Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijack findet commodo fw nicht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.10.2008, 16:30   #1
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



hallo,

habe eben HijackThis laufen lassen, was auch meine commodo firewall *.exe gesehen hat als laufender prozess.

Die logfileauswertung sagt aber:
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.

Weiss jemand was ich nun denken soll? Ist commode hijack nicht bekannt?

vg Stefan

Alt 11.10.2008, 16:35   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Icon32

hijack findet commodo fw nicht



Hallo,

nicht jede Software-Firewall ist der Datenbank zur Auswertung bei hijackthis.de auch bekannt. Also kein Grund für unnötige Panik.
__________________

__________________

Alt 11.10.2008, 18:11   #3
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen
Hallo,

nicht jede Software-Firewall ist der Datenbank zur Auswertung bei hijackthis.de auch bekannt. Also kein Grund für unnötige Panik.

Danke :-) panik bekomme ich nicht. dachte nur, dass ein bekanntes programm erin anderes bekanntes kennen könnte. Aber ok.

Was ist denn deiner meinung nach z. zt. die einfachste open source (oder kostenlose) fw?

VG S
__________________

Alt 11.10.2008, 19:00   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Icon32

hijack findet commodo fw nicht



Zitat:
Zitat von stefan2602 Beitrag anzeigen
Was ist denn deiner meinung nach z. zt. die einfachste open source (oder kostenlose) fw?
Wenn Du sowas wie Commodo meinst, kann ich keine empfehlen. Wenn überhaupt reicht die Windows-Firewall. => Begründung

Alt 11.10.2008, 19:26   #5
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen
Wenn Du sowas wie Commodo meinst, kann ich keine empfehlen. Wenn überhaupt reicht die Windows-Firewall. => Begründung

Meine win-fw geht seit aufspielen des sp2 nicht mehr und ich habe schon alles versucht.

Nun habe ich aber einen backdoor. ircbot.st bzw mocbot drauf. 36 registryeinträge mit hotkey..........legacy_wgareg. Löschen geht nicht?

Eine wurmexe in der system 32 zu löschen ist leicht, aber hier wirds wohl umständlicher?
Ich will aber auch nicht alles neu machen, also suche ich nach auswegen...

Mein pc läuft übrigens unauffällig!

vg Stefan


Alt 11.10.2008, 20:02   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Icon32

hijack findet commodo fw nicht



Zitat:
Meine win-fw geht seit aufspielen des sp2 nicht mehr und ich habe schon alles versucht.

Nun habe ich aber einen backdoor. ircbot.st bzw mocbot drauf. 36 registryeinträge mit hotkey..........legacy_wgareg. Löschen geht nicht?


Du wunderst Dich, dass die WinFirewall abgeschaltet ist, wenn Du eine Backdoorinfektion hast?

Zitat:
Ich will aber auch nicht alles neu machen, also suche ich nach auswegen...
Kannst Du bei Backdoorbefall vergessen!

Zitat:
Mein pc läuft übrigens unauffällig!
Widerspricht sich überhaupt nicht mit Deinem vorigen Statement, dass die WinFirewall nicht funktioniert.
__________________
--> hijack findet commodo fw nicht

Alt 11.10.2008, 20:19   #7
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen


Du wunderst Dich, dass die WinFirewall abgeschaltet ist, wenn Du eine Backdoorinfektion hast?



Kannst Du bei Backdoorbefall vergessen!



Widerspricht sich überhaupt nicht mit Deinem vorigen Statement, dass die WinFirewall nicht funktioniert.
Der backdoor ist es gekommen als die win-fw schon lange nicht mehr lief unter sp2.
Fürn windows rechner ist das doch unauffällig :-) Er stürzt nicht ab und macht eigentlich immer das was ich will.

Im ernst, warum kann ich den backdoor nicht ohne neuinstall loeschen? Die backdoor-registryeinträge zeigen leider auch auf keine datei! Wie das ja sonst meist der fall ist.

