Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.09.2004, 17:10   #1
seifried
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Moin, moin,

ich hoffe, jemand kann mir bei meinem härtesten Problem dieser Art helfen.
Habe gestern über RealVNC bei einem Bekannten, der über merkwürdige Störungen klagte, auf dem Rechner nachgeschaut.

Es gibt eindeutige Anzeichen für Viren oder Trojaner. Ad-Aware und F-Secure (beide aktuell) finden nichts. Zwischendurch tauchen aber Virenmeldungen auf, das F-Secure etwas (TFTP1992 in /system32 gelöscht hat wg. Befall von Backdoor.Rbot.gen oder Win32 Lovsan.a.
Patchdownload um der Sicherheits-Patches von MS funktionierte auch nicht. Outlook Express und IE funktionieren mittlerweile kaum noch.

Hier das Log-File, würde mich über jede Hilfe freuen:

Logfile of HijackThis v1.98.2
Scan saved at 11:40:04 AM, on 9/16/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINNT\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\Tablet.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Dit.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe
C:\WINNT\system32\USBMonit.exe
C:\WINNT\system32\internat.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINNT\system32\Wtablet\TabUserW.exe
C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FAPIEXE.EXE
C:\WINNT\slrundll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\Documents and Settings\Paolo Leoni\Desktop\HiJack This.exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.email.lu/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [CallControl 4.5] C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\Wtablet\TabUserW.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{35453DE4-9A43-4FA9-8641-49A1B60B22CC}: NameServer = 195.71.37.148 193.189.244.205


Also ich kann nix finden. Vielleicht sieht ja einer von euch was.
Vielen Dank im Voraus.

Thorsten aus Hamburg

Alt 16.09.2004, 17:23   #2
chaosman
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Hallo seifried,

mit copy and paste in www.hijackthis.de
zum auswerten geben.



chaosman
__________________

__________________

Alt 16.09.2004, 17:26   #3
Cidre
Administrator, a.D.
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Hallo,
das Log-File sieht offentsichtlich sauber aus, aber das muß nichts heißen.

Überprüfe das System mit eScan:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach die Virus Log Information des eScan posten.

Generell sollte man bei einer Backdoor Kompromittierung die sicherste Lösung wählen und das System neu aufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Info zu Backdoor.Rbot.gen findest du hier:
http://www3.ca.com/securityadvisor/v....aspx?id=39437

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
__________________
__________________

Alt 16.09.2004, 17:38   #4
seifried
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Hallo chaosman,

danke für den Tip. Brachte aber nix zu Tage.
Die Einträge, die bei der automatischen Überprüfung unbekannt waren (DIT.exe od. hidserv.exe) hatte ich schon als Hardware-Treiber identifiziert.

Den Prozess BackWeb-4476822.exe, den ich fixen soll ist von F-Secure für die automatischen Updates.

Hilft nicht viel weiter.

Thorsten

Alt 16.09.2004, 19:33   #5
chaosman
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



hallo seifried,

mache doch mal was cidre vorgeschlagen hat mit escan.


findet dein virenscanner nichts in der abgesicherte modus?


chaosman

__________________
Bonus vir semper tiro

Alt 16.09.2004, 20:20   #6
seifried
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Zitat:
Zitat von chaosman
hallo seifried,

mache doch mal was cidre vorgeschlagen hat mit escan.


findet dein virenscanner nichts in der abgesicherte modus?


chaosman
Hey chaosman,

konnte leider nur remote über RealVNC (Hamburg - Trier) auf den PC zugreifen. Werde erst am Samstag an dem angesprochenen PC sitzen.

Werde mir escan, Kapersky, Spybot etc. brennen und dann noch mal schauen. Bin aber doch etwas erschüttert, dass Ad-Aware, F-Secure und Hijack nix finden. Werde wohl den Virenscanner F-Secure gegen Kapersky austauschen.

Bisher hatte ich keine große Probleme mit Viren. Wenn ich mir was eingefangen habe, wusste ich bisher woher (Tochter oder selber Schuld), konnte sie identifizieren und beseitigen. Aber so etwas????

Zur weiteren Info:

Gestern fand ich einen Prozess "wuadt.exe", der heute nicht mehr erscheint. Selbst Google hatte keinen Eintrag über diesen Prozess. Benennt der Trojaner sich selbstständig um?

Fragen über Fragen.

Thorsten

Alt 19.09.2004, 08:49   #7
seifried
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



So, die Sache hat sich erledigt.

Hatte heute direkten Zugriff auf den PC. Dort hatten sich einige Trojaner (W32/Agobot-IX, W32/Agobot-LZ, W32/Sdbot.gen.t etc.) eingenistet.

Daten sichern -> Neuinstallation.

Etwas sauer war ich, weil F-Secure so versagt hat. Werde mir 'nen neuen Standard-Virenscanner suchen. Hat da jemand ne Empfehlung?

