Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   010-Eintraege (https://www.trojaner-board.de/26362-010-eintraege.html)

jule54 31.01.2006 14:06
010-Eintraege
 
Hallo!
Ich bzw. mein Sohn hat sich etwas gefangen. Bevor ich den ganzen Logfile poste, möcht ich erst mal angeben, dass unter 010 viermal "Hijacked Internet access by New.Net" auftaucht. Ich bin ziemlich ahnungslos, entnehme aber der Anleitung, dass 010-Einträge nicht gefixt werden dürfen. Das LSP-Fixtool hat aber nichts bewirkt. Was kann ich tun? Vielen Dank schon mal.
:( jule54

BataAlexander 31.01.2006 14:11
Hallo,

poste uns das schöne Log doch kurz.

Gruß

Schrulli

jule54 31.01.2006 15:01
Danke! Ich wollte schon selbst eine Auswertung mit den genannten Seiten probieren, aber mit eurer gesammelten Kompetenz geht's bestimmt schneller und sicherer. Also, hier isser:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:19, on 31.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\paytime.exe
C:\windows\winsysban4.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MediaBytePlayPart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send city media byte\bin view.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd4.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban4.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealClose] C:\DOKUME~1\Jan\ANWEND~1\GLOBAL~1\Surf film once.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration DIE SIEDLER - Das Erbe der Könige Nebelreich.LNK = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2600cjmefoa0.dll (file missing)
O20 - Winlogon Notify: Run- - C:\WINDOWS\system32\l06o0aj3edo.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

lg
jule54

jule54 31.01.2006 17:50
habe vergessen die links unkenntlich zu machen

Wildone 31.01.2006 17:56
Hallo,
*Augen verdreh* Oh mein Gott da ist ja wirklich alles dabei was Spy/Adware mäßig einen Namen hat. Auf den ersten Blick sehe ich look2me, Spysheriff, new.net und Lop. Wie sehr hängst du eigentlich an deinem System weil ich dir da zu einer Neuinstallation und anschließenden gescheiten Absicherung raten würde, Anleitung hier.



Grüße Wildone

jule54 31.01.2006 18:00
Ist nicht meins, sondern von meinem 14jährigen Sohn, der hängt wahrscheinlich sehr daran!

Wildone 31.01.2006 18:06
Hallo,
also dann mach dein Sohn erstmal ordentlich zur Minna, den wer sich sein System voll mit unseriöser und geklauter Software macht soll sich nicht wundern wenn er sich einen Virus nach dem anderen fängt. Außerdem bin ich der Meinung das Früchtchen sollte die Suppe alleine auslöffeln dann sieht er mal wieviel Arbeit dahinter steckt, und beschäftigt sich vielleicht mal etwas mit der Absicherung seines Systems. Denn um das hier sauber zu bekommen (falls das überhaupt möglich ist) braucht es wahrscheinlich mehr Zeit als eine komlette Neuinstallation.


Grüße Wildone

jule54 31.01.2006 18:18
Hallo.
er fühlt sich sehr missverstanden und ist :mad: und meint, sich keine geklaute software runter zu laden, unseriöse vielleicht. Kann man an dem logfile sehen, welche software es ist, woran könnte ich es erkennen? Oder könntest du beispiele nennen?
Grüße
jule54

Wildone 31.01.2006 18:25
Hallo,
nein beim Namen nennen kann ich sie nicht, aber zwei der genannten Trojaner (Spysheriff und look2me) fängt man sich außschließlich auf Seiten die Cracks anbieten, oder beim installieren solcher Cracks(vielleicht auch cheats, bin nicht so der Spieler). Aber es ist müßig der Kerl soll nicht sauer sein, er sollte jetzt an deiner Stelle sitzen und sich mit mir unterhalten. Meinetwegen versuche ich das System wieder klar zu bekommen, habe ja sonst heute Abend nichts mehr vor :rolleyes: , aber soll wenigstens er sich durch die gesammten Anleitungen für die Programme durcharbeiten die es braucht um das wieder einigermaßen hinzufrickeln, und nicht du, dann setzt vielleicht auch ein gewisser Lerneffekt ein.



Grüße Wildone

felix1 31.01.2006 18:33
Ich denke, dass eine Bereinigung nicht viel Sinn macht:
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
sollte das sein:
http://www.sophos.de/virusinfo/analy...ojtorpigs.html

Wildone 31.01.2006 18:42
Hallo,
@felix1
scheinst Recht zu haben, ich dachte zwar es wäre Torpig-U, und die Beschreibung von dem klang bedeutend harmloser, wird aber wohl einach nicht vollständig sein. Dann kehre ich wohl doch wieder zu dem Rat zurück eine komplette Neuinstallation durchzuführen, aber streng nach Anleitung sonst ist das System nach wenigen Wochen wieder total verseucht.


