|
Hallo! Hier ist das Logfile vom Rechner, der immer wieder mal einfach runterfährt. XP Home Edition, Mac Affee Virenscanner, Norton Firewall neu installiert, Wurm Korgo wurde mehrfach gefunden. Wär mal nett, wenn jemand mal für mich prüfen könnte. Danke, Martin Logfile of HijackThis v1.97.7 Scan saved at 22:34:27, on 29.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\Programme\Norton Personal Firewall\SymProxySvc.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Norton Personal Firewall\ATRACK.EXE c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\WINDOWS\System32\wuauclt.exe A:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ecampus.uni-kl.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe" O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...085.1372106482 |
Hallo bollock, </font><blockquote>Zitat:</font><hr />...Wurm Korgo wurde mehrfach gefunden... </font>[/QUOTE]Wenn Du das weißt, würde ich an Deiner Stelle nicht mehr lange 'herum experimentieren', sondern das System komplett neu aufsetzen. Ich bin bekennenderweise kein Freund einer 'voreiligen' Neuinstallation, aber in diesem Fall würde ich genau dies tun. Siehe u.a. hier Du solltest anschließend als erstes die 'Ferbindungsfirewall' von XP aktivieren und das System patchen. Am Besten besorgst Du Dir am Kiosk ein Computer-Magazin mit einer Patch-CD. Im Moment haben die mal wieder verschiedene Verlage im 'Programm'. Diese CD's haben imho meist einen 'Patchstand' von Februar/März 2004. Die restlichen Patches solltest Du mit aktivierter 'Ferbindungsfirewall' von www.windowsupdate.microsoft.com herunterladen und erst dann den Rechner 'zu Ende' einrichten... Je nach 'Wichtigkeit' des Rechners lohnt sich auch die Anschaffung eines Imaging-Tools wie z.B. Symantec Ghost oder Acronis True Image (letzteres gab es vor kurzem auch kostenlos in einer Vorgängerversion auf versch. Heft-CD's). Wenn der Rechner neu gemacht ist und alles nach Zufriedenheit eingerichtet ist, solltest Du ein Abbild (Image) erstellen. Dieses kannst Du so nach evtl. neuem Malwarebefall schnell und umkompliziert 'zurückspielen'. |
Hallo Lutz! Danke Dir für Deine Ausführungen. Ich seh auch, dass der Rechner nicht wirklich immer auf dem aktuellen Stand gehalten wurde. Aber der Wurm Korgo wurde ja immer vom Mac Affee isoliert, hab´s nur der Vollständigkeithalber geschrieben. Das mit der Neuinstallation werde ich wohl bald mal machen. Ich bin aber trotzdem daran interessiert, ob in dem Logfile noch was anderes zu sehen ist, oder ob es unauffällig aussieht. Danke, Martin |
Es ist immer schwierig (eigentlich sogar unmöglich!) aufgrund eines solchen Logs die Diagnose zu wagen, dieses oder jenes System ist clean. Dieser Eintrag </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [SYSTEM] lsas.exe </font>[/QUOTE]deutet zum Beispiel auf einen Netzwerk-Wurm hin. Überprüfe die Datei einmal online bei Kaspersky oder benutze eScan (siehe Signatur). Sollte sich mein 'Verdacht' bestätigen, kommst Du imho nicht um eine kurzfristige Neuinstallation herum, wenn Du ein 'sauberes' System haben willst. Edit zum Zwecke der Link-Korrektur in der Signatur... [ 29. Juni 2004, 10:13: Beitrag editiert von: Lutz ] |
Danke, das ist doch schon mal was... Ja, ich denke Neuinstallation tut not... Ich schick Dir das Ergebnis hier nochmal rein. Danke und Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board