SV versucht, die Netzwerkfreigaben C$, D$, E$, IPC$ und ADMIN$ zu löschen.

W32/Rbot-SV versucht, Prozesse zu beenden, die mit Antiviren- und Sicherheitsprogrammen im Zusammenhang stehen, dazu gehören SWEEP.EXE, REGEDIT.EXE, MSCONFIG.EXE und NETSTAT.EXE.

mache format C

scnr

chaosman
__________________
Bonus vir semper tiro

Alt 21.01.2005, 19:06   #9
cacatoa
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



@ L.S.G.
Nein, das reicht leider nicht.
Du weißt nicht, was der Troj schon verändert, neu eingetragen oder sonst schon gemacht hat. Damit ist Dein System nicht mehr vertrauenswürdig. Bei Backdoor-Trojanern gilt: Neu aufsetzen.
Sorry
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 21.01.2005, 19:07   #10
L. S. G.
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



Hmm...Schade Schade Schade!

Und wieder einen unwissenen gekriegt. Worüber fang ich mir denn sowas ein? Über IE oder irgendwas anderes?

Alt 21.01.2005, 19:08   #11
HerrKautz
 
High Jack Log 21.01.2005 - Paar Fragen - Standard

High Jack Log 21.01.2005 - Paar Fragen



L.S.G

Lies doch bitte einfach mal den Link den ich unten von Cidre gepostet habe,da steht alles drin!


Gruss

Antwort

Themen zu High Jack Log 21.01.2005 - Paar Fragen
adobe, bho, central, danke, desktop, dll, einstellungen, excel, explorer, firewall, frage, hijack, hijackthis, internet, internet explorer, internet security, logfile, nvcpl.dll, nvidia, pdf, programme, rundll, security, software, system, tcpip, trend micro, updates, windows, windows messenger, windows xp



Ähnliche Themen: High Jack Log 21.01.2005 - Paar Fragen


  1. Ein paar Fragen dazu?
    Diskussionsforum - 26.04.2014 (13)
  2. Ein paar allgemeine Fragen zu Malware
    Diskussionsforum - 29.04.2013 (15)
  3. trojaner ruper0dun.exe entfernen ein paar fragen
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (1)
  4. high jack this log auswertung
    Log-Analyse und Auswertung - 13.12.2010 (1)
  5. hab da mal ein paar fragen
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (22)
  6. CID Pop up, HIGH jack anliegend
    Log-Analyse und Auswertung - 06.03.2008 (10)
  7. Auswertung für HJT Datei und ein paar Fragen
    Log-Analyse und Auswertung - 25.12.2007 (0)
  8. Ein paar Fragen...
    Alles rund um Windows - 14.09.2007 (8)
  9. ein paar fragen zu ein paar Prozessen u.d.g.
    Log-Analyse und Auswertung - 18.07.2006 (11)
  10. Mal ein paar Fragen...
    Log-Analyse und Auswertung - 12.05.2005 (22)
  11. Ein paar Fragen zum sicheren installieren von Win XP
    Alles rund um Windows - 12.04.2005 (11)
  12. Logfile High Jack this!
    Log-Analyse und Auswertung - 14.03.2005 (1)
  13. High jack this log
    Log-Analyse und Auswertung - 26.06.2004 (2)
  14. ein paar Fragen
    Alles rund um Windows - 05.10.2003 (7)
  15. Spybot-Ergebnis - ein paar Fragen
    Plagegeister aller Art und deren Bekämpfung - 08.08.2003 (2)
  16. erstma ein paar fragen
    Antiviren-, Firewall- und andere Schutzprogramme - 27.03.2003 (16)
  17. Ein paar Fragen......
    Alles rund um Mac OSX & Linux - 23.10.2002 (10)

Zum Thema High Jack Log 21.01.2005 - Paar Fragen - Hallo zusammen, erstmal danke dass es dieses Forum gibt. Hier hab ich schon einiges an Hilfe finden können. Nun aber zu meinem eigentlichen Problem. Nämlich: Kann ich nicht ganz diese - High Jack Log 21.01.2005 - Paar Fragen...
Archiv
Du betrachtest: High Jack Log 21.01.2005 - Paar Fragen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.