| |
| |||||||
Log-Analyse und Auswertung: host.bigforce.info - Logdatei prüfenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
13.04.2006, 10:20
| #1 |
 |  host.bigforce.info - Logdatei prüfen Hallo, auf einem W2K-Rechner öffnen sich immer DFÜ-Fenster, die eine Verbindung zu "host.bigforce.info" herstellen wollen (keine Online-Verbindung, sondern manuelle ISDN-Einwahl). Nach einigem Wegklicken schmiert die Kiste ab. Hier mal ein logfile: Logfile of HijackThis v1.99.1 Scan saved at 09:53:21, on 13.04.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\wumd.exe C:\WINNT\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINNT\system32\internat.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Dokumente und Einstellungen\cms1\Desktop\HijackThis.exe O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk O1 - Hosts: 216.180.250.106 banesnet.banesto.es O1 - Hosts: 216.180.250.106 extranet.banesto.es O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk O1 - Hosts: 216.180.250.106 oi.cajamadrid.es O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com O1 - Hosts: 216.180.250.106 banking.postbank.de O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk O1 - Hosts: 216.180.250.106 ibank.cahoot.com O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it O1 - Hosts: 216.180.250.106 mybank.bybank.it O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\mmf32.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe |
|
13.04.2006, 14:00
| #2 |
| Administrator > Competence Manager  | host.bigforce.info - Logdatei prüfen Moinsen,
__________________da hast du aber einiges im System! 1. Lass folgende Datei bei VIRUSTOTAL überprüfen und poste das Ergebnis. C:\WINNT\system32\wumd.exe diese deutet auf Malware hin! 2. Lade dir die Killbox runter (Link in meiner Signatur) folgende Datei löschen lassen (Delete on Reboot --> anhaken) C:\WINNT\system32\mmf32.exe denn diese ist für Punkt 3. Verantwortlich! Fixe mit HijackThis im abgesicherten Modus und bei ausgeschalteter Systemwiederherstellung folgende Zeilen: O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk O1 - Hosts: 216.180.250.106 banesnet.banesto.es O1 - Hosts: 216.180.250.106 extranet.banesto.es O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk O1 - Hosts: 216.180.250.106 oi.cajamadrid.es O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com O1 - Hosts: 216.180.250.106 banking.postbank.de O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk O1 - Hosts: 216.180.250.106 ibank.cahoot.com O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it O1 - Hosts: 216.180.250.106 mybank.bybank.it O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk sofern du diese Domäne bzw. IP nicht kennst, bitte auch fixen! O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net Gruß Daniel
__________________ |
|
13.04.2006, 14:04
| #3 | |
  | host.bigforce.info - Logdatei prüfen Hallo,
__________________wenn ich das hier lese: Zitat:
Grüße Wildone |
|
13.04.2006, 14:13
| #4 | |
| Administrator > Competence Manager | host.bigforce.info - Logdatei prüfenZitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.04.2006, 14:23
| #5 |
| | host.bigforce.info - Logdatei prüfen Hallo, naja ich spekuliere schon das hier ein Backdoor im Spiel ist, normalerweise werden BankIPs (in der host) nicht zum Spass umgeleitet. Und das kürzel praxis.net deutet für mich darauf hin das der Computer wohl zu einer Arztpraxis oder einem Anwaltsbüro gehören wird, das dort jede Menge sensibler Daten ausgelesen werden können muss ich wohl nicht betonen. Grüße Wildone |
|
13.04.2006, 15:03
| #6 |
 | host.bigforce.info - Logdatei prüfen Hallo, das System ist mit Sicherheit backdoorverseucht. Bei einem Privatrecher ist klar was anzuraten ist, andernfalls sind wir nicht zuständig. dartus
__________________ --> host.bigforce.info - Logdatei prüfen |
|
14.04.2006, 13:13
| #7 |
| | host.bigforce.info - Logdatei prüfen Hallo, danke für die Infos; was kann ich denn für die Zukunft tun, um zu vermeiden, dass so etwas wieder auftritt? Danke, Bernd |
|
| Themen zu host.bigforce.info - Logdatei prüfen |
| acrobat, adobe, antivir, bho, button, desktop, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, kis, links, logdatei, logfile, microsoft, programme, prüfen, software, system, system32, update, verbindung, windows |
Linear-Darstellung
