| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.08.2008, 14:44
| #1 |
 |  Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo, gestern ist mir aufgefallen, dass der Leerlauprozess mit dem Internet verbunden zu sein scheint. Herausgefunden habe ich das, als ich in Ausführen cmd eintippte und dort dann netstat -o eingab. Dort erschien dann: Proto Lokale Adresse Remoteadresse Status PID TCP Computername 65.55.192.93:http WARTEND 0 TCP Computername 65.55.184.125:http WARTEND 0 Pid 0= Leerlaufprozess (mit dem Taskmanager nachgeprüft) Ich ging dann mit dem Firefox ins Internet und gab den netstat -o Befehl wieder in die Eingabeaufforderung ein. Die Liste wurde länger: Proto Lokale Adresse Remoteadresse Status PID TCP Computername:2277 localhost:2278 HERGESTELLT 868 TCP Computername:2278 localhost:2277 HERGESTELLT 868 TCP Computername:2279 localhost:2280 HERGESTELLT 868 TCP Computername:2280 localhost:2279 HERGESTELLT 868 TCP Computername:2285 localhost:32324 HERGESTELLT 868 TCP Computername:2290 localhost:32324 WARTEND 0 TCP Computername:2292 localhost:32324 WARTEND 0 TCP Computername:2301 localhost:32324 WARTEND 0 TCP Computername:2303 localhost:32324 WARTEND 0 TCP Computername:2304 localhost:32324 WARTEND 0 TCP Computername:2305 localhost:32324 WARTEND 0 TCP Computername:2309 localhost:32324 WARTEND 0 TCP Computername:2310 localhost:32324 WARTEND 0 TCP Computername:2311 localhost:32324 WARTEND 0 TCP Computername:2312 localhost:32324 WARTEND 0 TCP Computername:2313 localhost:32324 WARTEND 0 TCP Computername:2314 localhost:32324 WARTEND 0 TCP Computername:2318 localhost:32324 WARTEND 0 TCP Computername:2320 localhost:32324 WARTEND 0 TCP Computername:2322 localhost:32324 WARTEND 0 TCP Computername:2324 localhost:32324 WARTEND 0 TCP Computername:2326 localhost:32324 WARTEND 0 TCP Computername:2328 localhost:32324 WARTEND 0 TCP Computername:2330 localhost:32324 WARTEND 0 TCP Computername:2332 localhost:32324 WARTEND 0 TCP Computername:2334 localhost:32324 WARTEND 0 TCP Computername:2336 localhost:32324 WARTEND 0 TCP Computername:2338 localhost:32324 WARTEND 0 TCP Computername:2340 localhost:32324 WARTEND 0 TCP Computername:2344 localhost:32324 WARTEND 0 TCP Computername:2345 localhost:32324 WARTEND 0 TCP Computername:2349 localhost:32324 WARTEND 0 TCP Computername:2351 localhost:32324 WARTEND 0 TCP Computername:32324 localhost:2281 WARTEND 0 TCP Computername:32324 localhost:2285 HERGESTELLT 1632 TCP Computername:32324 localhost:2287 WARTEND 0 TCP Computername:32324 localhost:2289 WARTEND 0 TCP Computername:32324 localhost:2293 WARTEND 0 TCP Computername:32324 localhost:2297 WARTEND 0 TCP Computername:32324 localhost:2298 WARTEND 0 TCP Computername:2286 195.50.169.74:http HERGESTELLT 1632 TCP Computername:2316 wxw.ambiweb.de:http WARTEND 0 Der Leerlaufprozess ist nun öfters aufegeführt. Hinzu kommen noch die beiden fett geschriebenen Einträge. ich weis nicht warum dahin eine Verbindung steht. Nach 10 Minuten hab ich nochmal Netstat -o einegegben und das erschien: Proto Lokale Adresse Remoteadresse Status PID TCP Computername:2278 localhost:2277 WARTEND 0 TCP Computername:2359 localhost:32324 WARTEND 0 TCP Computername:2361 localhost:32324 WARTEND 0 TCP Computername:2363 localhost:32324 WARTEND 0 TCP Computername:2365 localhost:32324 WARTEND 0 TCP Computername:2367 localhost:32324 WARTEND 0 TCP Computername:2369 localhost:32324 WARTEND 0 TCP Computername:2371 localhost:32324 WARTEND 0 TCP Computername:2375 localhost:32324 WARTEND 0 TCP Computername:2376 localhost:32324 WARTEND 0 TCP Computername:2379 localhost:32324 WARTEND 0 TCP Computername:2380 localhost:32324 WARTEND 0 TCP Computername:2381 localhost:32324 WARTEND 0 TCP Computername:2382 localhost:32324 WARTEND 0 TCP Computername:2384 localhost:32324 WARTEND 0 TCP Computername:2389 localhost:32324 WARTEND 0 TCP Computername:2391 localhost:32324 WARTEND 0 TCP Computername:2393 localhost:32324 WARTEND 0 TCP Computername:32324 localhost:2355 WARTEND 0 TCP Computername:32324 localhost:2357 WARTEND 0 TCP Computername:32324 localhost:2372 WARTEND 0 TCP Computername:32324 localhost:2395 