|
hijack findet commodo fw nicht hallo, habe eben hijackthis laufen lassen, was auch meine commodo firewall *.exe gesehen hat als laufender prozess. Die logfileauswertung sagt aber: In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe: (1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall. (2.) Sie benutzen eine Firewall, die uns nicht bekannt ist. (3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder (4.) sie verwenden keine Firewall. Weiss jemand was ich nun denken soll? Ist commode hijack nicht bekannt? vg Stefan |
Hallo, nicht jede Software-Firewall ist der Datenbank zur Auswertung bei hijackthis.de auch bekannt. Also kein Grund für unnötige Panik. :rolleyes: |
Zitat:
Danke :-) panik bekomme ich nicht. dachte nur, dass ein bekanntes programm erin anderes bekanntes kennen könnte. Aber ok. Was ist denn deiner meinung nach z. zt. die einfachste open source (oder kostenlose) fw? VG S |
Zitat:
|
Zitat:
Meine win-fw geht seit aufspielen des sp2 nicht mehr und ich habe schon alles versucht. Nun habe ich aber einen backdoor. ircbot.st bzw mocbot drauf. 36 registryeinträge mit hotkey..........legacy_wgareg. Löschen geht nicht? Eine wurmexe in der system 32 zu löschen ist leicht, aber hier wirds wohl umständlicher? Ich will aber auch nicht alles neu machen, also suche ich nach auswegen... Mein pc läuft übrigens unauffällig! vg Stefan |
Zitat:
Du wunderst Dich, dass die WinFirewall abgeschaltet ist, wenn Du eine Backdoorinfektion hast? :lach: Zitat:
Zitat:
|
Zitat:
Fürn windows rechner ist das doch unauffällig :-) Er stürzt nicht ab und macht eigentlich immer das was ich will. Im ernst, warum kann ich den backdoor nicht ohne neuinstall loeschen? Die backdoor-registryeinträge zeigen leider auch auf keine datei! Wie das ja sonst meist der fall ist. Nachtrag: der backdoor zeigte natürlich doch auf eine wgareg.exe im sys32. Die konnte ich aber im laufenden betrieb umbenennen. Irgendwann hat irgendein scanner gefragt ob ich sie loeschen will und ich habe geloescht. Die exe ist also schon wochen nicht mehr da. ? vg S |
Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung Du hast vllt den Backdoor beseitigt, aber wer kann garantieren, dass nix wesentlich besseres versteckt wurde? Dadurch dass er aktiv war, hatte jmd Vollzugriff auf Deinen PC und wahrscheinlich immer noch. Zitat:
Vllt könntest Du mal Dein Hijackthis Logfile posten. :rolleyes: |
Zitat:
Und hier der Jack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:19:39, on 11.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\Comodo\Firewall\cfp.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\WINDOWS\explorer.exe C:\PROGRA~1\MOZILL~2\FIREFOX.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3651B415-1FA6-44D6-AA6F-076A64D1B09F}: NameServer = 217.237.149.142 217.237.150.205 O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O23 - Service: MySql (mysql) - Unknown owner - C:/xampplite/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 4090 bytes Was sagst Du? Ich habe inzwischen die comodo neu aufgespielt und scan laufen lassen. Die meckert wegen einem trojaner in der winlogon. Das scheint mir aber eine fehlmeldung zu sein, zumal der fehler bei vielen anderen usern auftritt. Selbst bei neuaufgesetzten, die noch keine sekunde im netz waren. vg Stefan |
Zitat:
|
Zitat:
Erst gestern -sonntag- habe ich comodo neu drauf und es kam: Trojan.Win32.Patched.m(ID = 0x4d69a) C:\WINDOWS\system32\winlogon.exe vg S. |
Das Hijackthis Logfile ist unauffällig. Heißt aber nicht, dass das System auch sauber ist. :rolleyes: Mit den wortgenauen Angaben meinte ich die Virenwarnung. Welches Programm meldet Dir das? Doch nicht die Commodo-Firewall? Deswegen wortgenaue Angaben, am besten ein Screenshot. Ich denke bei der winlogon.exe liegt eher ein Fehlalarm vor, um das zu überprüfen die angemeckerte Datei mal bei Virustotal überprüfen lassen. :teufel3: |
Zitat:
Hi, doch, die warnung kam aus der comodo. Aber wie ich schon weiter oben gesagt habe, ist es wohl ein fehlalarm, weil niemand auch nicht virustotal die winlogon als befallen meldet. vg Stefan |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:24 Uhr. |
Copyright ©2000-2024, Trojaner-Board