Grüße Wildone

jule54 31.01.2006 18:42
das ist ein supernettes angebot, aber er ist leider bis neun zum tischtennistraining. Ich habe das bisher von meinem rechner gepostet, weil ich ihn vom netz genommen habe.- Ab kurz nach neun hätte er noch ein Stündchen, bis er ins bett muss. Sonst würde es auch morgen nachmittag und abend gehen, was meinst du?
:) Tausend dank
jule54

Edit: ist wohl schon überholt!
Muss jetzt leider weg für 2 Std.

Wildone 31.01.2006 18:50
Hallo,
wie oben schon mal gepostet, Aufgrund von dem oben genannten Trojaner scheint es mir einfach zu gefährlich eine manuelle Reinigung vorzunehmen, er speichert Tastenfolgen um an Passwörter heranzukommen (Ebay, Onlinebanking, Keys für Spiele...) und hat Kontakt per Http mit einem Remoteserver.
Ich würde dringend anraten das System neu aufzusetzen da ich nicht garantieren kann das ich alles finde und nicht doch noch ein Türchen nach draußen offen ist. Falls es mit der Anleitung zum Neuaufsetzen Probleme gibt stehe ich aber gerne zur Klärung dieser zur Verfügung.


Grüße Wildone

BataAlexander 31.01.2006 19:58
Hallo,

@Wildone & Felix1 : Zur Unterstützung Ack!

Gruß

Schrulli

jule54 31.01.2006 22:10
Hallo!
Dann werden wir uns wohl an die Arbeit machen müssen! Bis hierhin erstmal herzlichen Dank, bei Bedarf, den wir sicher haben werden, melde ich mich wieder.
lg
jule54

jule54 01.02.2006 09:23
Hallo,
habe noch eine frage:vor drei tagen, als klar wurde, dass das system gestört ist, hatte ich vorher norton (nis und nav) deinstalliert, weil es abgelaufen war und stattdessen nur ein anti-viren-programm (avg) draufgemacht, also keine personal firewall. Kann es sein, dass die verseuchung mit dadurch verursacht wurde (mal abgesehen von leichtsinnigem surferverhalten)?
Gruß
jule54

jule54 01.02.2006 09:49
Hallo,
ich würde gern auch meinen logfile posten, der sieht leider auch nicht gut aus, wie die automatische logfileauswertung gezeigt hat:dummguck: IE ist veraltet, aber ich benutze ihn kaum. Und es scheint sich da auch was zu tummeln. Was sagt ihr?

Logfile of HijackThis v1.99.1
Scan saved at 09:29:49, on 01.02.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.arcor.de

Gruß
jule54

cacatoa 01.02.2006 09:53
Hi,
hab mal so einfach reingeschaut...
wo ist das Problem? O10 Einträge sind keine da; und alles andere sieht doch gut aus.
Den alten IE kannst doch einfach bei microsoft updaten, auch wenn du ihn nicht benutzt; ist es sinnvoll, ihn aktuell zu halten.
cacatoa

jule54 01.02.2006 12:22
Hallo,
danke, ist beruhigend. Nein, richtig Böses war auch nicht in der automatischen Auswertung, nur kleinere Sachen zum Fixen. Habe vor lauter Angst, nachdem der Rechner meines Sohnes befallen ist, wohl nicht so genau hingeschaut.
Ich hatte bei einer Adaware-Prüfung die Meldung
ALEXA obj[0]=RegValue : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
und viele Tracking Cookies im IE, ist nicht Alexa auch so'n gemeines Teil?
Gruß
jule54

Wildone 01.02.2006 12:30
Hallo,
nein Alexa ist harmlos, kann zwar entfernt werden ist aber eigentlich nicht schlimm, siehe z.B. hier (denke einfach mal das gilt auch für 98).

Grüße Wildone

jule54 03.02.2006 11:38
Hallo!
Erstmal vielen Dank bis hier. Jetzt habe ich noch zwei Fragen, bevor wir uns am Wochenende ans Neuaufsetzen machen, aber dafür muss ich wohl einen neuen thread aufmachen?? Trotzdem:
1. Können .doc und .jpg Dateien des kontaminierten Systems evtl. noch gerettet weden?
2. Was genau muss ich machen und was brauche ich, um dd if=/dev/zero of=/dev/hda zur kompletten Formatierung der Festplatte durchzuführen? -

Tschuldigung für die laienhaften Fragen.:o

Grüße
jule54

Wildone 03.02.2006 12:01
Hallo,
jpgs kann man Problemlos übernehmen, doc Dateien sollten vor dem aufspielen auf das neue System von einem aktuellen Virenscanner noch mal sicherheitshalber gegengecheckt werden.
Du brauchst die WINXP CD, die Treiber (incl. Chipsatztreiber usw.) für die Hardwarekomponenten, und am besten SP2. Steht aber soweit eigentlich alles in der Anleitung drin, zumindest verlinkt. Wenn du konkrete Fragen zu ihr hast, kein Problem.



