Trojaner-Board - HILFEEE! Weine gleich!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HILFEEE! Weine gleich! (https://www.trojaner-board.de/7537-hilfeee-weine-gleich.html)

HILFEEE! Weine gleich!

Also irgendwas läuft gerade falsch bei mir habe ich das Gefühl...Vorhin hat mein Norton Antivirus Programm ein paar verdächtige Dinge gefunden und sein Programm abgespielt, Zugriff verweigert,gelöscht,...
Dann habe ich im abgesicherten Modeus den Scanner der hier empfohlen wird drüber laufen lassen und er hat nix gefunden...

Kann hier hemand das Log auswerten und mir nen ratschlag geben wie es weitergeht und ob alles ok ist??

Übrigens benutze Sygate als Firewall und der schlägt die ganze Zeit an das jemand meinen rechner scannen will...

Hier mein Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:26:32, on 13.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SLEE503.exe
C:\WINNT\system32\SLEE81.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Steganos Security Suite 6\itd.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\Programme\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SSS6_ITD] "C:\Programme\Steganos Security Suite 6\itd.exe" /booting
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a22319...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35511950-05A5-4362-91F2-E7EC58EA5F9B}: NameServer = 213.191.92.87 213.191.74.18

Ich sehe nix.

Dies kenne ich jedoch nicht:
C:\WINNT\system32\SLEE81.exe

Und was soll ich damit nun machen? Fixen??

Hallo Trodat,

hattest Du den eScan im abgesicherten Modus laufen lassen? Hattest Du dieses Programm zuerst online geupdatet?

Ich sehe in Deinem Logfile ein paar unbekannte Prozesse und möchte Dich bitten, sie zur Sicherheit mit dem online-scan von Kaspersky untersuchen zu lassen:

C:\WINNT\system32\SLEE81.exe
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe

Teile uns dann bitte das Ergebnis mit.

Zitat:

Übrigens benutze Sygate als Firewall und der schlägt die ganze Zeit an das jemand meinen rechner scannen will...

Dabei dürfte es sich um einen Portscan handeln. Portscans an sich, sind harmlos, schau mal hier .

SD

Ich nehme mal an, die C:\WINNT\system32\SLEE81.exe gehört auch zu Steganos. Checke sie mal hier:

http://virusscan.jotti.org/de

Kannst du denn mal bei NAV herauskriegen, WAS er gefunden hat? Gibt doch sicher auch eine Logdatei.

"Übrigens benutze Sygate als Firewall und der schlägt die ganze Zeit an das jemand meinen rechner scannen will..."

Ignorieren. Das übliche Hintergrundrauschen des Internet, das vielen erst Angst macht und dann das Gefühl gibt, die Superfirewall macht ihre Arbeit und schützt sie. Solange du auf deinem System keine Dienste (mal lesen: www.dingens.org) anbietest oder Trojaner hast, kann man dich scannen, bis man schwarz wird.

Lektüre dazu:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Zitat:

Zitat von Shadowdance

...hattest Du den eScan im abgesicherten Modus laufen lassen? Hattest Du dieses Programm zuerst online geupdatet?

Ja hatte ich gemacht so wie es hier oft von Euch beschrieben wird

Zitat:

Zitat von Shadowdance

Ich sehe in Deinem Logfile ein paar unbekannte Prozesse und möchte Dich bitten, sie zur Sicherheit mit dem online-scan von Kaspersky untersuchen zu lassen:

C:\WINNT\system32\SLEE81.exe
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe

Teile uns dann bitte das Ergebnis mit.

Also ich habe so wie beschrieben alle testen lassen und es gab dabei kein Ergebnis

Zitat:

Zitat von MountainKing

Ich nehme mal an, die C:\WINNT\system32\SLEE81.exe gehört auch zu Steganos. Checke sie mal hier:

http://virusscan.jotti.org/de

Auch hier negativ...

Und zu Deiner Frage was NAV gefunden hat: Bloodhound.Exploit.6

@Trodat

Bloodhound.Exploit.6 ist ein Wurm und "wird in einer E-Mail versendet, die vorgibt, von einem bekannten Unternehmen zu stammen."

Ist dieser Virus von NAV gelöscht worden? So ja, müsste nun eigentlich alles ok sein.

SD

Da es sich ja um NAV handelt, dürfte dieser Link hier evtl. auch informativ sein:

http://securityresponse.symantec.com...exploit.6.html

Schau mal, ob du den dort genannten Patch installiert hast. NAV nutzt die Bezeichnung Bloodhound auch für verschiedene Sachen, die von der Heuristic entdeckt werden, also dem Teil des Scanners, der zu "erraten" versucht, ob es sich bei einer Datei um einen Virus handelt, also keinen Signaturenabgleich macht. Dabei kommt es hin und wieder auch zu Fehlalarmen und da der Virus schon ziemlich alt ist, müsste zumindest eigentlich dieser von E-Scan gefunden worden sein, wenn er noch da wäre. Wobei ist denn NAV angesprungen, beim Öffnen einer mail, beim Surfen?

Wechsel auf alternative Browser wie Opera oder Firefox ist prinzipiell eine gute Idee.