| |
| |||||||
Log-Analyse und Auswertung: Hartnäckiges Teil, wie fixe ich das bei W2K?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
03.09.2005, 10:24
| #1 |
| |  Hartnäckiges Teil, wie fixe ich das bei W2K? Need a little help from my friends.... Zunächst mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 10:54:52, on 03.09.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe E:\Programme\sygate\spf\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\Rpcmon.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\htpatch.exe C:\WINNT\system32\RunDll32.exe C:\Program Files\BusinessOnline\bolog.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Logitech\iTouch\iTouch.exe E:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe E:\Programme\Winfast\WFWIZ.exe E:\programme\quicktime\qttask.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\internat.exe C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe E:\Programme\Pinacle\InstantCDDVD\InstantWrite\iwctrl.exe E:\Programme\D\D-Info\D-Info\dinfostarter.exe E:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\BusinessOnline\BODialer.exe G:\Downloads\Anwendungen\Antivir, Firewall, etc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von BusinessOnline O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Program Files\BusinessOnline\bolog.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [gcasServ] "E:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [WinFast Schedule] E:\Programme\Winfast\WFWIZ.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [SmcService] E:\Programme\sygate\spf\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] E:\Programme\Pinacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Info Starter.lnk = E:\Programme\D\D-Info\D-Info\dinfostarter.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - E:\Programme\D\D-Info\D-Info\html\toolbarscript.html O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - E:\Programme\D\D-Info\D-Info\html\toolbarscript.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .htm: C:\Program Files\Netscape\Netscape Browser\PLUGINS\npTrident.dll O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30a23413...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124209975531 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1124210210156 O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/...chsettings.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F9A3CDCE-625F-4F7D-BAD2-3FDE7AF0D0AC}: NameServer = 217.237.148.17 217.237.148.49 O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\sygate\spf\smc.exe Es geht mir um den vorletzten Eintrag: O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) Lässt sich einfach nicht "fixen". Nun lese ich hier von Systemwiederherstellung deaktivieren usw. - geht bei Win2K aber nicht, oder? Was tun? |
|
03.09.2005, 10:33
| #2 |
   | Hartnäckiges Teil, wie fixe ich das bei W2K? du hast einen backdoor auf dem system. fast hätte ichs nicht bemerkt. nämlich den da
__________________ich bin mir nicht ganz so sicher. deshalb lass mal die datei C:\WINNT\system32\Rpcmon.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis. |
|
03.09.2005, 11:55
| #3 | |
| | Hartnäckiges Teil, wie fixe ich das bei W2K?Zitat:
|
|
03.09.2005, 12:04
| #4 |
 | Hartnäckiges Teil, wie fixe ich das bei W2K? Die Datei mußt du nimmer suchen. Hier handelt es sich tatsächlich um den Randex-Wurm, da dieser Backdoorfunktionalität hat, isz dein System als kompromittiert anzusehen und asap neu aufzusetzen. Nutze dazu bitte folgende Anleitung: http://www.trojaner-board.de/showthread.php?t=12154 um ähnliches in Zukunft zu vermeiden.
__________________  Only cronos endures |
|
| Themen zu Hartnäckiges Teil, wie fixe ich das bei W2K? |
| adobe, antispyware, antivir, anwendungen, bho, boot, dll, ellung, explorer, firewall, help, hijack, hijackthis, html, internet, internet explorer, logfile, microsoft, programme, rundll, search settings, software, system, system32, systemwiederherstellung, update, was tun, windows, write |
Linear-Darstellung
