Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Einfach nur eine zweite Meinung (https://www.trojaner-board.de/71308-einfach-nur-zweite-meinung.html)

VigarLunaris 23.03.2009 13:51
Einfach nur eine zweite Meinung
 
Bitte einfach mal jemand der einen zweiten Blick darauf wirft :)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:50, on 23.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = XXXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O1 - Hosts: Copyright (c) 1993-1999 Microsoft Corp.
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: AutorunsDisabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O15 - Trusted Zone: http://*.eumex.ip
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

--
End of file - 3822 bytes
Die Hosts ist mit Absicht editiert, damit blende ich bei mir Werbung ins Nirvana über URL -> 127.0.0.0 damit ich die dann nicht mehr angezeigt bekomme wenn sie ZU aufdringlich wird :)

CTFMON ist per Hand rauseditiert. Die Autostart gelöscht einträge stammen aus dem Autostartverwalter, mit dem ich massen an Hintergrundgedöns ausgeschaltet habe und NUR bei Bedarf lade.

myrtille 23.03.2009 14:32
Wer hat denn den ersten Blick drauf geworfen? Und wieso?

Das Log zeigt auf, dass du keine Firewall benutzt, autoruns und eset installiert hast und eine veraltete Version von Java zu nutzen scheinst.

Für eine malwareanalyse ist HijackThis nicht ausführlich genug, da müsste mehr überprüft werden. Was willst du denn hören?

Zum überprüfen auf aktuelle Software ist zb Secunia sehr nützlich.

lg myrtille

VigarLunaris 23.03.2009 14:53
Zitat:
Zitat von myrtille (Beitrag 423407)
Wer hat denn den ersten Blick drauf geworfen? Und wieso?

Das Log zeigt auf, dass du keine Firewall benutzt, autoruns und eset installiert hast und eine veraltete Version von Java zu nutzen scheinst.
Firewall läuft ... Hardwarefirewall

Zitat:
Für eine malwareanalyse ist HijackThis nicht ausführlich genug, da müsste mehr überprüft werden. Was willst du denn hören?

Zum überprüfen auf aktuelle Software ist zb Secunia sehr nützlich.

lg myrtille
Oki dann weis ich ja welche software ich für einen weiteren Scan nutzen kann, die frage war mehr ob etwas offentsichtlicher natur ist und nicht in Ordnung :)

Edit: Oki Java Update done und somit ist das ganze nun soweit am Rennen. Malewareanalyse mit den Tools aus dem Faq ist clear kann also dicht.

Nun weis ich das ich soweit dann nix mehr übersehen habe :)

myrtille 23.03.2009 15:05
Zitat:
Zitat von VigarLunaris (Beitrag 423415)
Firewall läuft ... Hardwarefirewall
Immer diese Leute die jedes Wort auf die Goldwage legen. :blabla: Softwarefirewall meinte ich natürlich. ;)


Zitat:
Oki dann weis ich ja welche software ich für einen weiteren Scan nutzen kann, die frage war mehr ob etwas offentsichtlicher natur ist und nicht in Ordnung :)
Ich empfehle eigentlich immer die Onlineversion von Secunia, die nur Programme überprüft, die auch ins Internet gelangen. Es gibt auch eine offline Version Personal Secunia Inspector, die alle Programme auf Updates überprüft.

Wenn du in letzter Zeit Malwareprobleme hattest, sollte man noch genauer hinsehen. Hijackthis gibt nur einen sehr groben Überblick übers System. Wenn das System an sich aber sauber läuft, dann ist das nicht unbedingt notwendig.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55