Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Kontrolle des Logfiles (https://www.trojaner-board.de/6064-bitte-um-kontrolle-logfiles.html)

bollock 28.06.2004 21:11
HAllo!
hier mal mein Logfile. Kann bitte einer mal was dazu sagen? Wäre nett. Dieser Rechner läuft mit XP Professional, Norton Anti Vir und Norton Firewall im Netzwerk mit D-Link Router. Eigentlich problemlos. Mein anderer Rechner hingegen ist etwas am spinnen, das Logfile sende ich gleich auch noch...
Vielen Dank für die Mühe, ist ne gute Sache hier!
Gruß, Martin

Logfile of HijackThis v1.97.7
Scan saved at 22:00:36, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\PROGRA~1\NORTON~2\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Sonic\RecordNow!\RecordNow.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ecampus.uni-kl.de/login.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Phoenix (HKCU)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...110.5148958333
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A422FDE-BD5E-4A46-BB05-3903A2E083D7}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5A14D34-C96D-42E7-BA34-B1CE1BC11800}: NameServer = 192.168.0.1,192.168.0.10

bollock 28.06.2004 21:30
Kann mir jetzt mal jemand sagen, warum mir mien Norton Antivirus eine Meldung gibt, wenn ich hier eine neue Antwort schreiben möchteß Schon zum Zweiten MAl übrigens..

Bloodhound.exploit.6

Hat das was mit dem Logfile hier zu tun...?
Kommt mir etwas spanisch vor
Martin

bollock 28.06.2004 21:52
Hier die Protokolldatei mienes Norton...


Datum: 28.06.2004, Uhrzeit: 22:25:20, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81N4SX6P\ultimatebb[4].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Die Datei konnte nicht repariert werden.


Datum: 28.06.2004, Uhrzeit: 22:25:20, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81N4SX6P\ultimatebb[4].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Diese Datei lässt sich nicht isolieren.


Datum: 28.06.2004, Uhrzeit: 22:25:20, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81N4SX6P\ultimatebb[4].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Der Zugriff auf die Datei wurde verwehrt.


Datum: 28.06.2004, Uhrzeit: 22:28:34, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DWX4EFG5\ultimatebb[3].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Die Datei konnte nicht repariert werden.


Datum: 28.06.2004, Uhrzeit: 22:28:34, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DWX4EFG5\ultimatebb[3].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Diese Datei lässt sich nicht isolieren.


Datum: 28.06.2004, Uhrzeit: 22:28:34, Martin am PETER
Datei
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DWX4EFG5\ultimatebb[3].htm
ist mit dem Virus Bloodhound.Exploit.6 infiziert.
Der Zugriff auf die Datei wurde verwehrt.

*Christian* 28.06.2004 21:53
TIF löschen!

bollock 28.06.2004 22:03
Entschuldigung:
Geht es ein wenig genauer?
Danke!

bollock 28.06.2004 22:03
Äh.. Hab alle TemporaryInternetFiles gelöscht. Das reicht?
Danke!

*Christian* 28.06.2004 22:12
Scan doch mal.
Die Meldung sollte dann weg sein.

Yopie 28.06.2004 22:23
Wenn das System vollständig gepatcht ist(?), wäre das mal wieder eine Super-Unsinnsmeldung von Norton... [img]graemlins/crazy.gif[/img]

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Radja 28.06.2004 22:32
ich würde sagen dein hjt log sieht ok aus

würde aber dennoch den browser wechseln

tipp: mozilla

bollock 28.06.2004 22:33
Also ich kriege die Meldung nun alle Nase lang, aber mittlerweile sagt Norton: "Datei isoliert"
Irgendwie komisch: Die Meldung kam erstmals hier und die infizierte Datei war die ultimatebb die in der Adresse hier steht. Aber ein direkter Scan der Datei ergab nix...
Also wahrscheinlich doch Unsinn...?
Na ja, werd es überleben...
Gruß, Martin

bollock 28.06.2004 22:34
</font><blockquote>Zitat:</font><hr />Original erstellt von Radja:
ich würde sagen dein hjt log sieht ok aus

würde aber dennoch den browser wechseln

tipp: mozilla </font>[/QUOTE]Was ist denn unter 016 dieser "d.dialer2004"?
Irgendwas beunruhigendes? Hab zwar DSL, aber trotzdem...
Und wie sieht meinn anderes Logfile aus was weiter unten steht?
Danke!

Yopie 28.06.2004 22:48
</font><blockquote>Zitat:</font><hr />Original erstellt von bollock:
Was ist denn unter 016 dieser "d.dialer2004"?
Irgendwas beunruhigendes? Hab zwar DSL, aber trotzdem...</font>[/QUOTE]Das kannst Du fixen. Der Eintrag an sich ist harmlos. Scan mal mit einem Dialerscanner (z.B. a²-free), ob sich sonst noch Reste vom Dialer irdendwo tummeln.

Sorgen solltest Du Dir allerdings machen, wenn Du zusätzlich zu DSL noch via ISDN/analog mit dem Telefonnetz verbunden bist.

Wenn ich das richtig deute, hatte sich der Dialer übrigens auch über die Sicherheitslücke installiert, die auch für den o.a. Exploit verantwortlich ist. Bitte zur Sicherheit nochmal http://www.windowsupdate.com besuchen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Yopie 28.06.2004 22:51
Sorry, verklickt...

bollock 28.06.2004 22:54
So Dialer gefixt.
Und wenn Du noch den Logfile meiner guten Freundin mit dem Korgo ansehen könntest (weiter unten) :rolleyes: , werden wir bestimmt gute Freunde! [img]graemlins/knuddel.gif[/img] [img]graemlins/party.gif[/img]
Gruß, MArtin

bollock 28.06.2004 22:57
Windowsaupdate sagt, es sind keine wichtigen Updates mehr zu finden...
Hab das letzte Update frisch gemacht
Gruß, Martin


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:17 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129