| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
16.08.2008, 19:11
| #1 |
 |  Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo, ahh  Hab Malware Bytes laufen lassen. hat auch eine Infektion gefunden. fake.beep.sys oder so steht im log. Dann wolt ich das entfernen lassen es ging aber nicht. Da kam dann es konnte nicht alles volständig entfernt werden oder so dann konnte man auf ja oder nein klicken ich hab aus gewohnheit auf ja gedrückt (blöde angewohnheit  ) und dann hat der Pc rebootet. Jetzt hab ich keine Verbindung ins internet mehr und beim treiber meiner Wlan Karte steht: no card installed. oder so. Ich muss jetzt das Malware Bytes logfile Abschreiben. Sitz gerade am anderen pc und will das logfile nicht rüberkopieren da ich angst habe den auch noch zu infizieren.Mit freundlichen Grüßen Damnek |
|
16.08.2008, 19:23
| #2 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hier ist das logfeile. ich hab es abgeschreiben möglicherweise hat es schreibfehler die infizierte datei hab ich aber ganz bestimmt rictig geschrieben:Malwarebytes Antimalware
__________________datenbank Version: 1058 Windows 5.1.2600 Service Pack 3 19:46:21 16.08.2008 mbam-log-8-16-208 (19-56-20).txt Scan Methode: Vollständiger Scan (C:\|E:\) Dursuchte Objekte: 141138 Laufzeit: 57 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte registrierungschlüssel: 0 Infizierte registrierungswerte: 0 Infizierte dateiobjekte der registrierung. 0 Infizierte Verzeicnisse: 0 Infizierte dateien : 1 Infizierte Speicherprozesse (Keine bösartigen objekte gefunden) Infizierte Speichermodule (Keine bösartigen objekte gefunden) Infizierte registrierungschlüssel (Keine bösartigen objekte gefunden) Infizierte registrierungswerte (Keine bösartigen objekte gefunden Infizierte dateiobjekte der registrierung (Keine bösartigen objekte gefunden Infizierte Verzeicnisse (Keine bösartigen objekte gefunden Infizierte dateien C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> No action taken. |
|
16.08.2008, 19:58
| #3 |
| /// Helfer-Team    | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hi,
__________________auch auf die Gefahr hin, eine Abmahnung zu kassieren, möchte ich dir empfehlen, von Programmen wie netstat und Portscannern die Finger zu lassen, wenn du die dahinter stehenden Techniken nicht studiert hast und die Ergebnisse nicht deuten kannst. Z.B. hast Du dir einen Teil deiner offenen Ports selber in dein System "gehackt", als Du Skype installiert hast  Und wenn du anshceined was gegen Leute hast, die hacken, wieso fragst Du dann in einem Forum nach, in dem Support zu leisten, ebenfalls eine Art von hacken ist?Karl |
|
16.08.2008, 21:37
| #4 | |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? hallo KarlKarl, Dein Posting passt jetzt irgendwie gar nicht. Entweder du schreibst was, was mir in meiner misslichen lage hilft oder gar nichts. 1. ist netstat kein programm sondern ein Befehl für die Eingabeaufforderung 2. den Portscanner hab ich heute installiert weil ich den verdacht hab das sich jemand bei mir einhackt oder ich einen trojaner hab. ich wollte sehen ob es irgendwelche geöffneten Ports hat die ein Hacker/trojaner nutzen kann. Zitat:
BTT: Werd jetzt mal versuchen mein Internet wieder zum laufen zu bringen. EDIT: So Internet geht plötzlich wieder. Jetzt ist auch wieder wenn ich auf Start drücke "Verbinden mit" angezeigt. Komisch. Ist es eigentlich normal das der Zugriff auf den Ordner C:\Windows\System32\dllcache verweigert wird? EDIT2: Oh seh grad das ich mic am Konto mit den Eingeschränkten Recdhten angemeldet hab. Ich versuchs mal mit dem Konto das Admi Rechte hat. EDIT3: Hab die Beep.sys aus dem dllcache bei Virustotal hochgeladen. Ergebnis:0/36 Hier die MD5: da1f27d85e0d1525f6621372e7b685e9 Achja von meiner Festplatte wird in letzter Zeit immer öfters einfach so zugegriffen. Also mitten drin wenn ich eigentlich gar nichts mach fängt die an los zu rattern (also richtig laut). Das geht ne Minute dann is wieder ruhe. manchmal kommt ein paar Minuten später das selbe wieder. Werd jetzt mal Combofix laufen lassen. Noch ne frage: ich hab nach der beep.sys datei über die Windows Suche gesucht. Hat aber nur die im system32\drivers Ordner gefunden. nicht die im dllcache. hat das was zu bedeuten? Mit freundlichen Grüßen Damnek Geändert von Damnek (16.08.2008 um 22:01 Uhr) |
|
16.08.2008, 23:35
| #5 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? guten Abend, So Combofix hab ich ausgeführt. Es hat mir die Datei _desktop.ini gelöscht. Als ich dann das Logfile gesucht hab ist mir der Ordner QooBox aufgefallen. Scheint von Combofx zu sein. Hab dann mal reingeschaut. Da ist ein Ordner Quarantine oder so darin ist ein Ordner C und darin ein Ordner Windows darin widerrum ist ein Ordner Options und in diesem ist der Ordner Cags enthalten. Darin liegt die _desktop.ini.vir. Aber warum hat die Datei eine doppelte dateiendung? Hier mal der Combofix Log: Code:
ATTFilter ComboFix 08-08-15.04 - Admin 2008-08-17 0:11:55.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\OPTIONS\CABS\_desktop.ini
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-16 bis 2008-08-16 ))))))))))))))))))))))))))))))
.