WARTEND 0 TCP Computername:32324 localhost:2396 WARTEND 0 TCP Computername:32324 localhost:2397 WARTEND 0 TCP Computername:32324 localhost:2398 WARTEND 0 TCP Computername:32324 localhost:2399 WARTEND 0 TCP Computername:2370 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2373 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2377 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2378 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2383 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2385 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2386 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2387 dd17134.kasserver.com:http WARTEND 0 TCP Computername:2388 fx-in-f164.google.com:http WARTEND 0 TCP Computername:2390 fx-in-f164.google.com:http WARTEND 0 TCP Computername:2392 fx-in-f164.google.com:http WARTEND 0 TCP Computername:2394 dd17134.kasserver.com:http WARTEND 0[/B] Der Leerlaufprozess ist wieder aufgelistet. Die fett geschriebenen Einträge finde ich auch etwas komisch. Jetzt meine Frage: Warum ist der Leerlaufprozess mit dem Internet verbunden? Könnte daran ein Trojaner schuld sein oder hat sich vielleicht jemand in mein System eingehackt? Mein Betriebssystem ist Windows Xp. Habe mal einen Portscan mit dem Local Port Scanner gemacht und der zeigt mir an das die Ports: 25, 80, 110, 135, 143, 445, 1025 geöffnet sind. Könnten die zum Hacken verwendet werden oder kann es sein das ein Trojaner sich über einen mit dem Internet verbindet und dazu als Tarnung den Leerlaufprozess verwendet? Für Hilfe wäre ich sehr dankbar. Mit freundlichen Grüßen Damnek |
|
16.08.2008, 17:04
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo
__________________Für weitere Analysen: 1.) Poste ein HijackThis Logfile 2.) Backlight und Malwarebytes Antimalware ausführen und Logfile posten 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
16.08.2008, 17:38
| #3 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo,
__________________hier der HijackThis Log. Einmal vom Konto mit den Administartorrechten und von meinem Eingeschränkten Konto (weis nicht ob das eine unterschied macht, darum) Admin Konto Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:30:08, on 16.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sandboxie\SbieSvc.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\abit\abit uGuru\AirPaceWifi.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://windowsupdate.microsoft.com/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe -- End of file - 6792 bytes Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:33:01, on 16.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\abit\abit uGuru\AirPaceWifi.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.microsoft.com/fwlink/?LinkId=74005 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "e:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe -- End of file - 5958 bytes |
|
16.08.2008, 17:44
| #4 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Blacklight Log: Code:
ATTFilter 08/16/08 18:39:58 [Info]: BlackLight Engine 1.0.70 initialized
08/16/08 18:39:58 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/16/08 18:39:58 [Note]: 7019 4
08/16/08 18:39:58 [Note]: 7005 0
08/16/08 18:40:06 [Note]: 7006 0
08/16/08 18:40:06 [Note]: 7011 2632
08/16/08 18:40:06 [Note]: 7035 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:08 [Note]: FSRAW library version 1.7.1024
08/16/08 18:40:50 [Note]: 2000 1012
08/16/08 18:41:29 [Note]: 7007 0
|
|
16.08.2008, 19:11
| #5 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo, ahh  Hab Malware Bytes laufen lassen. hat auch eine Infektion gefunden. fake.beep.sys oder so steht im log. Dann wolt ich das entfernen lassen es ging aber nicht. Da kam dann es konnte nicht alles volständig entfernt werden oder so dann konnte man auf ja oder nein klicken ich hab aus gewohnheit auf ja gedrückt (blöde angewohnheit  ) und dann hat der Pc rebootet. Jetzt hab ich keine Verbindung ins internet mehr und beim treiber meiner Wlan Karte steht: no card installed. oder so. Ich muss jetzt das Malware Bytes logfile Abschreiben. Sitz gerade am anderen pc und will das logfile nicht rüberkopieren da ich angst habe den auch noch zu infizieren.Mit freundlichen Grüßen Damnek |
