| |
| |||||||
Log-Analyse und Auswertung: Da muss irgendwo ein Virus sein...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.03.2008, 21:57
| #1 |
| |  Da muss irgendwo ein Virus sein... Hi Leute, ich hoffe mir kann jemand helfen... Es werden sofort nach dem Hochfahren Daten nach außen gesendent. Habs auch über Wireshark nochmal geloggt falls jemand daraus infos braucht. Ich hoffe ihr könnt aus meinem Hjack log was erkennen... Ich finde nämlich nix.  Logfile of HijackThis v1.99.1 Scan saved at 21:53:13, on 11.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\JVC Navi\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Wireshark\wireshark.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Updates\Software\Virenschutz\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX5000 Series auf ACER] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S25.tmp" /EF "HKLM" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\JVC Navi\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\JVC Navi\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\JVC Navi\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\JVC Navi\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160939713562 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install/installer.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B069B91D-AD81-4A80-8508-646156378EF1}: NameServer = 192.168.1.99 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe Vielleicht kann mir ja heute noch jemand Antworten.... Danke schon mal! Vollpfosten |
|
11.03.2008, 22:13
| #2 |
| /// Helfer-Team    | Da muss irgendwo ein Virus sein... Hi,
__________________Hijackthis sagt nichts aus. Eine harmlose Möglichkeit wäre irgendeine nach-hause-telefonier-Software, die nafragt, ob es ein Update gibt. Eine weniger harmlose Möglichkeit wäre ien durhc ein Rootkit versteckter Spambot. Was sagt denn Wireshark? du kannst es auch abspeichern, zippen und bei File-Upload hochladen, dann könnte ich selber reinsehen. Aber Achtung: da ist wirklich alles drin (hoffentlich), inklusive Mail-Passwörter usw. Gmer scannen lassen
Gruß, Karl |
|
11.03.2008, 22:40
| #3 |
| | Da muss irgendwo ein Virus sein... Ich hoffe jetzt mal das du damit nix anstellst...
__________________ Sag bitte wenn du die Datei hast dann lösch ich sie gleich wieder. http://www.file-upload.net/download-721531/wireshark-log-11.03.zip.html Mir kommt die übertragung von meiner ip 192.168.1.98 an die 87.248.216.39 komisch vor. Sind noch andre Rechner im Netz also net verwirren lassen. Und nix anstellen... Werde jetzt gleich mal die anderen Möglichkeiten ausprobieren Vollpfosten |
|
11.03.2008, 22:45
| #4 |
| /// Helfer-Team | Da muss irgendwo ein Virus sein... Datei geladen, sehe sehe ich mal rein. Edit: Nichts Auffälliges. Kommunikation zwischen den Rechnern im Netz und/oder dem Router. das meiste (darunter ip 192.168.1.98 an die 87.248.216.39) sind Windowsupdates. Heute ist Patchtag. Geändert von KarlKarl (11.03.2008 um 22:58 Uhr) |
|
11.03.2008, 23:04
| #5 |
| | Da muss irgendwo ein Virus sein... Danke... Dann brauch ich mir wegen dieser IP keine sorgen machen. GMER 1.0.14.14205 - http://www.gmer.net Rootkit scan 2008-03-11 23:03:52 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF77F4818] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF77F47D0] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF77E8A20] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF77E92A8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF77F4910] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF77F4794] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF77E92C8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF77F4866] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF77F40B0] ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 86741C58 Device \FileSystem\Rdbss \Device\FsWrap 86182E18 Device \Driver\atapi \Device\Ide\IdePort0 86271008 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 86271008 Device \Driver\atapi \Device\Ide\IdePort1 86271008 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 86271008 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 86271008 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 86271008 Device \Driver\usbstor \Device\00000080 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Srv \Device\LanmanServer 84773518 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 862AAC18 Device \FileSystem\MRxSmb \Device\LanmanRedirector 862AAC18 Device \Driver\usbstor \Device\0000007c sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Npfs \Device\NamedPipe 863015A8 Device \Driver\usbstor \Device\0000007d sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\usbstor \Device\0000007e sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Msfs \Device\Mailslot 86358988 Device \Driver\usbstor \Device\0000007f sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 863A6D40 Device \Driver\d347prt \Device\Scsi\d347prt1 863A6D40 Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8635F9C0 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8635F9C0 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8635F9C0 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8635F9C0 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8635F9C0 Device \FileSystem\Cdfs \Cdfs 8618F150 ---- Modules - GMER 1.0.14 ---- Module _________ F774A000-F7762000 (98304 bytes) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Electronic Arts\Command & Conquer 3 Tiberium Wars\x2122\Kundendienst\ Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Electronic Arts\Command & Conquer 3 Tiberium Wars\x2122\ Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Elphinstone\x2122 (TrueType) ELPHIN.TTF Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Folkard\x2122 (TrueType) FOLKARD.TTF Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{75DEF556-AC03-AEC8-0097-40B7BE729B20} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{75DEF556-AC03-AEC8-0097-40B7BE729B20}@eandaagfej 0x66 0x61 0x70 0x63 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{75DEF556-AC03-AEC8-0097-40B7BE729B20}@daaelafm 0x64 0x62 0x68 0x66 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{75DEF556-AC03-AEC8-0097-40B7BE729B20}@iafgohffadaoldamkc 0x69 0x61 0x63 0x70 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{75DEF556-AC03-AEC8-0097-40B7BE729B20}@hahfhopnodckokpe 0x69 0x61 0x63 0x70 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF3FF63-FB3D-4CF4-CE44-A90D37B7A5CE} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF3FF63-FB3D-4CF4-CE44-A90D37B7A5CE}@iabkdnjggnppidkbga 0x69 0x61 0x6B 0x6F ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF3FF63-FB3D-4CF4-CE44-A90D37B7A5CE}@haljnmcdenmdnabj 0x69 0x61 0x6B 0x6F ... ---- EOF - GMER 1.0.14 ---- |
|
11.03.2008, 23:08
| #6 |
| | Da muss irgendwo ein Virus sein... Welche besonderen Geräte bzw. Registry einträge hat er hier eigentlich geloggt? Und nach welchen einträgen sucht Catchme? Damit ich vielleicht auch ein bisschen was davon verstehe. Catchme hat garnichts gefunden. Geändert von Vollpfosten8 (11.03.2008 um 23:16 Uhr) |
|
11.03.2008, 23:45
| #7 |
| /// Helfer-Team | Da muss irgendwo ein Virus sein... Sind beides Scanner, die nach Hinweisen auf das Vorhandensein von Rootkits suchen. Nachdem ich deine Aufzeichnung geshen habe, denke, dass sie nicht erforderlich gewesen wären. Zuerst aber hielt ich es für möglich, dass da z.B. ein durch ein Rootkit versteckter Spambot liegen könnte. Da stehen Code-Hooks, bei denen Funktionen auf andere Adressen umgelenkt werden, versteckte Einträge, usw. Finde ich aber auch bei dir alles recht unauffällig. Mit Daemon Tools ist zwar eine Software vorhanden, die Rootkittechnik nutzt, aber dabei erwünscht ist. Scheint sich um eine ältere Version zu handeln. Noch ein Starforce-Kopierschutz |
|
| Themen zu Da muss irgendwo ein Virus sein... |
| add-on, adobe, antivir, avira, bho, bonjour, c:\windows\temp, cs3, drivers, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, konvertieren, magix, mozilla, mozilla firefox, object, pdf-datei, schutz, shockwave, software, superantispyware, system, temp, toolbars, unknown file in winsock lsp, updates, virus, windows, windows xp, windows\temp, wireshark |
Linear-Darstellung
