Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Biite um HiJackLog Auswertung (https://www.trojaner-board.de/7851-biite-um-hijacklog-auswertung.html)

papuaneuguinea 25.09.2004 21:24
Biite um HiJackLog Auswertung
 
Hallo Ihr Lieben,

Ich habe in letzter Zeit arge Probleme auf meinem PC und hoffe das mir jemand weiterhelfen kann.

Hier die HiJacklog:

Logfile of HijackThis v1.98.2
Scan saved at 22:06:10, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Borland\INTRBASE\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Borland\INTRBASE\bin\ibserver.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\01db\Symphonie Driver\exe\IconDlg.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\arsetup.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Grit\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [IconDlg.exe] C:\Programme\01db\Symphonie Driver\exe\IconDlg.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [windows monitor] C:\arsetup.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de

Schon mal im Voraus vielen Dank!!!

Cidre 25.09.2004 21:28
Hallo,

überprüfe zunächst einmal diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis:

C:\arsetup.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\System32\msgrsv32.exe

papuaneuguinea 25.09.2004 21:52
Hab ich gemacht, das Ergebnis sagt mir aber nicht viel.
Danke;


Zu überprüfende Datei: msgrsv32.exe

msgrsv32.exe - packed with PE_Patch.Morphine
msgrsv32.exe - packed with Morphine
msgrsv32.exe - packed with UPX
msgrsv32.exeWarnungen: TrojanProxy.Win32.Ranky.aj

Zu überprüfende Datei: xwinxrpc32.exe

xwinxrpc32.exe - packed with PE_Patch.Morphine
xwinxrpc32.exe - packed with Morphine
xwinxrpc32.exe - packed with UPX
xwinxrpc32.exe Infiziert: Backdoor.Agobot.gen

Zu überprüfende Datei: arsetup.exe

arsetup.exe Infiziert: TrojanDropper.Win32.PurityScan.f

Cidre 25.09.2004 22:15
Auf deinen System befinden sich viele Trojaner, unter anderem auch Backdoor Trojaner die einen Fernzugriff auf dein infiziertes System erlauben. Daher solltest du imho zur deiner eigenen Sicherheit einen sauberen Schnitt machen und das System neu aufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

TrojanProxy.Win32.Ranky.aj => http://www3.ca.com/securityadvisor/v....aspx?ID=38226
Backdoor.Agobot.gen => http://www3.ca.com/securityadvisor/v....aspx?ID=37776
TrojanDropper.Win32.PurityScan.f => http://www.sophos.de/virusinfo/analy...jpurscanf.html

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

papuaneuguinea 25.09.2004 22:37
Hallo Cidre,

Besten Dank für Deine Hilfe. Ich hatte XP schonmal neu installiert. Allerdings war das Problem nach dem ersten Internetzugang wieder da.

Ich versuche es mal mit Deinen Sicherheitshinweisen.
Nochmal Danke und liebe Grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131