|
16.08.2008, 19:23
| #6 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hier ist das logfeile. ich hab es abgeschreiben möglicherweise hat es schreibfehler die infizierte datei hab ich aber ganz bestimmt rictig geschrieben:Malwarebytes Antimalware datenbank Version: 1058 Windows 5.1.2600 Service Pack 3 19:46:21 16.08.2008 mbam-log-8-16-208 (19-56-20).txt Scan Methode: Vollständiger Scan (C:\|E:\) Dursuchte Objekte: 141138 Laufzeit: 57 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte registrierungschlüssel: 0 Infizierte registrierungswerte: 0 Infizierte dateiobjekte der registrierung. 0 Infizierte Verzeicnisse: 0 Infizierte dateien : 1 Infizierte Speicherprozesse (Keine bösartigen objekte gefunden) Infizierte Speichermodule (Keine bösartigen objekte gefunden) Infizierte registrierungschlüssel (Keine bösartigen objekte gefunden) Infizierte registrierungswerte (Keine bösartigen objekte gefunden Infizierte dateiobjekte der registrierung (Keine bösartigen objekte gefunden Infizierte Verzeicnisse (Keine bösartigen objekte gefunden Infizierte dateien C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> No action taken. |
|
16.08.2008, 19:58
| #7 |
| /// Helfer-Team   | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hi, auch auf die Gefahr hin, eine Abmahnung zu kassieren, möchte ich dir empfehlen, von Programmen wie netstat und Portscannern die Finger zu lassen, wenn du die dahinter stehenden Techniken nicht studiert hast und die Ergebnisse nicht deuten kannst. Z.B. hast Du dir einen Teil deiner offenen Ports selber in dein System "gehackt", als Du Skype installiert hast  Und wenn du anshceined was gegen Leute hast, die hacken, wieso fragst Du dann in einem Forum nach, in dem Support zu leisten, ebenfalls eine Art von hacken ist?Karl |
|
16.08.2008, 21:37
| #8 | |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? hallo KarlKarl, Dein Posting passt jetzt irgendwie gar nicht. Entweder du schreibst was, was mir in meiner misslichen lage hilft oder gar nichts. 1. ist netstat kein programm sondern ein Befehl für die Eingabeaufforderung 2. den Portscanner hab ich heute installiert weil ich den verdacht hab das sich jemand bei mir einhackt oder ich einen trojaner hab. ich wollte sehen ob es irgendwelche geöffneten Ports hat die ein Hacker/trojaner nutzen kann. Zitat:
BTT: Werd jetzt mal versuchen mein Internet wieder zum laufen zu bringen. EDIT: So Internet geht plötzlich wieder. Jetzt ist auch wieder wenn ich auf Start drücke "Verbinden mit" angezeigt. Komisch. Ist es eigentlich normal das der Zugriff auf den Ordner C:\Windows\System32\dllcache verweigert wird? EDIT2: Oh seh grad das ich mic am Konto mit den Eingeschränkten Recdhten angemeldet hab. Ich versuchs mal mit dem Konto das Admi Rechte hat. EDIT3: Hab die Beep.sys aus dem dllcache bei Virustotal hochgeladen. Ergebnis:0/36 Hier die MD5: da1f27d85e0d1525f6621372e7b685e9 Achja von meiner Festplatte wird in letzter Zeit immer öfters einfach so zugegriffen. Also mitten drin wenn ich eigentlich gar nichts mach fängt die an los zu rattern (also richtig laut). Das geht ne Minute dann is wieder ruhe. manchmal kommt ein paar Minuten später das selbe wieder. Werd jetzt mal Combofix laufen lassen. Noch ne frage: ich hab nach der beep.sys datei über die Windows Suche gesucht. Hat aber nur die im system32\drivers Ordner gefunden. nicht die im dllcache. hat das was zu bedeuten? Mit freundlichen Grüßen Damnek Geändert von Damnek (16.08.2008 um 22:01 Uhr) |
|
16.08.2008, 23:35
| #9 |
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? guten Abend, So Combofix hab ich ausgeführt. Es hat mir die Datei _desktop.ini gelöscht. Als ich dann das Logfile gesucht hab ist mir der Ordner QooBox aufgefallen. Scheint von Combofx zu sein. Hab dann mal reingeschaut. Da ist ein Ordner Quarantine oder so darin ist ein Ordner C und darin ein Ordner Windows darin widerrum ist ein Ordner Options und in diesem ist der Ordner Cags enthalten. Darin liegt die _desktop.ini.vir. Aber warum hat die Datei eine doppelte dateiendung? Hier mal der Combofix Log: Code:
