Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 00spazbox.net --> logfileprüfung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.09.2004, 07:57   #1
spacespeedster
 
00spazbox.net --> logfileprüfung - Standard

00spazbox.net --> logfileprüfung



gleich nach dem starten versucht(meistens) mein rechner eine verbindung zu 00spazbox.net zu erstellen.
mit antivir und adaware ist nichts zu finden. die automatische logfileauswertung hat mir auch nicht geholfen
könnt ihr mir weiterhelfen.

Logfile of HijackThis v1.98.2
Scan saved at 08:52:30, on 15.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\khooker.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\NEOLEC Mouse\NEOLEC Mouse\1.1\MOUSE32A.EXE
D:\player\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\winmon32.exe
C:\WINDOWS\System32\ctfmon.exe
E:\MOZZILA\MOZILLA.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\WinAce.exe
C:\Dokumente und Einstellungen\Abba\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.angesagter.de/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 6\SnagItBHO.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll (file missing)
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\deamom\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC Mouse\NEOLEC Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\player\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fwwjymw.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\MOZZILA\MOZILLA.EXE" -turbo
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O4 - Startup: tempweg.bat
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/24d29e460517ab9...dxIE601_de.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...47/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19758CB3-E4D4-42C9-80DA-26C4141B7305}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C71B8CF-CEB8-45FF-B0F0-71B6658144C9}: NameServer = 192.168.0.1,145.253.2.11

Alt 15.09.2004, 09:15   #2
MountainKing
 
00spazbox.net --> logfileprüfung - Standard

00spazbox.net --> logfileprüfung



Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist nicht gepatched und daher anfällig für viele längst geschlossene Sicherheitslücken. Daran kann es u.a. liegen, dass bei dir aktive Backdoorprogramme am Werkeln sind, dein Rechner gehört nicht mehr dir und ist nicht mehr vertrauenswürdig.


http://www.sophos.de/virusinfo/analyses/w32sdbotoi.html


Das Beste wäre:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen


Willst du trotzdem eine reparatur versuchen (was ich definitiv nicht empfehle), E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


C:\WINDOWS\System32\winmon32.exe (vorher Prozess beenden im Taskmanager)

O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fwwjymw.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/24d29e460517ab...RdxIE601_de.cab

Boote in den abgesicherten Modus, lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Besser: 1-11 abarbeiten.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.mathematik.uni-marburg.de...c-removal.html
http://faq.underflow.de/
__________________


Antwort

Themen zu 00spazbox.net --> logfileprüfung
adapter, antivir, avg, bho, check, dateien, einstellungen, excel, explorer, file missing, hijack, hijackthis, internet, internet explorer, launch, microsoft, monitor, programme, software, starten, system, system32, tcpip, temp, update, usb, windows, windows xp




Zum Thema 00spazbox.net --> logfileprüfung - gleich nach dem starten versucht(meistens) mein rechner eine verbindung zu 00spazbox.net zu erstellen. mit antivir und adaware ist nichts zu finden. die automatische logfileauswertung hat mir auch nicht geholfen könnt - 00spazbox.net --> logfileprüfung...
Archiv
Du betrachtest: 00spazbox.net --> logfileprüfung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.