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-16 18:55 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-16 14:31 . 2008-08-16 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\.zenmap
2008-08-16 14:30 . 2008-08-16 14:30 <DIR> d-------- C:\Programme\Nmap
2008-08-16 14:27 . 2008-08-16 14:27 <DIR> d-------- C:\nmap-4.68
2008-08-16 13:37 . 2008-08-16 13:37 <DIR> d-------- C:\Programme\LPS
2008-08-16 13:22 . 2008-08-16 13:22 <DIR> d-------- C:\Programme\Wireshark
2008-08-16 13:22 . 2008-08-16 13:22 <DIR> d-------- C:\Programme\WinPcap
2008-08-16 13:21 . 2008-08-16 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Wireshark
2008-08-14 21:49 . 2008-08-14 21:49 <DIR> d-------- C:\WINDOWS\Logs
2008-08-14 21:45 . 2008-08-14 21:45 <DIR> d-------- C:\WINDOWS\F579118563414E21A47F41B57AC749B5.TMP
2008-08-14 21:29 . 2008-08-14 21:29 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-08-14 21:21 . 2008-08-17 00:08 199,523 --a------ C:\WINDOWS\system32\nvapps.xml
2008-08-14 21:20 . 2008-08-14 21:20 <DIR> d-------- C:\WINDOWS\nview
2008-08-14 21:20 . 2008-07-29 18:05 453,152 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-08-14 21:20 . 2008-08-02 12:20 453,152 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-08-14 21:20 . 2008-08-02 12:20 18,335 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-08-13 18:01 . 2008-08-13 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-08-13 17:51 . 2008-08-13 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs
2008-08-13 15:22 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 15:21 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-11 08:35 . 2008-08-17 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-10 15:05 . 2008-08-10 15:05 58 --a------ C:\WINDOWS\nfsc_patch.ini
2008-08-07 16:02 . 2008-08-07 16:02 46,536 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-08-07 16:02 . 2008-08-07 16:02 32,200 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2008-08-07 16:01 . 2008-08-07 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-08-07 16:01 . 2008-08-07 16:01 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2008-08-07 16:01 . 2008-08-07 16:01 19,328 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2008-08-07 16:00 . 2008-08-07 16:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-08-07 16:00 . 2008-08-07 16:02 <DIR> d-------- C:\Programme\G DATA InternetSecurity
2008-08-07 16:00 . 2008-08-07 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InstallShield
2008-08-07 15:54 . 2008-08-07 15:54 <DIR> d-------- C:\Programme\CCleaner
2008-08-01 11:05 . 2008-08-01 11:05 70,936 --a------ C:\WINDOWS\system32\PhysXLoader.dll
2008-07-31 10:15 . 2008-06-26 17:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Vorlagen
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Startmenü
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Netzwerkumgebung
2008-07-31 10:15 . 2008-08-17 00:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen
2008-07-31 10:15 . 2008-07-31 10:15 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Favoriten
2008-07-31 10:15 . 2008-08-17 00:06 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Eigene Dateien
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Druckumgebung
2008-07-31 10:15 . 2008-08-07 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Comodo
2008-07-31 10:15 . 2008-08-16 18:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten
2008-07-31 10:15 . 2008-08-17 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Admin
2008-07-31 10:15 . 2008-04-14 07:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-07-30 14:13 . 2008-07-30 14:13 <DIR> d-------- C:\WINDOWS\Sun
2008-07-30 14:13 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-30 14:12 . 2008-07-30 14:13 <DIR> d-------- C:\Programme\Java
2008-07-30 14:11 . 2008-07-30 14:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-29 21:33 . 2008-08-05 17:17 250 --a------ C:\WINDOWS\gmer.ini
2008-07-29 20:36 . 2008-08-07 15:39 <DIR> d-------- C:\Programme\COMODO
2008-07-29 19:58 . 2008-08-04 22:28 <DIR> d-------- C:\Sandbox
2008-07-29 15:20 . 2008-07-29 15:20 <DIR> d-------- C:\Programme\Sandboxie
2008-07-29 15:20 . 2008-08-13 17:50 2,384 --a------ C:\WINDOWS\Sandboxie.ini
2008-07-28 20:25 . 2008-07-28 20:25 0 --a------ C:\WINDOWS\msicpl.ini
2008-07-27 19:52 . 2008-07-27 19:52 <DIR> d-------- C:\Programme\Audacity
2008-07-24 09:05 . 2008-07-24 09:05 304,408 --a------ C:\WINDOWS\system32\PhysX.cpl