ATTFilter ComboFix 08-08-15.04 - Admin 2008-08-17 0:11:55.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\OPTIONS\CABS\_desktop.ini
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-16 bis 2008-08-16 ))))))))))))))))))))))))))))))
.
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-16 18:55 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-16 14:31 . 2008-08-16 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\.zenmap
2008-08-16 14:30 . 2008-08-16 14:30 <DIR> d-------- C:\Programme\Nmap
2008-08-16 14:27 . 2008-08-16 14:27 <DIR> d-------- C:\nmap-4.68
2008-08-16 13:37 . 2008-08-16 13:37 <DIR> d-------- C:\Programme\LPS
2008-08-16 13:22 . 2008-08-16 13:22 <DIR> d-------- C:\Programme\Wireshark
2008-08-16 13:22 . 2008-08-16 13:22 <DIR> d-------- C:\Programme\WinPcap
2008-08-16 13:21 . 2008-08-16 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Wireshark
2008-08-14 21:49 . 2008-08-14 21:49 <DIR> d-------- C:\WINDOWS\Logs
2008-08-14 21:45 . 2008-08-14 21:45 <DIR> d-------- C:\WINDOWS\F579118563414E21A47F41B57AC749B5.TMP
2008-08-14 21:29 . 2008-08-14 21:29 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-08-14 21:21 . 2008-08-17 00:08 199,523 --a------ C:\WINDOWS\system32\nvapps.xml
2008-08-14 21:20 . 2008-08-14 21:20 <DIR> d-------- C:\WINDOWS\nview
2008-08-14 21:20 . 2008-07-29 18:05 453,152 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-08-14 21:20 . 2008-08-02 12:20 453,152 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-08-14 21:20 . 2008-08-02 12:20 18,335 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-08-13 18:01 . 2008-08-13 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-08-13 17:51 . 2008-08-13 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs
2008-08-13 15:22 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 15:21 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-11 08:35 . 2008-08-17 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-10 15:05 . 2008-08-10 15:05 58 --a------ C:\WINDOWS\nfsc_patch.ini
2008-08-07 16:02 . 2008-08-07 16:02 46,536 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-08-07 16:02 . 2008-08-07 16:02 32,200 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2008-08-07 16:01 . 2008-08-07 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-08-07 16:01 . 2008-08-07 16:01 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2008-08-07 16:01 . 2008-08-07 16:01 19,328 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2008-08-07 16:00 . 2008-08-07 16:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-08-07 16:00 . 2008-08-07 16:02 <DIR> d-------- C:\Programme\G DATA InternetSecurity
2008-08-07 16:00 . 2008-08-07 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InstallShield
2008-08-07 15:54 . 2008-08-07 15:54 <DIR> d-------- C:\Programme\CCleaner
2008-08-01 11:05 . 2008-08-01 11:05 70,936 --a------ C:\WINDOWS\system32\PhysXLoader.dll
2008-07-31 10:15 . 2008-06-26 17:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Vorlagen
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Startmenü
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Netzwerkumgebung
2008-07-31 10:15 . 2008-08-17 00:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen
2008-07-31 10:15 . 2008-07-31 10:15 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Favoriten
2008-07-31 10:15 . 2008-08-17 00:06 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Eigene Dateien
2008-07-31 10:15 . 2008-06-26 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Druckumgebung
2008-07-31 10:15 . 2008-08-07 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Comodo
2008-07-31 10:15 . 2008-08-16 18:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten
2008-07-31 10:15 . 2008-08-17 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Admin
2008-07-31 10:15 . 2008-04-14 07:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-07-30 14:13 . 2008-07-30 14:13 <DIR> d-------- C:\WINDOWS\Sun