Nachtrag: der backdoor zeigte natürlich doch auf eine wgareg.exe im sys32. Die konnte ich aber im laufenden betrieb umbenennen. Irgendwann hat irgendein scanner gefragt ob ich sie loeschen will und ich habe geloescht. Die exe ist also schon wochen nicht mehr da.
?
vg S

Geändert von stefan2602 (11.10.2008 um 20:30 Uhr)

Alt 12.10.2008, 20:44   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Icon32

hijack findet commodo fw nicht



Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Du hast vllt den Backdoor beseitigt, aber wer kann garantieren, dass nix wesentlich besseres versteckt wurde? Dadurch dass er aktiv war, hatte jmd Vollzugriff auf Deinen PC und wahrscheinlich immer noch.

Zitat:
Der backdoor ist es gekommen als die win-fw schon lange nicht mehr lief unter sp2.
Und das kann ich garnicht nachvollziehen.
Vllt könntest Du mal Dein HijackThis Logfile posten.

Alt 13.10.2008, 09:45   #9
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen
Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Du hast vllt den Backdoor beseitigt, aber wer kann garantieren, dass nix wesentlich besseres versteckt wurde? Dadurch dass er aktiv war, hatte jmd Vollzugriff auf Deinen PC und wahrscheinlich immer noch.



Und das kann ich garnicht nachvollziehen.
Vllt könntest Du mal Dein HijackThis Logfile posten.
Hi, Du hast wohl recht mit dem neuaufsetzen. Mach ich wohl auch die tage, wenn es mich überkommt.

Und hier der Jack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:39, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3651B415-1FA6-44D6-AA6F-076A64D1B09F}: NameServer = 217.237.149.142 217.237.150.205
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: MySql (mysql) - Unknown owner - C:/xampplite/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4090 bytes


Was sagst Du?

Ich habe inzwischen die comodo neu aufgespielt und scan laufen lassen. Die meckert wegen einem trojaner in der winlogon. Das scheint mir aber eine fehlmeldung zu sein, zumal der fehler bei vielen anderen usern auftritt. Selbst bei neuaufgesetzten, die noch keine sekunde im netz waren.

vg Stefan

Alt 13.10.2008, 12:52   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Icon32

hijack findet commodo fw nicht



Zitat:
Zitat von stefan2602 Beitrag anzeigen
Die meckert wegen einem trojaner in der winlogon. Das scheint mir aber eine fehlmeldung zu sein, zumal der fehler bei vielen anderen usern auftritt. Selbst bei neuaufgesetzten, die noch keine sekunde im netz waren.
Ohne wortgenauen Angaben kann man kaum was dazu sagen....

Alt 13.10.2008, 13:00   #11
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen
Ohne wortgenauen Angaben kann man kaum was dazu sagen....
Was meinst du genau? Du kannst zum hijack log nichts sagen? Das hijacklog wurde gemacht als der wgareg noch drauf war. also am samstag.

Erst gestern -sonntag- habe ich comodo neu drauf und es kam: Trojan.Win32.Patched.m(ID = 0x4d69a) C:\WINDOWS\system32\winlogon.exe

vg S.

Alt 13.10.2008, 17:14   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Das HijackThis Logfile ist unauffällig. Heißt aber nicht, dass das System auch sauber ist.

Mit den wortgenauen Angaben meinte ich die Virenwarnung. Welches Programm meldet Dir das? Doch nicht die Commodo-Firewall? Deswegen wortgenaue Angaben, am besten ein Screenshot. Ich denke bei der winlogon.exe liegt eher ein Fehlalarm vor, um das zu überprüfen die angemeckerte Datei mal bei Virustotal überprüfen lassen.

Alt 13.10.2008, 17:30   #13
stefan2602
 
hijack findet commodo fw nicht - Standard

hijack findet commodo fw nicht



Zitat:
Zitat von root24 Beitrag anzeigen
Das HijackThis Logfile ist unauffällig. Heißt aber nicht, dass das System auch sauber ist.

