Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   immer wieder "Unregelmäßigkeiten" (https://www.trojaner-board.de/34595-immer-unregelmaessigkeiten.html)

cedros 21.12.2006 16:11
immer wieder "Unregelmäßigkeiten"
 
Nachdem mein System kompromittiert war, habe ich mir vor einigen Monaten einen neue Festplatte zugelegt, und das System neu aufgesetzt - im Rahmen meiner Möglichkeiten so sicher, wie´s geht.

Vielleicht bin ich ja mittlerweile paranoid, aber irgendwie habe ich immer wieder das Gefühl, dass dennoch irgendwas nicht stimmt. Aktuell habe ich z.B. das Problem, dass ich WS_FTP Pro nicht starten kann.

Wäre sehr nett, wenn sich jemand mal das Logfile ansehen kann, ob da irgendwas auffälliges zu sehen ist:

Logfile of HijackThis v1.99.1
Scan saved at 15:49:16, on 21.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\SYSTEM32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
F:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
F:\WINDOWS\system32\svchost.exe
F:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
f:\programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
F:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
F:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
F:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Panda Software\Panda Internet Security 2007\apvxdwin.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
f:\programme\panda software\panda internet security 2007\WebProxy.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\FeedReader30\feedreader.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Programme\Microsoft Office\Office\OUTLOOK.EXE
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] F:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [OpwareSE2] "F:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [APVXDWIN] "F:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "F:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\j2re1.4.2_13\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [F:\Programme\FeedReader30\feedreader.exe] F:\Programme\FeedReader30\feedreader.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: h**p://www.viking.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164277228234
O20 - Winlogon Notify: avldr - F:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - F:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - F:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - F:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - F:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - f:\programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - F:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - F:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe

Wie unschwer zu erkennen ist, nutze ich Panda Internet Security. Die Firewall ist allerdings deaktiviert, da ich über einen Router (Netgear RP614 v3) online bin.
Seit einigen Tagen kommt auch ständig die Meldung "Ihr Computer ist eventuell gefährdet" - bisher kam die immer nur einmal nach dem Systemstart und dann war Ruhe (halt auch eine dieser kleinen "Unregelmäßigkeiten").

Jedenfalls wäre es sehr nett, wenn sich das mal jemand ansehen könnte!

Sunny 21.12.2006 20:25
Zitat:
Zitat von cedros (Beitrag 245048)
im Rahmen meiner Möglichkeiten so sicher, wie´s geht.
Auf den ersten Blick ist er (erstmal) gut abgesichert! Alle Updates und Servicepacks eingespielt, sowie eine (wenn auch in meinen Augen nicht notwendig!) Sicherheits-Security.

Zitat:
Vielleicht bin ich ja mittlerweile paranoid, aber irgendwie habe ich immer wieder das Gefühl, dass dennoch irgendwas nicht stimmt. Aktuell habe ich z.B. das Problem, dass ich WS_FTP Pro nicht starten kann.
Ich kenne WS_FTP Pro nicht, aber wenn es nur bei diesem Programm (?) auftritt, glaube ich nicht das es durch Schädlinge hervorgerufen wird das es nicht startet!

Zitat:
Wäre sehr nett, wenn sich jemand mal das Logfile ansehen kann, ob da irgendwas auffälliges zu sehen ist:
Aus meiner Sicht ist das Logfile in Ordnung, ich sehe nichts was verdächtig ist/sein könnte. ;)

Zitat:
Wie unschwer zu erkennen ist, nutze ich Panda Internet Security. Die Firewall ist allerdings deaktiviert, da ich über einen Router (Netgear RP614 v3) online bin.
Warum hast du die Softwarefirewall deaktiviert? Dann bräuchtest du auch keine Security-Suite ;)

Zitat:
Seit einigen Tagen kommt auch ständig die Meldung "Ihr Computer ist eventuell gefährdet" - bisher kam die immer nur einmal nach dem Systemstart und dann war Ruhe (halt auch eine dieser kleinen "Unregelmäßigkeiten").
Das bedeutet das deine (interne!) Windows-Firewall oder Antiviren-Software deaktiviert ist, sieh mal nach was es von beiden ist ausgeschaltet ist und aktiviere es wieder.

Gruß
Sunny

cedros 22.12.2006 13:15
Danke Sunny, das beruhigt mich schon mal

Zitat:
Warum hast du die Softwarefirewall deaktiviert?
Weil ich des öfteren gelesen hab, dass sich Software- und Hardware-Firewall öfter mal in die Quere kommen, und man die Software-Firewall daher besser deaktivieren soll.

Zitat:
Dann bräuchtest du auch keine Security-Suite
Naja, das is wohl richtig. Die hatte ich gekauft, als ich noch keinen Router hatte. Jetzt hab ich halt nur noch das Antivirus-Programm und den Spamfilter davon im Einsatz.

Zitat:
Das bedeutet das deine (interne!) Windows-Firewall oder Antiviren-Software deaktiviert ist, sieh mal nach was es von beiden ist ausgeschaltet ist und aktiviere es wieder.
Die Meldung kommt, weil keine Software-Firewall aktiviert ist. Das ist ja so weit klar. Nur kam die bisher immer nur einmal nach dem Systemstart. Jetzt kommt Sie z.T. alle paar Minuten, was nicht nur etwas lästig, sondern halt auch ein bisschen merkwürdig ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:35 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129