Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: host.bigforce.info - Logdatei prüfen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.04.2006, 10:20   #1
haaber73
 
host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Hallo,
auf einem W2K-Rechner öffnen sich immer DFÜ-Fenster, die eine Verbindung zu "host.bigforce.info" herstellen wollen (keine Online-Verbindung, sondern manuelle ISDN-Einwahl). Nach einigem Wegklicken schmiert die Kiste ab. Hier mal ein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:53:21, on 13.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wumd.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\cms1\Desktop\HijackThis.exe

O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk
O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk
O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.250.106 banesnet.banesto.es
O1 - Hosts: 216.180.250.106 extranet.banesto.es
O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it
O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.250.106 oi.cajamadrid.es
O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com
O1 - Hosts: 216.180.250.106 banking.postbank.de
O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de
O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.250.106 ibank.cahoot.com
O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk
O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it
O1 - Hosts: 216.180.250.106 mybank.bybank.it
O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com
O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk
O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\mmf32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Alt 13.04.2006, 14:00   #2
Sunny
Administrator
> Competence Manager
 

host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Moinsen,

da hast du aber einiges im System!

1. Lass folgende Datei bei VIRUSTOTAL überprüfen und poste das Ergebnis.

C:\WINNT\system32\wumd.exe
diese deutet auf Malware hin!

2. Lade dir die Killbox runter (Link in meiner Signatur)
folgende Datei löschen lassen (Delete on Reboot --> anhaken)
C:\WINNT\system32\mmf32.exe
denn diese ist für Punkt 3. Verantwortlich!

Fixe mit HijackThis im abgesicherten Modus und bei ausgeschalteter Systemwiederherstellung folgende Zeilen:

O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk
O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk
O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.250.106 banesnet.banesto.es
O1 - Hosts: 216.180.250.106 extranet.banesto.es
O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it
O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.250.106 oi.cajamadrid.es
O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com
O1 - Hosts: 216.180.250.106 banking.postbank.de
O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de
O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.250.106 ibank.cahoot.com
O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk
O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it
O1 - Hosts: 216.180.250.106 mybank.bybank.it
O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com
O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk
O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk

sofern du diese Domäne bzw. IP nicht kennst, bitte auch fixen!
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net

Gruß
Daniel
__________________

__________________

Alt 13.04.2006, 14:04   #3
Wildone
 
host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Hallo,
wenn ich das hier lese:
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
wird mir ganz anders, da gibt es doch gerade mit an Sicherheit grenzender Wahrscheinlichkeit vollen Zugriff auf Kundendaten...


Grüße Wildone
__________________

Alt 13.04.2006, 14:13   #4
Sunny
Administrator
> Competence Manager
 

host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Zitat:
Zitat von Wildone
vollen Zugriff auf Kundendaten...
was heisst das nun genau? Bin ein wenig überfragt..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 13.04.2006, 14:23   #5
Wildone
 
host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Hallo,
naja ich spekuliere schon das hier ein Backdoor im Spiel ist, normalerweise werden BankIPs (in der host) nicht zum Spass umgeleitet. Und das kürzel praxis.net deutet für mich darauf hin das der Computer wohl zu einer Arztpraxis oder einem Anwaltsbüro gehören wird, das dort jede Menge sensibler Daten ausgelesen werden können muss ich wohl nicht betonen.


Grüße Wildone


Alt 13.04.2006, 15:03   #6
dartus
 
host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Hallo,

das System ist mit Sicherheit backdoorverseucht.
Bei einem Privatrecher ist klar was anzuraten ist, andernfalls sind wir nicht zuständig.

dartus
__________________
--> host.bigforce.info - Logdatei prüfen

Alt 14.04.2006, 13:13   #7
haaber73
 
host.bigforce.info - Logdatei prüfen - Standard

host.bigforce.info - Logdatei prüfen



Hallo,

danke für die Infos; was kann ich denn für die Zukunft tun, um zu vermeiden, dass so etwas wieder auftritt?

Danke,

Bernd

Antwort

Themen zu host.bigforce.info - Logdatei prüfen
acrobat, adobe, antivir, bho, button, desktop, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, kis, links, logdatei, logfile, microsoft, programme, prüfen, software, system, system32, update, verbindung, windows



Ähnliche Themen: host.bigforce.info - Logdatei prüfen


  1. Logdatei Auswertung
    Log-Analyse und Auswertung - 01.06.2012 (1)
  2. Logdatei zur Auswertung
    Log-Analyse und Auswertung - 19.05.2012 (1)
  3. BKA-Trojaner - Logdatei
    Log-Analyse und Auswertung - 15.08.2011 (16)
  4. Kein zugrif auf Host file beim scan C:7windows/system327driver/etc/host
    Log-Analyse und Auswertung - 09.11.2010 (1)
  5. Malwarebytes Logdatei
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (2)
  6. Fremdzugriff auf PC-Logdatei checken
    Log-Analyse und Auswertung - 27.12.2009 (1)
  7. Bitte Logdatei überprüfen
    Log-Analyse und Auswertung - 29.07.2009 (2)
  8. hs_err_pid3084 Logdatei
    Plagegeister aller Art und deren Bekämpfung - 14.05.2009 (0)
  9. Auswertung der HiJackThis Logdatei
    Log-Analyse und Auswertung - 26.01.2009 (3)
  10. Logdatei prüfen
    Mülltonne - 09.11.2008 (0)
  11. host.bigforce.info
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (4)
  12. gelockter Trojaner + logdatei
    Log-Analyse und Auswertung - 12.10.2005 (2)
  13. Logdatei
    Log-Analyse und Auswertung - 05.02.2005 (3)
  14. Bitte Logfile prüfen (searchfind.info)
    Log-Analyse und Auswertung - 03.09.2004 (2)
  15. logdatei
    Plagegeister aller Art und deren Bekämpfung - 09.04.2004 (1)
  16. ZA und logdatei?
    Antiviren-, Firewall- und andere Schutzprogramme - 19.01.2003 (4)

Zum Thema host.bigforce.info - Logdatei prüfen - Hallo, auf einem W2K-Rechner öffnen sich immer DFÜ-Fenster, die eine Verbindung zu "host.bigforce.info" herstellen wollen (keine Online-Verbindung, sondern manuelle ISDN-Einwahl). Nach einigem Wegklicken schmiert die Kiste ab. Hier mal ein - host.bigforce.info - Logdatei prüfen...
Archiv
Du betrachtest: host.bigforce.info - Logdatei prüfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.