2008-07-30 14:13 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-30 14:12 . 2008-07-30 14:13 <DIR> d-------- C:\Programme\Java
2008-07-30 14:11 . 2008-07-30 14:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-29 21:33 . 2008-08-05 17:17 250 --a------ C:\WINDOWS\gmer.ini
2008-07-29 20:36 . 2008-08-07 15:39 <DIR> d-------- C:\Programme\COMODO
2008-07-29 19:58 . 2008-08-04 22:28 <DIR> d-------- C:\Sandbox
2008-07-29 15:20 . 2008-07-29 15:20 <DIR> d-------- C:\Programme\Sandboxie
2008-07-29 15:20 . 2008-08-13 17:50 2,384 --a------ C:\WINDOWS\Sandboxie.ini
2008-07-28 20:25 . 2008-07-28 20:25 0 --a------ C:\WINDOWS\msicpl.ini
2008-07-27 19:52 . 2008-07-27 19:52 <DIR> d-------- C:\Programme\Audacity
2008-07-24 09:05 . 2008-07-24 09:05 304,408 --a------ C:\WINDOWS\system32\PhysX.cpl
2008-07-23 22:51 . 2008-07-23 22:51 <DIR> d-------- C:\Programme\Trend Micro
2008-07-22 15:51 . 2008-07-22 16:39 1,333,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-22 15:51 . 2008-07-22 16:39 17,744 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-22 15:32 . 2008-07-22 15:50 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-07-22 15:31 . 2008-07-24 15:02 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-07-22 15:18 . 2008-08-07 15:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-07-20 13:33 . 2008-07-24 15:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe(2)
2008-07-17 23:09 . 2008-07-17 23:09 <DIR> d-------- C:\Programme\Windows Defender
2008-07-17 16:47 . 2008-07-17 16:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Tobit
2008-07-17 16:47 . 2008-07-09 15:43 1,553,160 --a------ C:\WINDOWS\CICUnins.exe
2008-07-17 16:47 . 2008-01-10 12:49 554,496 --a------ C:\WINDOWS\system32\dvmsg.dll
2008-07-17 16:44 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-07-17 16:44 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-07-17 16:44 . 2008-06-23 18:14 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-07-17 16:44 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-17 16:44 . 2008-06-23 18:14 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-07-17 16:44 . 2008-06-23 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-07-17 16:43 . 2008-06-23 18:14 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-07-17 16:43 . 2008-06-23 18:14 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-07-17 16:43 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-07-17 16:43 . 2008-06-23 18:14 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-07-17 16:43 . 2008-06-23 18:14 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-07-17 16:41 . 2008-07-17 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-17 16:37 . 2008-07-17 16:37 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-07-17 16:34 . 2008-07-17 16:34 <DIR> d-------- C:\Programme\Skype
2008-07-17 16:34 . 2008-07-17 16:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-17 16:33 . 2008-07-17 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-17 16:29 . 2008-08-07 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-17 16:08 . 2008-07-17 16:08 <DIR> d-------- C:\Programme\abit
2008-07-17 16:07 . 2006-12-18 11:30 556,832 --a------ C:\WINDOWS\system32\drivers\aw5006.sys
2008-07-17 16:07 . 2006-12-18 11:30 556,832 --a------ C:\WINDOWS\system32\aw5006.sys
2008-07-17 16:07 . 2006-12-18 14:24 10,397 --a------ C:\WINDOWS\system32\net2425.inf
2008-07-17 16:07 . 2006-06-05 00:01 26 --a------ C:\WINDOWS\system32\net2425.cat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 08:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-14 19:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-14 19:22 --------- d-----w C:\Programme\AGEIA Technologies
2008-08-13 15:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-07 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-28 18:22 614,400 ----a-w C:\WINDOWS\system32\msvcr80.dll
2008-07-14 20:51 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-07-14 20:51 253,952 ------w C:\WINDOWS\Setup1.exe
2008-07-14 20:51 --------- d-----w C:\Programme\PCGH Oblivion-Tuner
2008-07-12 16:15 --------- d-----w C:\Programme\Windows Media Connect 2
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