2008-07-23 22:51 . 2008-07-23 22:51 <DIR> d-------- C:\Programme\Trend Micro
2008-07-22 15:51 . 2008-07-22 16:39 1,333,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-22 15:51 . 2008-07-22 16:39 17,744 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-22 15:32 . 2008-07-22 15:50 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-07-22 15:31 . 2008-07-24 15:02 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-07-22 15:18 . 2008-08-07 15:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-07-20 13:33 . 2008-07-24 15:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe(2)
2008-07-17 23:09 . 2008-07-17 23:09 <DIR> d-------- C:\Programme\Windows Defender
2008-07-17 16:47 . 2008-07-17 16:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Tobit
2008-07-17 16:47 . 2008-07-09 15:43 1,553,160 --a------ C:\WINDOWS\CICUnins.exe
2008-07-17 16:47 . 2008-01-10 12:49 554,496 --a------ C:\WINDOWS\system32\dvmsg.dll
2008-07-17 16:44 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-07-17 16:44 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-07-17 16:44 . 2008-06-23 18:14 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-07-17 16:44 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-17 16:44 . 2008-06-23 18:14 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-07-17 16:44 . 2008-06-23 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-07-17 16:43 . 2008-06-23 18:14 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-07-17 16:43 . 2008-06-23 18:14 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-07-17 16:43 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-07-17 16:43 . 2008-06-23 18:14 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-07-17 16:43 . 2008-06-23 18:14 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-07-17 16:41 . 2008-07-17 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-17 16:37 . 2008-07-17 16:37 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-07-17 16:34 . 2008-07-17 16:34 <DIR> d-------- C:\Programme\Skype
2008-07-17 16:34 . 2008-07-17 16:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-17 16:33 . 2008-07-17 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-17 16:29 . 2008-08-07 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-17 16:08 . 2008-07-17 16:08 <DIR> d-------- C:\Programme\abit
2008-07-17 16:07 . 2006-12-18 11:30 556,832 --a------ C:\WINDOWS\system32\drivers\aw5006.sys
2008-07-17 16:07 . 2006-12-18 11:30 556,832 --a------ C:\WINDOWS\system32\aw5006.sys
2008-07-17 16:07 . 2006-12-18 14:24 10,397 --a------ C:\WINDOWS\system32\net2425.inf
2008-07-17 16:07 . 2006-06-05 00:01 26 --a------ C:\WINDOWS\system32\net2425.cat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 08:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-14 19:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-14 19:22 --------- d-----w C:\Programme\AGEIA Technologies
2008-08-13 15:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-07 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-28 18:22 614,400 ----a-w C:\WINDOWS\system32\msvcr80.dll
2008-07-14 20:51 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-07-14 20:51 253,952 ------w C:\WINDOWS\Setup1.exe
2008-07-14 20:51 --------- d-----w C:\Programme\PCGH Oblivion-Tuner
2008-07-12 16:15 --------- d-----w C:\Programme\Windows Media Connect 2
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
2008-07-08 17:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 12:41 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-06 12:41 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-05 10:08 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-01 18:46 --------- d-----w C:\Programme\Microsoft Works
2008-07-01 18:36 --------- d-----w C:\Programme\Microsoft Works Suite 2001
2008-07-01 11:30 --------- d-----w C:\Dokumente und Einstellungen\Ann-Kathrin\Anwendungsdaten\Logitech
2008-06-29 13:22 --------- d-----w C:\Programme\7-Zip
2008-06-28 12:54 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-06-28 12:52 --------- d-----w C:\Programme\Gigabyte
2008-06-28 12:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-26 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-06-26 17:30 --------- d-----w C:\Programme\Logitech
2008-06-26 17:17 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-06-26 17:17 --------- d-----w C:\Programme\Realtek
2008-06-26 17:15 --------- d-----w C:\Programme\Intel
