Hijackthis Auswertung

Hallo erst mal...

Habe einem Bekannten gebeten, mal auf seinem Win ME Rechner Hijackthis laufen zu lassen.

Bei den Warnungen zu Taskmng.exe und IEXPLORER.EXE
weiß ich keinen Rat.

Daher die Bitte an euch, was ihr, neben komplett neu installieren, noch empfehlen würdet.

http://hijackthis.de/logfiles/c2f5d34ed733f7958081b1ab9bab7343.html

Danke und
Mit duftenden Grüßen

Socke

P.S.: Nein, es ist wirklich nich tmein eigener Rechner! ;-)

 

Hallo,
bin mir nicht sicher, die beiden könnten entweder Teil eines Backdoors oder Teil von CWS sein. Beende mal die Dateien im Taskmanager (auf die genaue Schreibweise achten!) , überprüfe sie hier und poste das Ergebnis.


Grüße Jasager

 

@ socke

Die installierte Java-Version ist veraltet. Bitte deinstallieren und von http://java.sun.com/javase/downloads/index.jsp das Java Runtime Environment (JRE) 5.0 Update 8 herunterladen und installieren.

Gruß
Nevok

 

Dazu vielleicht. Das sind Schädlinge die ähnliche Namen wie übliche Programme benutzen. Die Original Programm Namen sind:
Taskmgr.exe
und
iexplore.exe

 

Danke euch sehr, dass ihr so schnell mit Tipps zur Stelle seid!!!

Also: Java hat er aktualisiert.

Dann sagte er, muss man bei dem Virencheck wohl ne Stunde warten, bis man dran ist. Er macht mit der IExplorer.exe daher morgen früh weiter.

Hier das Ergebnis der Taskmgn.exe bei Virustotal:

AntiVir 7.1.1.14 09.06.2006 TR/Dldr.Debell.1
Authentium 4.93.8 09.06.2006 no virus found
Avast 4.7.844.0 09.06.2006 no virus found
AVG 386 09.06.2006 no virus found
BitDefender 7.2 09.06.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.06.2006 no virus found
DrWeb 4.33 09.06.2006 DLOADER.Trojan
eTrust-InoculateIT 23.72.117 09.05.2006 no virus found
eTrust-Vet 30.3.3064 09.06.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.06.2006 no virus found
F-Prot 3.16f 09.06.2006 no virus found
F-Prot4 4.2.1.29 09.06.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 09.06.2006 no virus found
Kaspersky 4.0.2.24 09.06.2006 Trojan.Win32.Hpt.h
McAfee 4846 09.06.2006 no virus found
Microsoft 1.1560 09.06.2006 no virus found
NOD32v2 1.1742 09.06.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 09.06.2006 W32/Malware
Panda 9.0.0.4 09.06.2006 Suspicious file
Sophos 4.09.0 09.06.2006 no virus found
Symantec 8.0 09.06.2006 no virus found

TheHacker 5.9.8.205 09.06.2006 no virus found
UNA 1.83 09.06.2006 no virus found
VBA32 3.11.1 09.05.2006 suspected of Trojan.StartPage.55
VirusBuster 4.3.7:9 09.06.2006 no virus found


Zum Thema, die Prozesse im Taskmanager zu beenden:
Eine IExplorer.exe kann er nicht finden, nur explorer.

Den Versuch, die Taskmgn.exe zu beenden, beschreibt er so:
also taskmgn.exe: fenster geht auf "anwendung reagiert nicht" klicke auf schliessen-> pc hängt sich auf.


Danke euch nochmals sehr für eure Unterstützung und hoffe, dass ihr uns weiter helft.

Mit duftenden Grüßen

Socke

 

Bei sowas sind wir eigentlich immer schnell mit Tipps zur Stelle.

Sehr gut!

Könnte sich evtl. um einen Fehlalarm handeln, bin mir aber nicht ganz sicher.

Meint er damit, dass er die im Taskmanager nicht finden kann? Es gibt durchaus Programme, die verhindern, dass sie im Taskmanager angezeigt werden. Daher bitte mal den Process Viewer oder den Process Explorer runterladen, installieren, ausführen und über diese die beiden Prozesse (IExplorer.exe und Taskmgn.exe) beenden.


Gruß
Nevok

 

Hallo,

Sieht für mich nicht so aus, eher nach etwas ganz neuem.

Hmm, hatte ich bisher noch nicht das etwas bei HijackThis angezeigt wurde und im Taskmanager nicht, aber da der Process Explorer immer empfehlenswert ist, kann es mal damit versucht werden.
Alternativ einfach die Datei ohne sie zu beenden mal überprüfen.



Grüße Jasager

 

Also dass ihr nachts noch antwortet... das haut mich ja um!
Werden gleich morgen, also heute früh, eure Ratschläge weitergeben und die Ergebnisse hier posten.

Sollte es sich um was "NEUES" handeln, was mir gar nicht gefallen würde, dann werde ich ihn eindringlich ermutigen, das System neu aufzusetzen - es sei denn, ihr seht gute Chancen, es noch einmal ohne dies hin zu bekommen. Sein Virenscanner ist inzwischen auch wieder aktuell, denn all die roten Zeichen in der Hijackthis Auswertung haben ihm die Dringlickeit der wichtigsten Schutzmaßnahmen bewußt werden lassen.

Danke euch stellvertretend herzlich!

Socke

 

Was soll man sonst machen, wenn man nicht schlafen kann (oder will).

Sehr schön. So loben wir uns das.

In den sauren Apfel wird er vielleicht beißen müssen. Wenn er neuaufsetzt, dann aber richtig:

http://www.cidres-security.de/neuaufsetzen.html

Und damit's nicht gleich wieder zu 'ner Infektion kommt:

http://www.cidres-security.de/sicherheitskonzept.html

Wenn Jasager sein OK dazu gibt. Er kennt sich da etwas besser aus als ich.

