Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> gefunden: potentiell gefährliche Software Invader
senki
Beitrag 03.03.2008, 23:59
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 18
Mitglied seit: 03.03.2008
Mitglieds-Nr.: 6.766



gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe


öhm hat mein kiv gefunden
habe heute windows neu machen müssen

kann mir bitte einer sagen was ich machen soll



Go to the top of the page
 
+Quote Post
BataAlexander
Beitrag 04.03.2008, 01:10
Beitrag #2



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 75
Mitglied seit: 11.08.2007
Mitglieds-Nr.: 6.363

Betriebssystem:
xx
Virenscanner:
xx
Firewall:
xx



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
Beim umbenennen ist es wichtig, dass die Dateinamenerweiterungen angezeigt werden.
Wenn Du eine HiJackThis.exe siehst, passt das, falls da nur HiJackThis steht, geh bitte wie folgt vor:
Im Explorer auf Extras Ordneroptionen, dann auf den Reiter Ansicht. Dort machst Du dann den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" raus. Dann kannst Du die HiJackThis.exe umbenennen.

-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
Go to the top of the page
 
+Quote Post
senki
Beitrag 04.03.2008, 12:16
Beitrag #3


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 18
Mitglied seit: 03.03.2008
Mitglieds-Nr.: 6.766



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:34, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\OO Software\CleverCache\ooccctrl.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\senki\Desktop\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1204584721328
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5235 bytes



so habe emein win,xp gestern neu drauf gemacht
Go to the top of the page
 
+Quote Post
BataAlexander
Beitrag 04.03.2008, 12:41
Beitrag #4



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 75
Mitglied seit: 11.08.2007
Mitglieds-Nr.: 6.363

Betriebssystem:
xx
Virenscanner:
xx
Firewall:
xx



Wann genau, vor oder nach der Meldung der svchost?

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Ansonsten ist das Log soweit ok.
Go to the top of the page
 
+Quote Post
senki
Beitrag 04.03.2008, 13:37
Beitrag #5


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 18
Mitglied seit: 03.03.2008
Mitglieds-Nr.: 6.766



ok danke

kennst vlt das spiel twoworld
Go to the top of the page
 
+Quote Post
BataAlexander
Beitrag 04.03.2008, 13:48
Beitrag #6



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 75
Mitglied seit: 11.08.2007
Mitglieds-Nr.: 6.363

Betriebssystem:
xx
Virenscanner:
xx
Firewall:
xx



Wann hast Du denn nun neu aufgesetzt? confused.gif
Und nein, das Spiel kenn ich nicht.
Go to the top of the page
 
+Quote Post
senki
Beitrag 04.03.2008, 13:54
Beitrag #7


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 18
Mitglied seit: 03.03.2008
Mitglieds-Nr.: 6.766



habe es gestern neu gemacht
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 22.08.2014, 10:50
Impressum