Gruss und Dank an chaosman und Cidre,

Thorsten

Alt 19.09.2004, 09:55   #8
MountainKing
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



Vor dem Virenscanner versagt in der Regel der Nutzer. Verwendung eines alten IE und auch noch Outlook, evtl. beide nicht gut konfiguriert, kein regelmäßiges Aufspielen von Patches, da kann es schon schwieriger werden.

Mich wundert es zwar auch ein wenig, dass F-Secure da nichts gefunden hat, aber man weiss nicht, wie der Infektionsweg war und eventuell war der Scanner ja durch die Schädlinge beeinträchtigt. Verlassen darf man sich darauf sowieso nicht, wichtiger ist die Anwendung der Tips, die Cidre schon gepostet hat:

http://faq.underflow.de/#SECTION000120000000000000000
http://www.mathematik.uni-marburg.de...ompromise.html

Ansonsten kann man wohl Kaspersky AV empfehlen, im Moment gibt es bei der Chip jeden Monat einen Lizenzkey, so dass man die Lizenz immer verlängern kann oder halt die Vollversion kaufen, wenn man es denn will. Sicherheit beginnt aber NICHT beim Virenscanner. :P

Alt 19.09.2004, 13:44   #9
*Christian*
Gast
 
Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Standard

Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen



F-Secure ist nicht schlecht.
Du hättest die infizierten Dateien auch an samples@f-secure.com schicken können, damit diese zukünftig erkannt werden.

Ich kann mir aber ehrlich gesagt nicht vorstellen, dass F-Secure diese Dinger nicht erkannt hat. Evtl. war F-Secure nicht auf aktuellem Stand?!?

Tests von AV's siehe hier:
http://www.rokop-security.de/main/article.php?sid=693
http://www.rokop-security.de/main/se...query=&topic=5

Antwort

Themen zu Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen
ad-aware, adobe, bho, desktop, dll, explorer, f-secure, ftp, gelöscht, hijack, hijackthis, hilfe, internet, internet explorer, internet security, log-file, meinem, microsoft, monitor, nvcpl.dll, office, outlook express, problem, rundll, security, software, sp3, störungen, tcpip, viren, win32, windows



Ähnliche Themen: Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen


  1. Avast Web-Schutz blockiert 64-up.to kann aber den Auslöser nicht finden
    Log-Analyse und Auswertung - 01.08.2015 (3)
  2. Mein Computer ist verseucht, aber kein Virenprogramm kann etwas finden
    Plagegeister aller Art und deren Bekämpfung - 23.12.2012 (4)
  3. Problem mit avira zeigt versteckte befallen objekte an aber kann sie nicht finden!
    Log-Analyse und Auswertung - 22.04.2012 (5)
  4. ! Virus! Ich weis das er da ist. Aber kann ihn nicht finden.
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (5)
  5. Avira schlägt ständig Alarm, ich kann aber nichts finden (html/drop.agent.ab)
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (4)
  6. Avira schlägt ständig Alarm, ich kann aber nichts finden (html/drop.agent.ab)
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (1)
  7. Malware, kann aber nicht wirklich welche finden
    Plagegeister aller Art und deren Bekämpfung - 06.12.2010 (14)
  8. Infektion von Malwarebytes gezeigt, kann aber nichts mit Avira finden
    Log-Analyse und Auswertung - 17.05.2010 (6)
  9. Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (3)
  10. Hab etwas aber ich kann nichts finden
    Log-Analyse und Auswertung - 31.03.2009 (7)
  11. Ich weiß ich habe einen Virus auf der Platte, kann ihn aber nicht finden/löschen
    Plagegeister aller Art und deren Bekämpfung - 02.10.2008 (4)
  12. Virus über Programmdownload eingefangen, kann ihn aber nicht finden
    Mülltonne - 28.09.2008 (0)
  13. Trojaner.... kann ihn aber nicht finden, bzw. löschen!
    Log-Analyse und Auswertung - 22.11.2005 (3)
  14. Wer kann helfen? mein HiJack-Logfile -->
    Log-Analyse und Auswertung - 24.06.2005 (3)
  15. Trojaner aber keinerlei anzeichen
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (1)
  16. Spybot findet Huntbar, aber über Hijack ist nix zu finden.
    Log-Analyse und Auswertung - 07.03.2005 (2)
  17. viele finden was aber kann ihn nicht entfernen: tr/dldr.dyfuca.db
    Log-Analyse und Auswertung - 06.03.2005 (1)

Zum Thema Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen - Moin, moin, ich hoffe, jemand kann mir bei meinem härtesten Problem dieser Art helfen. Habe gestern über RealVNC bei einem Bekannten, der über merkwürdige Störungen klagte, auf dem Rechner nachgeschaut. - Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen...
Archiv
Du betrachtest: Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.