11.10.2007, 13:44
|
#1 |
| |  bin ich clean?
 Hi,
hatte auf diesem rechner einen befall mit einigen trojanern. hab jetzt mal einen clean gemacht und wollte wissen ob ich jetzt sauber bin oder nicht. wenn nicht welche tools noch anzuwennden sind. Zitat:
[Y] Logfile of HijackThis v1.99.1 - Ihre Version sollte aktuell sein.
[WIN98] Platform: Windows 2000 SP4 (WinNT 5.00.2195) -
[Y] MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) - Ihre Version sollte aktuell sein.
[Y] C:\WINNT\System32\smss.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\winlogon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\services.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\lsass.exe - Systemprozess
[Y] C:\WINNT\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\spoolsv.exe - Systemprozess
[AVSCAN] C:\Programme\Avira\AntiVir Server\avguard.exe - Part of AntiVir
[Y] C:\WINNT\system32\Dfssvc.exe -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe - F-PROT Antivirus
[?] C:\WINNT\system32\KHKSManS.exe - Dies ist ein unbekannter Prozess.
[Y] C:\WINNT\System32\llssrv.exe - Lizenz-Verwaltung unter Windows NT
[Y] C:\WINNT\System32\tcpsvcs.exe - TCP/IP Services
[Y] C:\WINNT\System32\sfmsvc.exe -
[Y] C:\WINNT\System32\sfmprint.exe - MacPrint Service
[Y] C:\PROGRA~1\MSSQL\binn\sqlservr.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\.*micros.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Microsoft SQL Server
[Y] C:\WINNT\system32\ntfrs.exe -
[Y] C:\WINNT\System32\nvsvc32.exe - Nicht gefährlich aber unnötig. NVIDIA graphics card driver
[Y] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\System32\locator.exe - RPC Locator
[Y] C:\Programme\TapeWare\TWWINSDR.EXE -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\WINNT\System32\WBEM\WinMgmt.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\TightVNC\WinVNC.exe - Win VNC
[Y] C:\WINNT\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\System32\inetsrv\inetinfo.exe - Used by MS Internet Information Server (IIS).
[Y] C:\WINNT\System32\ismserv.exe -
[Y] C:\WINNT\Explorer.EXE - Systemprozess für Desktop und Taskleiste.
[Y] C:\WINNT\Anvshell.exe - Asus Video Cards
[Y] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - Hewlett Packard Software Update
[Y] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - Part of Hewlett Packard
[Y] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe - F-Prot Antivirus Tray Icon
[Y] C:\WINNT\system32\internat.exe - Systemprozess - Application that provides multi-language support on keyboards for Microsoft Windows programs.
[Y] C:\WINNT\system32\RUNDLL32.EXE - RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
[Y] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - Nicht gefährlich aber unnötig. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\****************\****************.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\MSSQL\Binn\sqlmangr.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\microsoft sql server\80\tools\binn\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
[Y] C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\WINNT\system32\taskmgr.exe - Task Manager von Windows.
[Y] C:\Programme\Mozilla Firefox\firefox.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Dokumente und Einstellungen\Administrator\Desktop\PROCEXP.EXE - Syinternals Process-Explorer
[?] C:\Programme\FreeDNS Update\FreeDNSUpdate.exe - Dies ist ein unbekannter Prozess.
[?] C:\Programme\FreeDNS Update\FDNSUSVC.exe - Dies ist ein unbekannter Prozess.
[Y] C:\WINNT\system32\cleanmgr.exe - Windows Cleanmanager
[Y] C:\Programme\Internet Explorer\IEXPLORE.EXE - Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
[Y] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.734\HijackThis.exe - Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm - Diese Seite wurde als gut identifiziert!
[Y] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, h**p://www.adobe.com/products/acrobat/re adstep2.html
[Y] O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - SDhelper.dll - Spybot - Search & Destroy, h**p://spybot.eon.net.au/
[Y] O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll - pxbho.dll - Prevx, h**p://netsecurity.about.com/gi/dynamic/ offsite.htm?zi=1/XJ&sdn=netsecurity&zu=h ttp%3A%2F%2Fwww.prevx.com%2Fprevxhome.as p Malicious Scripts Scanner
[Y] O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx - msdxm.ocx - Internet Explorer Radio Bar
[Y] O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe - System Tray tool for ASUS video cards. If disabled you lose all the ASUS specific video card options in Control Panel -> Display Properties -> Advanced as well as the System Tray shortcuts toolbar
[Y] O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup - Nicht bekanntes Programm.
