Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.07.2006, 16:13   #1
kord
 
Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Standard

Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile



Hallo Leute,

als ich heute einen zusätzlichen Online-Virenscanscan durch Trend-Micro-Housecall durchführte ergab sich angeblich folgende Infektion:
- Hackingtools_Bruteforce
- Spyware_Trak_Pwstealer

Was mich jedoch etwas verwundert, denn:
- mit dem Rechner gehe ich nur selten ins Netz
- ich habe CA-ETrust Antivirus instlliert

Auch befindet sich der Rechner hinter einem Server mit Firewall (AVM "Ken!Dsl") und Symantec-Viruskiller.

Zur Sicherheit und um mir eine Neuinstallation zu ersparen (Seufz) machte ich noch einen Online-Scan via:
- McAffee
- Symantec

Zusätzlich dazu noch einen Scan mit Free-AV.

McAffee (online), Symantec (online), Free-AV (installiert) fanden jedoch keine Infektionen.

Vielleicht könnte jemand von Euch ja mal einen helfenden Blick auf mein HijackThis-Log werfen und mir sagen ob sich darin eine Auffälligkeit findet. Da es sich im schlimmsten Fall um einen Key-Logger handeln könnte müsste ich nachvollziehen wann sich das Viech eingenistet hat, wenn Ihr im Log was findet zeigt mir bitte die entsprechende Zeile damit ich prüfen kann wann die Dateien sich eingenistet haben.

Ich habe mir das Log zwar selber schon angeschaut aber da ich kein Experte in diesem Bereich bin könnte ich Rat gut brauchen.



Hier also das Log für den "Administrator-User":
-----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:57:03, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\dfue\KEN!\KENCLI.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\dfue\KEN!\kentbcli.exe
C:\Programme\syst\Sun-Java\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\gsfx\USBRadio\QuickRadio.exe
C:\Programme\gsfx\iTunes\iTunesHelper.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\text\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\syst\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\User-Notebook\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.115.3:3128/ken2000.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.115.3:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.3:3128;https=192.168.115.3:3128;ftp=192.168.115.3:3128;socks=192.168.115.3:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\text\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\dfue\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\syst\Sun-Java\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickRADIO] C:\Programme\gsfx\USBRadio\\QuickRadio.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\gsfx\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\text\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124107005995
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4805/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEA981F0-B313-4769-8545-FDB9AD4F37C9}: NameServer = 192.168.115.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\dfue\KEN!\KENCLI.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

-----------------------------------------------


Gruss aus Hamburg,
Kord

Alt 17.07.2006, 16:21   #2
rock
 
Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Standard

Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile



Zitat:
Zitat von kord
Hallo Leute,
angeblich folgende Infektion:
- Hackingtools_Bruteforce
- Spyware_Trak_Pwstealer
McAffee (online), Symantec (online), Free-AV (installiert) fanden jedoch keine Infektionen.
gabs da auch einen hinweis wo das beanstandet wurde?? wenn du den trendmicro onlinescan gemacht hast, sollte wo ein trendmicro ordner am pc sein. wo eventuell eien datei mit dem ergebnis liegt...(such sicherheitshalber mit der suche nach allen dateien und ordnern danach, ich weis jetzt nicht wo sich der anlegt)

wenn es da nichts ergibt ist es auch nicht schlimm...möglicherweise stört sich der onlinescan an diesem html. eintrag.
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html

stell fest ob sich das so gehört.
__________________


Alt 17.07.2006, 16:28   #3
kord
 
Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Standard

Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile



Zitat:
Zitat von rock
gabs da auch einen hinweis wo das beanstandet wurde??
Leider nein, der kostenlose Onlinescan ist da nicht so informativ.

Zitat:
Zitat von rock
wenn du den trendmicro onlinescan gemacht hast, sollte wo ein trendmicro ordner am pc sein.
Ich schau mal nach.

Zitat:
Zitat von rock
möglicherweise stört sich der onlinescan an diesem html. eintrag.
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html
Das ist die Startseite von "Ken!DSL" auf dem Server. Der IE wurde so von Ken eingestellt. Das ist in Ordnung.

Schon mal danke für die schnelle Antwort!

Gruss,
Kord
__________________

Alt 17.07.2006, 16:31   #4
rock
 
Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Standard

Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile



Das ist die Startseite von "Ken!DSL" auf dem Server. Der IE wurde so von Ken eingestellt. Das ist in Ordnung.
[/quote]

dann sollte es passen.

Alt 17.07.2006, 16:50   #5
kord
 
Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Standard

Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile



[/quote]dann sollte es passen. [/QUOTE]

Dir fällt also nichts ungewöhnliches auf?

Das erleichtert schon mal.
Danke für die Hilfe.

Gruss,
Kord


Antwort

Themen zu Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile
adobe, adobe reader, alert, antivirus, antivirus scan, bho, bruteforce, computer, cyberlink, desktop, dsl, einstellungen, explorer, firewall, ftp, hacking, handel, hijack, internet, internet explorer, key-logger, launch, monitor, mssql, notification, prüfen, regsvr32, rundll, scan, server, sicherheit, software, spyware, system, trend micro, windows, windows xp



Ähnliche Themen: Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile


  1. Bitte um logfile Auswertung
    Log-Analyse und Auswertung - 21.11.2010 (4)
  2. Auswertung Logfile nach Virenscan u -Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  3. bitte auswertung von logfile
    Mülltonne - 25.07.2008 (1)
  4. !! Bitte um Logfile-Auswertung !!
    Mülltonne - 12.05.2008 (0)
  5. Bitte um LogFile Auswertung
    Log-Analyse und Auswertung - 09.05.2008 (1)
  6. Bitte um Logfile Auswertung
    Mülltonne - 11.02.2008 (0)
  7. Bitte Logfile Auswertung!!!
    Mülltonne - 16.06.2007 (1)
  8. Bitte um Logfile-Auswertung
    Log-Analyse und Auswertung - 31.03.2007 (1)
  9. Bitte Um Logfile auswertung
    Mülltonne - 30.03.2007 (0)
  10. Bitte um Logfile Auswertung!
    Log-Analyse und Auswertung - 04.11.2006 (9)
  11. LogFile Auswertung bitte ! HELP !!!
    Log-Analyse und Auswertung - 26.10.2006 (3)
  12. Pwtrack nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile
    Log-Analyse und Auswertung - 21.07.2006 (13)
  13. Logfile Auswertung bitte!!!
    Log-Analyse und Auswertung - 15.12.2005 (9)
  14. bitte um auswertung der logfile
    Log-Analyse und Auswertung - 24.08.2005 (1)
  15. Bitte um Logfile Auswertung
    Log-Analyse und Auswertung - 28.01.2005 (3)
  16. Logfile Auswertung bitte?
    Log-Analyse und Auswertung - 03.01.2005 (3)
  17. Auswertung von escan Virenscan - Bitte um Hilfe und Tips
    Plagegeister aller Art und deren Bekämpfung - 04.12.2004 (2)

Zum Thema Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile - Hallo Leute, als ich heute einen zusätzlichen Online-Virenscanscan durch Trend-Micro-Housecall durchführte ergab sich angeblich folgende Infektion: - Hackingtools_Bruteforce - Spyware_Trak_Pwstealer Was mich jedoch etwas verwundert, denn: - mit dem Rechner - Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile...
Archiv
Du betrachtest: Pwtrack und Bruteforce nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.