Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

hallo,

habe ein problem das sich nur noch ein link mit meinem t-onlinebrowser öffnen läst.

irgendwas mit worldtracker blabla...

darauf hin habe ich mit dem program hijackThis mal laufen lassen

könnt ihr mir eventuell sagen wo der übeltäter liegt?

-------------

Logfile of HijackThis v1.99.1

Scan saved at 13:09:05, on 11.09.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\System32\S24EvMon.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe

C:\Programme\lotus\notes\ntmulti.exe

C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Programme\Tiny Personal Firewall\persfw.exe

C:\WINNT\System32\QCONSVC.EXE

C:\WINNT\System32\RegSrvc.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe

C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\WINNT\SYSTEM32\Ati2evxx.exe

C:\WINNT\Explorer.exe

C:\WINNT\system32\RunDll32.exe

C:\WINNT\AGRSMMSG.exe

C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINNT\system32\hpnra.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\WINNT\comm.exe

C:\WINNT\iau.exe

C:\WINNT\stisvsq.exe

C:\WINNT\svshost.exe

C:\WINNT\comm.exe

C:\WINNT\msqdevl.exe

C:\WINNT\lssas.exe

C:\WINNT\mservice.exe

c:\winnt\system32\ynzbvm.exe

C:\CFGSAFE\AUTOCHK.EXE

C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\WINNT\system32\control.exe

C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE

C:\DOKUME~1\csm\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:8080

R3 - URLSearchHook: (no name) - {AE8C0DE7-446A-9ADB-1BF7-D542900EAED5} - ABCXYZ.dll (file missing)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\lxmii.dll

O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINNT\kjwe.dll

O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsg34.dll

O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nss3.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\lxmii.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [bMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [bMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QCWLIcon] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\system32\hpnra.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Communicator] C:\WINNT\comm.exe /i

O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - HKLM\..\Run: [internet Connection Wizard] stisvsq.exe

O4 - HKLM\..\Run: [Games Acceleration] svshost.exe

O4 - HKLM\..\Run: [internet Mail and News] msqdevl.exe

O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe

O4 - HKLM\..\Run: [WhatsNewBot] jopplerg.exe

O4 - HKLM\..\Run: [ParisM] Serviceprocess.exe

O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun

O4 - HKLM\..\Run: [fjdbzrz] c:\winnt\system32\ynzbvm.exe

O4 - HKCU\..\Run: [internet Connection Wizard] stisvsq.exe

O4 - HKCU\..\Run: [internet Mail and News] msqdevl.exe

O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe

O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe

O4 - HKCU\..\Run: [WinInitDll] StartCpl.exe

O4 - HKCU\..\Run: [Games Acceleration] svshost.exe

O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe

O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\WareOut\WareOut.exe (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\WareOut\WareOut.exe (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/

O20 - Winlogon Notify: ckpNotify - C:\WINNT\SYSTEM32\ckpNotify.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe

O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINNT\System32\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Geschrieben

Da gibt es nicht nur einen "Übeltäter", der Rechner hat eine kleine freundliche Breitseite abbekommen.

Automatische Auswertung über hijackthis.de:

http://hijackthis.de/logfiles/9e94aff85c9fc478d05501cf802e933d.html

(drei Tage ab heute abrufbar)

Aktualisiere deinen Virenscanner, scan das System mit dem MS Antispywaretool, Adaware und Spybot Search&Destroy durch.

Informiere deinen Admin, dass das Firmennetz, in das du dich per VPN einwählst (du verwendest einen Checkpoint VPN-Client und einen Virenscanner für Netzwerkeinsatz, vermutlich auf einem IBM-Notebook) kompromittiert sein könnte.

Geschrieben

Das sind nur die Eintraege, die mit www.hijackthis.de als definitiv schaedliche Eintraege angezeigt wurden:

- iau.exe

- stisvsq.exe

- svshost.exe

- msqdevl.exe

- lssas.exe (Sober-Virus)

- mservice.exe

- C:\WINNT\Nail.exe

- C:\WINNT\kjwe.dll

Dazu kommen Eintraege, die mit Warnungen versehen sind. U.a diese:

- comm.exe

- ynzbvm.exe

- AUTOCHK.EXE

- ABCXYZ.dll

Der PC hat zuviele Viren, Trojaner und andere Malware drauf.

Schnellste und sicherste Moeglichkeit:

Setz den Rechner neu auf.

Dabei aber daran denken, dass nach der Installation vom Windows 2000 SP4 kein Schutz gegen Sober/Sasser-Virus besteht. Mit dem Einwaehlen ins Internet haettest Du hier den Virus unter einer Minute wieder drauf.

Drei Moeglichkeiten:

- Patches gegen Sasser/Sober vorher auf einem anderen System herunterladen und offline auf dem 2000er System installieren

oder

- Bei Einsatz eines Router dessen Firewall so konfigurieren, dass eingehend nichts erlaubt ist

oder

- Wenn der PC direkt am DSL-Modem haengt oder ISDN/Modem-Einwahl hat:

Installation und Konfiguration einer Personal Firewall, die eingehend nichts erlaubt

Dann Windows und den IE auf den letzten Stand bringen:

Beim IE ist das der IE6 SP1 und viele nachfolgende Patches.

Bei Windows 2000 kamen nach dem SP4 (Erscheinungsdatum: Juni 2003) auch viele Patches heraus. Hier gibt es als Vereinfachung des Updateprozesses ein Rollup Package, was alle Patches bis April 2005 beinhaltet. Danach kamen aber bereits wieder einige Patches heraus.;)

Den Rechner mit dem Dienst Automatische Updates immer auf dem aktuellen Stand halten. Dabei auch den IE/Outlook Express immer mit aktualisieren.

Auch daran denken, dass auch fuer MS Office ServicePacks und Hotfixes erhaeltlich sind ( http://office.microsoft.com/de-de/officeupdate/default.aspx ).

Genauso gibt es fuer andere Software Updates, z.B. der T-Online-Software. Bei der T-Online Software auch abwaegen, ob die T-Online Software wirklich gebraucht wird.

Wenn diese allein die Einwahl macht kann es - ohne Installation der T-Online-Software - einfach per DFUe-Eintrag realisiert werden.;)

- Keine lokalen Adminberechtigungen fuer die taegliche Arbeit

Lege Dir fuer die taegliche Arbeit einen Benutzer mit eingeschraenkten Rechten an und nutze die Adminberechtigungen nur dann wenn es noetig ist. Das Ausfuehren von Programmen mit hoeheren Rechten ist mit Ausfuehren als (Shift+rechte Maustaste auf das Programm -> Ausfuehren als) moeglich.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...