Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   monk-local.net - logfile waiting... (https://www.trojaner-board.de/20932-monk-local-net-logfile-waiting.html)

MONK 18.08.2005 13:17
monk-local.net - logfile waiting...
 
Huhu, hier is MONK,

erstmal wow zu diesem genialen Board. Bin schon echt ein wenig sicherer im Umgang mit diesen Plagegeistern. Und ich hab da auch gleich die Frage, ob sich jemand mal mein Log anschauen könnte? Bin mir nicht so sicher...

Der Rechner soll nur im lokalen Netzwerk auf andere lokale Rechner zugreifen können, auf den selbst soll aber keiner zugreifen können, deswegen habe ich die Dienste dafür schon deaktiviert und auch die Datei und Druckerfreigabe entfernt. Der Rechner wird nur zum surfen und emailen benutzt.

Hier die Logs.
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:10:32, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
M:\W\System32\smss.exe
M:\W\system32\winlogon.exe
M:\W\system32\services.exe
M:\W\system32\lsass.exe
M:\W\system32\svchost.exe
M:\P\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
M:\P\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
M:\P\NIS2005\ISSVC.exe
M:\P\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
M:\P\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
M:\P\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
M:\W\System32\svchost.exe
M:\W\system32\spoolsv.exe
M:\W\System32\eTSrv.exe
M:\P\NIS2005\Norton AntiVirus\navapsvc.exe
M:\W\system32\SLEE12.exe
M:\W\System32\svchost.exe
M:\P\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
M:\W\Explorer.EXE
M:\P\Microsoft Hardware\Mouse\point32.exe
M:\P\Gemeinsame Dateien\Symantec Shared\ccApp.exe
M:\W\system32\ctfmon.exe
M:\P\MIM\miranda32.exe
M:\W\system32\devldr32.exe
M:\W\system32\mstsc.exe
M:\T\HijackThis.exe
M:\P\Internet Explorer\IEXPLORE.EXE
M:\P\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
M:\P\P\psr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = monk-local:1080
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - M:\P\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - M:\P\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - m:\p\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - M:\P\NIS2005\Norton AntiVirus\NavShExt.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - M:\P\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - M:\P\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - M:\P\NIS2005\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - M:\p\google\googletoolbar2.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ccApp] "M:\P\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] M:\P\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] M:\W\system32\ctfmon.exe
O4 - Startup: Miranda IM.lnk = M:\P\MIM\miranda32.exe
O8 - Extra context menu item: &Google Search - res://m:\p\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://m:\p\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://m:\p\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://m:\p\google\GoogleToolbar2.dll/cmcache.html
08 - Extra context menu item: Similar Pages - res://f:\p\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://m:\p\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - M:\P\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - M:\P\VeriSign\i-Nav\i-nav_4_2_1.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = monk-local.net
O17 - HKLM\Software\..\Telephony: DomainName = monk-local.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{B451E8B8-E45D-4053-AB8D-A61F6775A665}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = monk-local.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = monk-local.net
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Ltd. - M:\W\System32\eTSrv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - M:\P\NIS2005\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - M:\P\NIS2005\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - M:\P\VeriSign\NAVI\naviagent.exe
O23 - Service: SAVScan - Symantec Corporation - M:\P\NIS2005\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - M:\P\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - M:\P\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Gigamail 18.08.2005 15:00
Hallo MONK

ist das mit den Laufwerkbuchstaben und dem Ornder so gewollt?
Zitat:
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Ltd. - M:\W\System32\eTSrv.exe
der Dienst sagt mir nichts, wenn er dir unbekannt ist solltest du ihn beenden und die Datei bei Jotti prüfen wie diese auch
M:\P\P\psr.exe
M:\W\system32\SLEE12.exe
beende die Prozesse im Taskmanager und lasse mal die Dateien hier scannen und teile das Ergebnis mit, für die Aktion solltest du deinen Virenscanner deaktivieren

MONK 18.08.2005 15:17
ja, die Ordner habe ich gleich bei der Installation soeingestellt. ;) immer C is doch irgendwann langweilig.

Also die beiden hier, M:\P\P\psr.exe und M:\W\system32\SLEE12.exe das sind gute. :) Aber ich prüfe sie denoch mal.

M:\P\P\psr.exe -> Passwordsafe.de [Programm]
M:\W\system32\SLEE12.exe -> steganos.com / Steganos Live Encryption Engine 12 [Dienst]

und M:\W\System32\eTSrv.exe ->eToken Notification Service
gehört zum PasswordSafe.de - USB-Stick

Die Standartpfade kann ich gerne mitteilen. :)

Gigamail 18.08.2005 15:50
Ok MONK,

dann ist dein Log auch sauber. Hier noch eine Info zum Dienste abschalten, falls dir die Seite nicht eh schon ein Begriff ist :)
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#xp1

MONK 18.08.2005 19:46
Jau die eine sagt mir was. die andere werde ich jetzt kennenlernen.

Habe etliche Dienste deaktiviert. Sieht man sicher, oder? (die profis sicher ;))..
aber ich muss sagen, das trägt massgeblich zu einem stabileren Windows bei... Fanzinierend würde Spok jetzt sagen. Aber ich denke, das ist noch nicht alles.. :)

Und ich bin jetzt echt schon ne Nummer ruhiger wie heute morgen. Viren kommen nämlich ständig neue rein. Hab erst gerade vor 2 Minuten wieder neue bekommen. Das is wie auf nem Viehmarkt hier.. :zzwhip: W32.Netsky.D@mm!enc und Konsorten..


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129