Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Festplatte formatieren, System neu installieren.

Genauere Anleitungen (mit weniger radikalem Vorgehen) kann es u.U. dann geben, wenn du mehr Informationen lieferst. Unterschiedliche Trojaner können durchaus unterschiedliches Vorgehen verlangen.

Am besten erstell ein HijackThis Logfile und stell es hier rein.

Geschrieben

Hi,

ich würd sagen, die Kiste ist kompromittiert. Da kann alles Mögliche drauf sein.

Als erstes würde ich die Maschine mal von einer Boot-CD, wie der Knoppicillin-CD der c't aus scannen.

Aber im Zweifel: Platt machen. Vor allem, wenn du noch Dinge wie E-Mail, Ebay, Hombanking, etc von dem Computer aus betreiben möchtest.

Andreas

Geschrieben

Ja, daß etwas sein könnte sehe ich durch "Handauflegen". Ich hab ja nicht gesagt, daß etwas sein muß.

Ich jedenfalls halte nichts davon aus einem kompromittierten System heraus eine Analyse durchzuführen.

Geschrieben

Ich bin doch nicht gegen eine Analyse. Ich halte nur Hijackthis im Allgemeinen nicht für das geeignete Werkzeug.

Bei einfacheren Verseuchungen kann es valide Resultate liefern. Aber man sollte sich nicht ausschließlich auf dieses Tool verlassen.

Dahingegen halte ich es für unerlässlich einen Scan von einem sauberen Boot-Medium aus durchzuführen.

Es ist ja auch nicht so, daß der ursprüngliche Trojaner das einzige Problem ist. Wer weiß, was er als Payload mit sich bringt. Und ob das den Antivirensoftware-Herstellern schon bekannt ist.

Geschrieben
Ich bin doch nicht gegen eine Analyse. Ich halte nur Hijackthis im Allgemeinen nicht für das geeignete Werkzeug.

Veto. So schlecht, wie du hijackthis darstellst ist es bei weitem nicht. Sicher, eine Analyse aus einem befallenen System heraus ist immer mit dem Risiko verbunden, das was übersehen wird.

Jetzt muss man werten: nimmt man die Art und Weise der Fragestellung des Threaderstellers, so ist hijackthis mit der doch recht einfachen Bedienung die erste Wahl. Alles andere setzt höhere Kenntnisse voraus.

Und zu einer ersten Bewertung des Verseuchungsgrades taugt ein hijackthis Log durchaus.

Geschrieben

Vielleicht bin ich ja auch ein wenig neurotisch. Aber ich bleibe dabei. Mindestens ein Scan von einer Boot-CD aus ist Pflicht. Und das halte ich auch für jemanden mit geringen Kenntnissen für möglich. Eventuell muß man sich eben irgendwo im Bekanntenkreis die CD von der c't besorgen. (halte ich für die einfachste Lösung).

OT: Cooles Profilbild. @Chief Wiggum

  • 2 Wochen später...
Geschrieben

ich habe hier den logfile,

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:41:48, on 28.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\xampp\apache\bin\apache.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\xampp\mysql\bin\mysqld.exe

C:\Programme\CDBurnerXP\NMSAccessU.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\Siemens\Gigaset USB Adapter 54\GUI.exe

C:\WINDOWS\system32\SatSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ICQ6.5\ICQ.exe

C:\xampp\apache\bin\apache.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{805ED26C-6B03-4F1B-9A42-974255EF05AC}: NameServer = 192.168.1.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 7023 bytes

Geschrieben

Hi,

das Log sieht erstmal unproblematisch aus...folgenden Eintrag kannste raushauen:

R3 - URLSearchHook: (no name) - - (no file)

Solltest du die Toolbar nicht freiwillig installiert haben auch noch:

02 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

und

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

Gruß

Raubritter

Geschrieben

ja danke. Mache ich.

Aber komischwerweise habe ich meinen computer heute noch mal prüfen lassen und mein Antivirus Programm hat diesen Virus nicht mehr angezeigt

Geschrieben

Meistens weist der von dir genannte Trojaner auf irgendeine Website hin, die mehr oder weniger verseucht ist, Hast du diese im Cache (Tempfiles oder so) dann heult AntiVir rum...also Kopf hoch, ist wahrscheinlich nicht so schlimm :)

Gruß

Raubritter

Geschrieben
:rolleyes:

Ansonsten gibts halt ein Bot mehr was solls...

na da ist er ja nicht allein °__°

btw wenn du meisnt du hast 1 trojaner drauf kannst du davon ausgehen das der

faul ist und nicht seine ganz arbeit allein machen will und gleich noch ein paar freunde eingeladen hat, defakto dein system ist false

ergo husch husch die plattn formatieren neu installieren aba nicht mit dem netzwerkverbinden sonder erst die aktuellen Updates installieren

(z.B mit dem ct´Offline update)

wenn du das System fertig hast mach dir ein Immage auf eine Externe Platte oder auf ein optisches Medium. und dann gehts erst wieder ins netz...

so hast du zwar erst etwas mehraufwand aber am ende brauchst du nur deine Platte whipen wenn wieder was ist und spielst dein Immage wieder auba nicht vergessen das du die offlien-update-cd auch aktualisieren muss

von zeit zu zeit...

Achja lass mal mit nem Virenscanner deine USB Speichermedien überprüfen

gibt da so kameraden die schreiben sich in den autostart des USB gerätes...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...