Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: UNd was jetzt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.11.2004, 19:14   #1
dotR
 
UNd was jetzt? - Standard

UNd was jetzt?



also weiß nicht so recht ich hab nach nem restart die prozesse tikto.exe msbb.exe laufen und das hier ist mein hijack log:

Logfile of HijackThis v1.98.2
Scan saved at 15:27:35, on 07.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\DOKUME~1\Lukas\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Lukas\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Lukas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE plugin support DLL - {86B09C50-4138-4863-A585-380205F1F774} - c:\windows\system32\imgutil32.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2034d9b5...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F990D7C1-CD1F-4CEC-A4B3-C7E82BE7816E}: NameServer = 217.237.151.97 217.237.150.33


Hab schon nen thread eröffnet aber ich knallkopf hab erst zu spät bemerkt dass es einen eigenen thread für hijacks gibt (diesen hier)....

Vielen Dank schon im voraus

Alt 08.11.2004, 01:29   #2
Wattewuschel
 
UNd was jetzt? - Standard

UNd was jetzt?



Hallo.

also erstmal die gute nachricht: der prozess msbb.exe ist "nur" spyware

http://www.liutilities.com/products/...slibrary/msbb/

nun die weniger gute: der prozess tikto.exe spricht wohl für einen wurm:

http://it.trendmicro-europe.com/ente...BOT.LV&VSect=O

damit ist dein system kompromittiert und sollte neu aufgesetzt werden, dazu dies hier beachten:

Zitat:
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html
__________________

__________________

Antwort

Themen zu UNd was jetzt?
adobe, antivirus, antivirus scan, avg, bho, check, dll -, explorer, google, hijack, hijack log, hijackthis, internet, internet explorer, log, messenger, microsoft, programme, prozesse, seite, software, sun java, symantec, system, system32, t-online, tcpip, temp, windows, windows messenger, windows xp



Ähnliche Themen: UNd was jetzt?


  1. Durch Biet-o-matic jetzt statt google startseite jetzt webssearches
    Plagegeister aller Art und deren Bekämpfung - 22.12.2014 (9)
  2. Ist jetzt der Trojaner jetzt weg?
    Log-Analyse und Auswertung - 30.03.2013 (19)
  3. GVU - Tojaner..und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (5)
  4. GVU Trojaner und jetzt?
    Log-Analyse und Auswertung - 19.07.2012 (6)
  5. SpyEyes- was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (12)
  6. Was sit den jetzt los ?
    Alles rund um Windows - 25.01.2010 (4)
  7. und jetzt???
    Mülltonne - 13.03.2008 (5)
  8. svehost.exe was jetzt?
    Log-Analyse und Auswertung - 15.02.2008 (6)
  9. Escan Auswertung durch find.bat - und jetzt? Was muss ich jetzt machen???
    Log-Analyse und Auswertung - 06.02.2006 (6)
  10. eied_s7.cab...und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 19.08.2005 (2)
  11. Hab,s jetzt zum 2 mal blank:
    Log-Analyse und Auswertung - 29.04.2005 (7)
  12. bin ich jetzt sauber?
    Log-Analyse und Auswertung - 28.03.2005 (1)
  13. und was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2005 (10)
  14. Ist er jetzt sauber???
    Log-Analyse und Auswertung - 06.12.2004 (1)
  15. pc jetzt sauber?
    Log-Analyse und Auswertung - 21.10.2004 (2)
  16. Und jetzt...?
    Log-Analyse und Auswertung - 27.07.2004 (1)

Zum Thema UNd was jetzt? - also weiß nicht so recht ich hab nach nem restart die prozesse tikto.exe msbb.exe laufen und das hier ist mein hijack log: Logfile of HijackThis v1.98.2 Scan saved at 15:27:35, - UNd was jetzt?...
Archiv
Du betrachtest: UNd was jetzt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.