Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mal wieder ein logfile... (https://www.trojaner-board.de/14890-mal-logfile.html)

Spacehead 04.03.2005 18:01
Mal wieder ein logfile...
 
Logfile of HijackThis v1.99.1
Scan saved at 17:58:45, on 04.03.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINNT\system32\soft.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINNT\System32\internat.exe
C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Dokumente und Einstellungen\RA5\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINNT\blank.htm
F3 - REG:win.ini: run=C:\WINNT\System32\soft.exe
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINNT\System32\boln.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Web Service] C:\WINNT\System32\web.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kanzlei.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kanzlei.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kanzlei.local
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IPSec Connection Service (ipssvc) - LANCOM Systems GmbH, Germany - C:\Programme\LANCOM\VPNclient\ipssvc.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Wäre schön, wenn das mal jemand auswerten könnte, ich versteh' nur Bahnhof und "homesearch" treibt mich zum Wahnsinn...

Vielen, vielen Dank,

Spacehead

chaosman 04.03.2005 18:15
@Spacehead
du hast diesen im system
http://www.sophos.com/virusinfo/analyses/w32bubea.html

da er dies auch macht
# Allows others to access the computer
# Reduces system security
# Installs itself in the Registry

kann ich dir nur raten dein system neuaufzusetzen.
da du deine PC beruflich nützt
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kanzlei.local
würde ich dir raten einen fachmann hinzu zuziehen.

falls du eine anleitung brauchst zu neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2

DateienZurückspielenNachInfektion
Du solltest die Dateien, die Du benötigst auf eine CD (RW) brennen und nachdem Du Dein System neu installiert und die '10-Punkte-Liste' abgearbeitet hast mit einem Virenscanner scannen. Da Du eScan schon hast, solltest Du die heruntergeladene Datei mwav.exe auf jeden Fall ebenfalls sichern und auf bekanntem Wege auf dem neuen System 'installieren' und aktualisieren. Danach scannst Du mit eScan die komplette CD, bevor Du auch nur eine einzige Datei auf den Rechner zurück kopierst. Wenn eScan auf der CD keine infizierte Datei findet, kannst Du einigermaßen(1) sicher sein, dass die CD sauber ist.
Findet eScan etwas auf der CD, diese Datei(en) auf keinen Fall auf den Rechner kopieren.
ZitatLutz

sry
chaosman

Spacehead 04.03.2005 19:53
Hi@Chaosman,

wow, das nenn' ich mal prompten support - ganz herzlichen Dank. :aplaus:
Der Rechner ist im übrigen tatsächlich ein Kanzleirechner, um den ich mich kümmern sollte, allerdings habe ich bis vorhin noch nicht gewusst, was da auf mich zukommt... :heulen:

Naja, dann wird's wohl besser auf die "gute alte" Tour gemacht: Alles neu macht der ... März ;)

Best spacin' wishes,

Spacehead


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131