2008-06-26 15:17 --------- d-----w C:\Programme\Online-Dienste
2008-06-26 15:17 --------- d-----w C:\Programme\microsoft frontpage
2008-06-26 15:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelTraditionalChinese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSwedish.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSpanish.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSimplifiedChinese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelPortugese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelKorean.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelJapanese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelGerman.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelFrench.dll
2008-06-05 06:58 197,912 ----a-w C:\WINDOWS\system32\physxcudart_20.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtrl.exe" [2008-04-27 15:22 512512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08 1953792]
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 12:03 94208]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2000-07-12 21:15 24576]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [2000-07-22 00:55 28739]
"AirPaceWifi"="C:\Programme\abit\abit uGuru\AirPaceWifi.exe" [2006-12-18 10:40 2236416]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 12:59 1193648]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 13:28 603720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-08-02 12:20 13570048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-08-02 12:20 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 11:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 94208 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-08-02 12:20 1657376 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneV]
--a------ 2007-04-26 15:50 24576 C:\Programme\Gigabyte\ET5\ETcall.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-08-03 09:44 529968 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\Win32\\RpcDataSrv.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\RpcSandraSrv.exe"=
"E:\\Programme\\ICQ 6\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2008-08-07 16:01]
S2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 11:45]
S2 AVKService;G DATA Scheduler;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2008-02-07 05:26]
S2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-02-05 12:26]
S2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-08-07 16:01]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
S3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\aw5006.sys [2006-12-18 11:30]
S3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-12-12 12:28]
S3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-08-07 16:02]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-08-07 16:02]
S3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-04-27 15:22]
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-08-16 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\fatp6ef4.default\
FF -: plugin - E:\Programme\Mozilla Firefox\plugins\npnul32.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 00:13:39
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17 0:14:08
ComboFix-quarantined-files.txt 2008-08-16 22:14:06
Pre-Run: 13 Verzeichnis(se), 25,090,809,856 Bytes frei
Post-Run: 15 Verzeichnis(se), 25,130,340,352 Bytes frei
252 --- E O F --- 2008-08-16 10:06:24
Achja die Datei die von Malware Bytes erkannt wurde (beep.sys), kann ich immernoch nicht löschen. Zumindest nicht über Malware Bytes. Hab aber mal versucht die Datei manuell zu löschen, dass ging. Hab sie aber wiederhergestellt (könnte ja irgend etwas beeinträchtigen). Was ist mit der _desktop.ini warum wurde die von Combofix gelöscht? Mit freundlichen Grüßen Damnek |
|
17.08.2008, 01:26
| #6 | |
| /// Helfer-Team | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Ich finde ihn schon passend. Ok vielleicht auch etwas provokant, aber das liegt ab und wann in meiner Art. Mich empören Leute immer mehr, die mit Portscannern und ähnlichem rumspielen ohne einen Schimmer technischen Background zu haben. Auf meinem System liegt in system32 die Datei netstat.exe und das ist bestimmt ein Programm. Vermutlich ist das auf deinem System ebenso. Um ein Programm zu sein, muss man nicht mehrere GByte auf der Platte belegen und ein Fenster mit 1000 Stellen zum klicken haben. Gib in der Eingabeaufforderung mal "C:\Programme\Mozilla Firefox\firefox.exe" (mit den "", ich