Den Virenscanner aktuell zu halten, ist mindestens täglich Pflicht, unter Umständen sogar mehrmals täglich. Auch ein regelmäßiger Besuch der Windows-Update-Seite ist Pflicht bzw. das Aktivieren des Automatischen Updates.

 

Hallo,

Hmm, bleibt der Daumenzeig an mir hängen.
Also ich tendiere dazu den Daumen zu senken, die Erkennungen von Kaspersky und Antivir sind keine heuristischen also scheinen sie mir zuverläßig. Auch ist der Verdacht sehr groß das es sich um eine Variante von diesem Backdoor handelt. Die nötigen Links zum Neuaufsetzen und absichern hat Nevok ja schon gegeben, die kannst du dann an deinen Freund weiterleiten.



Grüße Jasager

 

nachdem die taskmgn.exe und iexplorer dank eurer Tools angeschossen wurden:

http://www.hijackthis.de/logfiles/dbb41c3feb4e68e912264bbf90c99389.html

Beide Dateien stehen gerade an, um bei virustotal gecheckt zu werden.

Die Einträge wurden auch bei Hijackthis gefixt.

Nach Virenergebnis wird Rechner neu gestartet und Hijackthis erneut auf Jagd geschickt. Ergebnis all dessen poste ich euch, wenn alles vorliegt.

Danke schon mal!!!

In Kürze dann die Hijackthis-Log nach dem Neustart:

Das söhe nicht so schlecht aus... Was meint ihr?

http://hijackthis.de/logfiles/51b0f4a0f578b60252a8d333e48e7489.html

Was müssen wir als nächstes tun/ versuchen?

Herzlichen Dank schon mal und duftende Grüße

Socke

 

Hallo,
ich bleibe bei meiner Einschätzung, Neuaufsetzen.
Allein das hier sollte doch eigentlich Grund genung sein:

Grüße Jasager

 

Danke dir sehr , Jasager!

Obwohl deine Mahnung meinem Bekannten gar nicht gefielen, dachten wir doch, dass wir dem Übel dicht auf den Fersen sind.

Ganz aufgeben will er noch nicht... Falls ihr uns dabei helfen möchtet, ist diese höchst willkommen. Möchte noch ein paar Tools drüber laufen lassen und wenn das dann auch scheitert, werden wir die nötige und empfohle Neuinstallation in Angriff nehmen. Dann aber streng nach Vorschrift und Absicherung des Systems.

Also, wenn ihr uns bei unserem verzweifelten Unterfangen unterstützt, sind wir überaus dankbar - falls nicht, natürlich auch! Allein, dass ihr so schnell und stets mit sehr guten Ratschlägen geholfen habt, war und ist super. Aber wenn schon ein Jasager keine Hoffnung mehr machen will, ist es sehr ernst, das weiß ich. Kenne ich doch deine vielen Beiträge aus anderen, ähnlichen Vorkommnissen.

Halte euch selbstverständlich auf dem Laufenden und teile euch auch mit, wenn er das System neu aufsetzt (was wohl darauf hinaus laufen wird). Aber die Hoffnung stirbt zuletzt udn da er bis jetzt fleißig mitgemacht hat und auch Besserung gelobt hat, möchte ich ihm den "vorletzten" Dienst nicht verwehren...

Duftende Grüße

Socke

 

N'Abend socke

Erstmal für dein Lob, auch im Namen von Jasager.

Ganz ehrlich gesagt würde ich lieber gleich neu Aufsetzen und mir das Drüberlaufen der paar Tools sparen. Es ist einfach die sicherste Methode und, je nachdem wie neu der Rechner ist, auch schnell erledigt (in ca. 1 - 2 Stunden).

Um eine Neuinstallation zukünftig zu vermeiden (ich will mal hoffen, das keine mehr nötig ist), wäre es angebracht, nach der Neuinstallation und dem Aufspielen der Updates ein Image der Systempartion mit einem Image-Programm (z. B. Acronis True Image) anzulegen. Für den Fall der Fälle bräuchte man dann nur das Image zurückspielen, was innerhalb weniger Minuten erledigt wäre.

Das erstellte Image sollte dann auch regelmäßig aktualisiert werden, entweder wöchentlich oder zumindest einmal im Monat (am besten nach dem monatlichen Patchday von Microsoft).

Gruß
Nevok

 

Endergebnis:

Da die Hardware sogar der Software hinterher hinkte,
wird sich mein Bekannter ein neues System zulegen und dieses,
mit eurer und meiner Hilfe von Anfang an korrekt einrichten, nebst Image.

Nochmals herzlichen Dank an euch!
Hoffe, ich werde in Zukunft eure Tipps nur noch interessiert lesen, statt sie selbst zwingend von euch zu erbitten!

Mit duftenden Grüßen

Euer Socke

 

Du kannst diese Tipps ja auch an andere weitergeben, falls die mal das gleiche Problem haben wie dein Bekannter.

Ich speichere beispielsweise gute Tipps als Benutzernotiz ab. So brauch ich, falls mal wieder jemand irgendwo ein Problem hat, nur in meine Benutzernotiz(en) schauen und die entsprechende Lösung dann im Thread posten.

Benutzernotizen kann jeder Benutzer verfassen und können auch nur vom jeweiligen Benutzer eingesehen und geändert bzw. gelöscht werden (mit Ausnahme der Moderatoren und Adminstratoren, die können die Benutzernotizen aller User sehen, verändern und löschen. Also nix negatives zu den Mods oder Admins schreiben, wir sehen das. )