Mit den wortgenauen Angaben meinte ich die Virenwarnung. Welches Programm meldet Dir das? Doch nicht die Commodo-Firewall? Deswegen wortgenaue Angaben, am besten ein Screenshot. Ich denke bei der winlogon.exe liegt eher ein Fehlalarm vor, um das zu überprüfen die angemeckerte Datei mal bei Virustotal überprüfen lassen.

Hi,

doch, die warnung kam aus der comodo. Aber wie ich schon weiter oben gesagt habe, ist es wohl ein fehlalarm, weil niemand auch nicht virustotal die winlogon als befallen meldet.

vg Stefan

Antwort

Themen zu hijack findet commodo fw nicht
aktiver, firewall, gründe, hardware, hijack, hijackthis, keine firewall, laufe, laufen, logfileauswertung, mögliche, stefan, system, verwenden, windows, windows xp



Ähnliche Themen: hijack findet commodo fw nicht


  1. Malwarebytes Anti-Malware geht erst nicht, findet dann Security.Hijack - Ist da noch mehr?
    Log-Analyse und Auswertung - 21.08.2014 (17)
  2. AVG findet 32 Rootkits,kann sie aber nicht eliminieren ,Malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (5)
  3. Win XP - AntiMalware findet PUM.hijack.startmenu in der Registry
    Log-Analyse und Auswertung - 25.08.2013 (8)
  4. Commodo meldet: TrojWare.JS.TrojanDownloader.Expack.SY@284715804
    Log-Analyse und Auswertung - 21.08.2012 (37)
  5. Seltsame Anwendung im Task-Manager / Malwarebytes Anti-Malware findet PUM.Hijack.StartMenu
    Log-Analyse und Auswertung - 09.07.2012 (25)
  6. MBAM findet PUM.Hijack.StartMenu
    Log-Analyse und Auswertung - 25.05.2012 (3)
  7. Rechner startet nicht, weil er die dwlgina3.dll datei nicht findet
    Log-Analyse und Auswertung - 27.01.2012 (41)
  8. BundesPOLIZEI-Trojaner - RescueCD findet ihn nicht, Abgesicherter Modus funktioniert nicht...
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (8)
  9. Malwarebytes' Anti-Malware findet PUM.Hijack.StartMenu in Registry
    Log-Analyse und Auswertung - 27.09.2011 (10)
  10. Bitte um HiJack-Logfile Auswertung - AntiVir findet Trojaner der immer wieder kommt
    Log-Analyse und Auswertung - 23.07.2010 (1)
  11. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  12. AntiVir findet 2 Trojaner - Bitte um Hijack-Logfile-Auswertung
    Log-Analyse und Auswertung - 17.02.2009 (1)
  13. Avir findet Malware TR/Hijack.AE, wie entfernen?
    Log-Analyse und Auswertung - 30.11.2008 (1)
  14. Hijack zeigt Programme an die WIndows nicht findet
    Plagegeister aller Art und deren Bekämpfung - 25.06.2008 (6)
  15. Hijack findet ... wer kennt diese Dateien?
    Log-Analyse und Auswertung - 16.08.2006 (3)
  16. Spybot findet Huntbar, aber über Hijack ist nix zu finden.
    Log-Analyse und Auswertung - 07.03.2005 (2)
  17. Firefox findet Google und Hotmail nicht mehr - Hijack!?!
    Plagegeister aller Art und deren Bekämpfung - 03.12.2004 (6)

Zum Thema hijack findet commodo fw nicht - hallo, habe eben HijackThis laufen lassen, was auch meine commodo firewall *.exe gesehen hat als laufender prozess. Die logfileauswertung sagt aber: In Ihrem Logfile findet sich kein aktiver Prozess, der - hijack findet commodo fw nicht...
Archiv
Du betrachtest: hijack findet commodo fw nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.