2008-07-08 17:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 12:41 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-06 12:41 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-05 10:08 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-01 18:46 --------- d-----w C:\Programme\Microsoft Works
2008-07-01 18:36 --------- d-----w C:\Programme\Microsoft Works Suite 2001
2008-07-01 11:30 --------- d-----w C:\Dokumente und Einstellungen\Ann-Kathrin\Anwendungsdaten\Logitech
2008-06-29 13:22 --------- d-----w C:\Programme\7-Zip
2008-06-28 12:54 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-06-28 12:52 --------- d-----w C:\Programme\Gigabyte
2008-06-28 12:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-26 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-06-26 17:30 --------- d-----w C:\Programme\Logitech
2008-06-26 17:17 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-06-26 17:17 --------- d-----w C:\Programme\Realtek
2008-06-26 17:15 --------- d-----w C:\Programme\Intel
2008-06-26 15:17 --------- d-----w C:\Programme\Online-Dienste
2008-06-26 15:17 --------- d-----w C:\Programme\microsoft frontpage
2008-06-26 15:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelTraditionalChinese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSwedish.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSpanish.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelSimplifiedChinese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelPortugese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelKorean.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelJapanese.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelGerman.dll
2008-06-11 07:02 58,648 ----a-w C:\WINDOWS\system32\AgCPanelFrench.dll
2008-06-05 06:58 197,912 ----a-w C:\WINDOWS\system32\physxcudart_20.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtrl.exe" [2008-04-27 15:22 512512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08 1953792]
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 12:03 94208]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2000-07-12 21:15 24576]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [2000-07-22 00:55 28739]
"AirPaceWifi"="C:\Programme\abit\abit uGuru\AirPaceWifi.exe" [2006-12-18 10:40 2236416]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 12:59 1193648]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 13:28 603720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-08-02 12:20 13570048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-08-02 12:20 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 11:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 94208 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-08-02 12:20 1657376 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneV]
--a------ 2007-04-26 15:50 24576 C:\Programme\Gigabyte\ET5\ETcall.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-08-03 09:44 529968 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\Win32\\RpcDataSrv.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\RpcSandraSrv.exe"=
"E:\\Programme\\ICQ 6\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2008-08-07 16:01]
S2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 11:45]
S2 AVKService;G DATA Scheduler;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2008-02-07 05:26]
S2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-02-05 12:26]
S2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-08-07 16:01]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
S3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\aw5006.sys [2006-12-18 11:30]
S3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-12-12 12:28]
S3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-08-07 16:02]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-08-07 16:02]
S3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-04-27 15:22]
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-08-16 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\fatp6ef4.default\