hoffe er ist bei dir auch in diesem Ordner installiert, sonst bitte anpassen) ein. Kein Programm, nur ein Befehl für die Eingabeaufforderung. Sag mir wo dein fettestes Programm installiert ist und ich führe dir vor, dass es nur ein Befehl für die Eingabeaufforderung ist. Einen Teil der Löcher hast Du dir mit Skype gerissen. Port 80 z.B. Dann habe ich den Verdacht, dass dein Portscanner wohl auch ein paar Sachen übersehen hat. Jedenfalls habe ich noch kein Skype-belastetes System gescannt, auf dem außer dem 80 nicht auch der 443 offen gewesen wäre. Plus irgendwelche weiteren Ports an zufälliger Stelle. Dann habe ich deinem Portscanner etwas hinterher gegoogelt, aber spätestens bei "Scan your computer for open/listening ports used by hackers" die Schnauze voll bekommen. Kompletter Blödsinn an der Wahl eines bestimmten Ports die Nutzung, ob gut/böse zu erkennen (Du verbindest mit "Hacker" ja offensichtlich "böse", zugestanden, damit bewegst Du dich im Bild-Mainstream). Zitat:
eine beep.sys mit einem MD5 von da1f27d85e0d1525f6621372e7b685e9 ist ok. Die im system32\dllcache ist sowieso nur eine Art Backup, entscheidend ist die in system32\drivers, die solltest Du auch noch mal prüfen. Dass aber Malwarebytes die in system32\dllcache angemeckert hat, ist schon mal eine Falscherkennung. Benutzerkonten mit eingeschränkten Rechten haben keinen Zugriff auf system32\dllcache, das ist normal. Die Festplattenzugriffe finde ich auch nicht beunruhigend. Da gibt es eine Menge Möglichkeiten. Auch wenn Du gerade nichts an deinem Computer machst, läuft da eine Menge Software, die immer aktiv ist. Virenscanner, das Betriebssystem, usw. Und da Du Skype laufen hast, möchte ich nur mal so am Rande darauf hinweisen, dass niemand so genau weiß was das Programm eigentlich macht. Es wird auch darüber diskutiert ob es nicht genutzt werden kann deine Festplatte zu durchsuchen. Ich gehe auch davon aus, dass dein System ziemlich zugemüllt ist. Im Laufe von nicht mal einem Monat durch mindestens drei Firewalls gegangen, diverse Systemwiederherstellungen, die Probleme häufen sich (siehe deine bisherigen Threads). Vielleicht einfach mal wieder richtig neu installieren, erfahrungsgemäß rennt es dann wieder wie ein junger Gott. |
|
17.08.2008, 13:17
| #7 | |||||||
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?Zitat:
Zitat:
 Zitat:
Das Skype zeugs kommt runter. Wollt ich eh schon machen seit das mit der Backdoor darin bekannt wurde. Zitat:
Zitat:
Zitat:
2. Skype läuft bei mir nicht. Es ist immer aus. Und wie schon gesagt kommt das runter. Zitat:
Die vielen Firewalls hatte ich als ich noch kein Gdata hatte. Weil die Windows Firewall nicht reicht, hab ich halt Zonealarm ausprobiert. Hat mich dannn aber vom Internet ausgesperrt (hat auch seine guten seiten) und wollte mir als Lösung dann ein Update einspielen. Das war aber kein Update sondern eher ein Downdate. Das wollte mir nämlich eine Uralte version aufspielen. Nach der Deinstallation von Za war halt dann in Programmmzugriff und -Standards ter Programme ändern oder entfernen nur noch die Programme die auf der Partition C installiert waren zu sehen. Alle auf E waren nicht mehr da. Dann hab ich halt die Systemwiederherstellung angewandt. Dann hab ich die Comodo Firewall ausprobiert. Hatte mir mit dem integrierten Malware Scanner Viren in der Systemwiederherstellung angezeigt. Ein paar Wochen später hab ich mir GDatat gekauft. Da ist ja alle schon mit dabei. Musste halt das andere Zeug runter machen. Als ich den Hjt Log machte hab ich auch gemerkt das noch die Hälfte von Spybot S&D und von der Comodo Firewall auch noch etwas übrig ist. Neuinstallieren hatte ich sowieso vor, bloß geht das jetzt nicht (lange Geschichte). Kann ich erster in 4 Wochen machen.  Normalerweise hätte ich das schon da gemacht als ich die Probleme mit Za hatte.Nun, eine Frage bleibt mir immernoch: Warum hat Combofix die _desktop.ini gelöscht und warum heist die im Backup Ordner von Combofix _desktop.ini.vir? und noch was: warum steht bei netstat ein Eintrag mit der Pid 0? Mit freundlichen Grüßen Damnek |
|
| Themen zu Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? |
| adresse, betriebssystem, cmd, computer, eingabeaufforderung, firefox, frage, gehackt, hacken, internet, liste, localhost, lokale, netstat, portscan, scan, scanner, schuld, system, taskmanager, trojaner, unter windows xp, verbindung, warum, windows, windows xp, windows xp. |
Hybrid-Darstellung