[Y] O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe - Part of Hewlett-Packard Deskjet
[Y] O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - Nicht gefährlich aber unnötig. HP software updates. If a shortcut doesn't exist
[Y] O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - Detection of new imaging, printing and other peripherals on HP machines such as USB printers, cameras and Bluetooth products
[Y] O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper - WinVNC is an application that allows you to remote control your PC from another PC somewhere on the internet
[Y] O4 - HKLM\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe - Fuzzy Algorithmusprüfung (4.11 / 5.00), Sicher
[Y] O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe - Fuzzy Algorithmusprüfung (4.13 / 5.00), Sicher
[Y] O4 - HKLM\..\Run: [Microsoft Update] C:\WINNT\system32\mdm.exe - Fuzzy Algorithmusprüfung (3.89 / 5.00), Sicher
[Y] O4 - HKCU\..\Run: [internat.exe] internat.exe - Nicht gefährlich aber unnötig. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit - Part of NVidia
[Y] O4 - HKCU\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe - Fuzzy Algorithmusprüfung (4.11 / 5.00), Sicher
[Y] O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe - Anti Spyware Tool
[Y] O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\MSSQL\Binn\sqlmangr.exe - Nicht gefährlich aber unnötig. SQL Server Service Manager - provides tray access to SQL server, the server agent and MSDTC. Available via Start -> Programs
[Y] O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE -
[Y] O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE - Nicht gefährlich aber unnötig. Offers a virtual printer as a fax machine. Can be run via a desktop shortcut
[Y] O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present - Fixen, wenn nicht bewusst herbeigeführt! Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - Fuzzy Algorithmusprüfung (4.43 / 5.00), Sicher
[Y] O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - Fuzzy Algorithmusprüfung (4.43 / 5.00), Sicher
[Y] O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll - Die meisten Einträge in diesem Abschnitt sind sicher. Nur OnFlow fügt hier ein unerwünschtes Plugin ein. OnFlow-Plugins haben die Erweiterung *.ofb.
[Y] O14 - IERESET.INF: START_PAGE_URL=h**p://www.sagekhk.de - Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.
[Y] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/...b?1191222766906 - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - h**p://inquiero.itcompany.at/inquiero/mod/...tivex118_24.cab - Dieser Eintrag wurde als gut identifiziert!
[?] O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[?] O17 - HKLM\System\CCS\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68 - Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.
[Y] O17 - HKLM\System\CCS\Services\Tcpip\..\{86E8191B-6027-464D-81E4-B19D140EA068}: NameServer = 127.0.0.1 - Die Eingegebene IP oder Domäne '127.0.0.1' wurde als gut identifiziert.
[Y] O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAE2990-D265-47A6-B526-19B63B722DE4}: NameServer = 127.0.0.1 - Die Eingegebene IP oder Domäne '127.0.0.1' wurde als gut identifiziert.
[?] O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[?] O17 - HKLM\System\CS1\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68 - Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.
[?] O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[Y] O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll - Part of Super Antispyware
[?] O20 - Winlogon Notify: ssqponm - C:\WINNT\ -
[Y] O23 - Service: Avira AntiVir Downloader (AntiVirDownloader) - Avira GmbH - C:\Programme\Avira\AntiVir Server\dwldsvc.exe - Fuzzy Algorithmusprüfung (4.51 / 5.00), Sicher
[AVSCAN] O23 - Service: Avira AntiVir Server (AntiVirService) - AVIRA GmbH - C:\Programme\Avira\AntiVir Server\avguard.exe - Dieser Dienst (avguard.exe) wurde als gut identifiziert.
[Y] O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe - Dieser Dienst (dmadmin.exe) wurde als gut identifiziert.
[Y] O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe - Dieser Dienst (FPAVServer.exe) wurde als gut identifiziert.
[?] O23 - Service: FreeDNS Update (FreeDNSUpdate) - TechKnow Professional Services - C:\Programme\FreeDNS Update\FDNSUSVC.exe - Unbekannter Dienst. (FDNSUSVC.exe)
[?] O23 - Service: Sage Mehrbenutzerdienst (KHK Office Line Dienst) - Sage KHK Software - C:\WINNT\system32\KHKSManS.exe - Unbekannter Dienst. (KHKSManS.exe)
[Y] O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe - Dieser Dienst (nvsvc32.exe) wurde als gut identifiziert.
[Y] O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe - Dieser Dienst (PXAgent.exe) wurde als gut identifiziert.
[Y] O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe - Dieser Dienst (Registry.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE - Dieser Dienst (TWWINSDR.EXE) wurde als gut identifiziert.
[Y] O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing) - Dieser Dienst (WinVNC.exe) wurde als gut identifiziert.
[?] O23 - Service: Windows Management Service (wms) - Unknown owner - C:\WINNT\system32\wms.exe (file missing) - Unbekannter Dienst. (wms.exe)
| danke im voraus.
gruz
|
Baum-Darstellung