Grüße Wildone

jule54 03.02.2006 14:56
Hallo wildone,
ja, aber ich dachte, um die Festplatte wirklich komplett zu löschen, müsste ich was mit dd if=/dev/zero of=/dev/hda von Knoppix machen (lt. link auf http://oschad.de/wiki/index.php/Kompromittierung)?
gruß
jule54

Wildone 03.02.2006 15:04
Hallo,
nein, du mußt nicht mit Knoppix hantieren. die Systempartition(wahrscheinlich C:\ ) formatierst du über die XP-CD, die anderen Partitionen müßen auch nicht zwingend formatiert werden (ist zumindest umstritten, siehe auch Satz in der Anleitung:
Zitat:
A: Es sollte mindestens die System-Partition (i.d. Regel C:), besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.
Also neu Partitionieren mußt du nicht, wenn du die anderen Partitionen auch formatieren willst kannst du das jetzt schon machen, im Explorer einfach Rechtsklick darauf und formatieren wählen.



Grüße Wildone

jule54 03.02.2006 15:45
Hallo!
Wir fangen jetzt an. Einfach nur rechtsklick auf C und formatieren? Sind dann wirklich alle bösen Dinger weg??

Wildone 03.02.2006 16:02
Hallo,
nein, die Systempartition kannst du so nicht formatieren, nur die anderen. Die Systempartition formatierst du wie in der Anleitung beschrieben:
Link
mit der XP-CD.


Grüße Wildone

jule54 03.02.2006 16:05
Also war ne falsche Frage, ich soll's ja über die CD machen, aber wo steckt die Datei?

Wildone 03.02.2006 16:07
Welche Datei?

jule54 03.02.2006 16:08
ok, unsere Einträge haben sich überschnitten, ich les noch mal weiter, dachte irgendwie, das Formatieren müsste am Anfang stehen, ich lese jetzt! Danke!

jule54 03.02.2006 16:32
Hallo wildone,
sorry für das Durcheinander, bin ein bisschen nervös. Von Formatieren ist ja in der anleitung direkt nichts zu lesen, oder habe ich wieder was übersehen? Verstehe ich richtig, dass ich auf Seite 4 beginne?

Wildone 03.02.2006 16:36
Hallo,
schon okay, wenn man es das erste mal macht ist es normal das man ein wenig nervös ist, wirst gleich merken das es kein Hexenwerk ist.
Zitat:
Verstehe ich richtig, dass ich auf Seite 4 beginne?
Exakt


Grüße Wildone

jule54 03.02.2006 16:43
Danke! Wir fangen jetzt an! Wünsch uns viel Glück!
Viele grüße
Jule 54

Wildone 03.02.2006 16:52
Hallo,
wird schon werden, das meiste macht man instinktiv richtig, wenn ich das richtig verstanden habe habt ihr ja auch noch einen ZweitPC mit dem ihr im Notfall noch weitere Fragen hier posten könnt.


Grüße Wildone

jule54 03.02.2006 20:44
Hallo wildone,
das gröbste ist geschafft. Vielen Dank für die geduldige Unterstützung.:bussi: Hat es Sinn, nach der gesamten Software-Installation nochmal den Logfile zu posten?
lg
Jule54

Wildone 03.02.2006 20:59
Hallo,
schön zu hören das es funktioniert hat (zumindest hoffe ich das). Und klar macht es Sinn dein Log zur Kontrolle zu posten.


Grüße Wildone

jule54 04.02.2006 20:48
Hallo,
ja, scheint alles zu klappen, danke dir und euch noch mal! Hoffentlich ist der Log auch okay:
Logfile of HijackThis v1.99.1
Scan saved at 20:39:33, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WINDOWS\office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138987114253
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Eilt nicht so.
grüße :D
jule54

Wildone 04.02.2006 21:01
Hallo,
sieht alles sauber aus, gut gemacht. :daumenhoc
Viel Spass an dem jetzt sauberen System, und der Filius soll nicht auf alles klicken was bunt blinkt ;) .

Grüße Wildone

jule54 05.02.2006 10:05
Hallo,
alles klar, war eine lehrreiche Sache für's Kind, um cracks einen großen Bogen zu machen!
Tschüß
Jule54


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55