Sicherheit für DAU?

[SNOWMAN]

Hi,

ich hoff ich bin im richtigen Board.

Meine Schwester ist ein totaler DAU in sachen PC, naja, und die hat da halt ihren PC und wählt sich mit so nem Dialer ding immer ein, naja, des teil soll angeblich den billigsten anbieter raussuchen und sich damit imemr verbinden, ist auch nur 56k modem etc.

auf jedenfall, ihr stirbt Outlook Express wenn sie ein anhang öffnet, den braucht sie aber für die uni.

Jetzt hab ich ihr mal HiJack This geschickt und ich selber ihre Logdatei durch den Analyzer gejagt ... *help*

Na, aufjedenfall läd sie grad den Stinger und den soll se dann mal laufen lassen.

Meine Fragen sind nun:

- Wird der Stinger helfen (siehe unten für hijackthis log)?

- Zonealarm funzt bei ihr angeblich nicht, bzw. wenn sie es installiert will sich der pc imemr runterfahren O_o *help*

was kann sie alternativ verwenden?

Oh weih... ich hoffe ihr lebt noch, ist schon krass, ich glaub ihr pc kann als Index aller bekannter und aktiver Viren / Würmer und Trojaner gesehen werden...

HIJACK THIS LOG


Logfile of HijackThis v1.99.1

Scan saved at 20:14:39, on 23.03.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\nbsystem.exe

C:\WINDOWS\shost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Winamp\winampa.exe

C:\Programme\Classic PhoneTools\CapFax.EXE

C:\Programme\Mouse\3.2\MOUSE32A.EXE

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

C:\Programme\QuickTime\qttask.exe

C:\sijdn.exe

C:\Programme\Oleco\_oleco.exe

C:\ScanPanel\ScnPanel.exe

C:\Programme\Belkin\Bluetooth Software\BTTray.exe

C:\WINDOWS\system32\spider.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\User\Eigene Dateien\ICQ Lite\174702632\SNOWMAN-X_109453279\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Mouse\3.2\MOUSE32A.EXE

O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h

O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\sijdn.exe

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: KeenValue.lnk = C:\Programme\Common files\KeenValue\keenvalue.exe

O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylomgames.com/activex/zylomgamesplayer.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab

O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4DA5D802-4D5B-481F-885C-EF98B571CDCC}: NameServer = 62.104.191.241 62.104.196.134

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe

O23 - Service: Network Browser (NBSystem) - Unknown owner - C:\WINDOWS\system32\nbsystem.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

[Thanks-and-Goodbye]

Formatier die Maschine und zieh das System sauber hoch. Installiere SP 2 und alle Post-SP2-Patches, installiere einen alternativen Browser, einen Virenscanner und eine Desktop-Firewall deiner Wahl.

Weshalb ist AOL installiert?

[SNOWMAN]

Warum AOL installiert ist kann ich dir nicht sagen.

Formatieren und von anfang an ordentlich dacht ich mir schon :/

Was für ne Firewall kann man einem DAU denn empfehlen?

Also Zonealarm zB ist schon zu viel für meine Schwester, wieso auch immer, aber sie kann mit aussagen wie

"C:\Programme\ICQ\icq.exe möchte auf das Internet zugreifen [Erlauben] [Verweigern]"

nichts anfangen, die versteht nicht was die meldung bedeutet und was sie machen muss O_o

[volker81]

Sind schon ein paar Stinker dabei im HiJackLog. Allerdings könntest du auch versuchen, diese manuell zu entfernen.

Eine saubere Neuinstallation behebt natürlich alles.

Firewall: Deine Schwester wird nur ICQ, den Browser und Outlook brauchen. Ergo wird die Firewall anfangs 3-4 mal Fragen und dann hat sie ja die Einstellungen.

[darkworld]

Die ersten Zugriffe für die Anwendungen die sie braucht machst du ihr. Später soll sie nur auf ablehnen drücken. Wenn irgendwas nicht geht soll sie sich bei dir melden. Schon ist eine eigentlich komplizierte Firewall ganz simpel...

Ne einfachere als die Zonealarm ist mir nicht bekannt.. von der XP-Firewall mal abgesehen, von der man als User gar nichts sieht.

Achja, was sich bei den von mir betreuten DAU's bewährt ist noch, ihnen nen eingeschränkten Benutzer zu machen und das Adminpasswort für mich zu behalten...

[SNOWMAN]

Ja ich denk so werd ichs ihr mal machen.

nur das mit dem adminzugang geheim halten und sie nur eingeschränkt wird wohl eher schwer umzusetzen sein, ich sitz in Nürnberg, sie in Köln.

Hey, hier sind doch ein paar Leut aus Köln da, hätte nicht mal wer lust?

Na, soweit ich weiß steht eh irgendwann in den nächsten 4 wochen n termin an für köln.

[Amstelchen]

nur das mit dem adminzugang geheim halten und sie nur eingeschränkt wird wohl eher schwer umzusetzen sein, ich sitz in Nürnberg, sie in Köln.

DAUs aus dem bekanntenkreis einfach fernwartungssoftware wie VNC o.ä. verpassen. spart kilometer

s'Amstel

[Leary]

VNC o.ä. verpassen. spart kilometer

über modem? hau rein. :floet:

[Amstelchen]

über modem? hau rein. :floet:

hab ich im OP wohl übersehn hehe.

s'Amstel