FF -: plugin - E:\Programme\Mozilla Firefox\plugins\npnul32.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 00:13:39
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17 0:14:08
ComboFix-quarantined-files.txt 2008-08-16 22:14:06
Pre-Run: 13 Verzeichnis(se), 25,090,809,856 Bytes frei
Post-Run: 15 Verzeichnis(se), 25,130,340,352 Bytes frei
252 --- E O F --- 2008-08-16 10:06:24
Achja die Datei die von Malware Bytes erkannt wurde (beep.sys), kann ich immernoch nicht löschen. Zumindest nicht über Malware Bytes. Hab aber mal versucht die Datei manuell zu löschen, dass ging. Hab sie aber wiederhergestellt (könnte ja irgend etwas beeinträchtigen). Was ist mit der _desktop.ini warum wurde die von Combofix gelöscht? Mit freundlichen Grüßen Damnek |
|
17.08.2008, 01:26
| #10 | |
| /// Helfer-Team | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Ich finde ihn schon passend. Ok vielleicht auch etwas provokant, aber das liegt ab und wann in meiner Art. Mich empören Leute immer mehr, die mit Portscannern und ähnlichem rumspielen ohne einen Schimmer technischen Background zu haben. Auf meinem System liegt in system32 die Datei netstat.exe und das ist bestimmt ein Programm. Vermutlich ist das auf deinem System ebenso. Um ein Programm zu sein, muss man nicht mehrere GByte auf der Platte belegen und ein Fenster mit 1000 Stellen zum klicken haben. Gib in der Eingabeaufforderung mal "C:\Programme\Mozilla Firefox\firefox.exe" (mit den "", ich hoffe er ist bei dir auch in diesem Ordner installiert, sonst bitte anpassen) ein. Kein Programm, nur ein Befehl für die Eingabeaufforderung. Sag mir wo dein fettestes Programm installiert ist und ich führe dir vor, dass es nur ein Befehl für die Eingabeaufforderung ist. Einen Teil der Löcher hast Du dir mit Skype gerissen. Port 80 z.B. Dann habe ich den Verdacht, dass dein Portscanner wohl auch ein paar Sachen übersehen hat. Jedenfalls habe ich noch kein Skype-belastetes System gescannt, auf dem außer dem 80 nicht auch der 443 offen gewesen wäre. Plus irgendwelche weiteren Ports an zufälliger Stelle. Dann habe ich deinem Portscanner etwas hinterher gegoogelt, aber spätestens bei "Scan your computer for open/listening ports used by hackers" die Schnauze voll bekommen. Kompletter Blödsinn an der Wahl eines bestimmten Ports die Nutzung, ob gut/böse zu erkennen (Du verbindest mit "Hacker" ja offensichtlich "böse", zugestanden, damit bewegst Du dich im Bild-Mainstream). Zitat:
eine beep.sys mit einem MD5 von da1f27d85e0d1525f6621372e7b685e9 ist ok. Die im system32\dllcache ist sowieso nur eine Art Backup, entscheidend ist die in system32\drivers, die solltest Du auch noch mal prüfen. Dass aber Malwarebytes die in system32\dllcache angemeckert hat, ist schon mal eine Falscherkennung. Benutzerkonten mit eingeschränkten Rechten haben keinen Zugriff auf system32\dllcache, das ist normal. Die Festplattenzugriffe finde ich auch nicht beunruhigend. Da gibt es eine Menge Möglichkeiten. Auch wenn Du gerade nichts an deinem Computer machst, läuft da eine Menge Software, die immer aktiv ist. Virenscanner, das Betriebssystem, usw. Und da Du Skype laufen hast, möchte ich nur mal so am Rande darauf hinweisen, dass niemand so genau weiß was das Programm eigentlich macht. Es wird auch darüber diskutiert ob es nicht genutzt werden kann deine Festplatte zu durchsuchen. Ich gehe auch davon aus, dass dein System ziemlich zugemüllt ist. Im Laufe von nicht mal einem Monat durch mindestens drei Firewalls gegangen, diverse Systemwiederherstellungen, die Probleme häufen sich (siehe deine bisherigen Threads). Vielleicht einfach mal wieder richtig neu installieren, erfahrungsgemäß rennt es dann wieder wie ein junger Gott. |
|
17.08.2008, 13:17
| #11 | |||||||
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?Zitat:
Zitat:
 Zitat:
Das Skype zeugs kommt runter. Wollt ich eh schon machen seit das mit der Backdoor darin bekannt wurde. Zitat:
Zitat:
Zitat:
2. Skype läuft bei mir nicht. Es ist immer aus. Und wie schon gesagt kommt das runter. Zitat:
Die vielen Firewalls hatte ich als ich noch kein Gdata hatte. Weil die Windows Firewall nicht reicht, hab ich halt Zonealarm ausprobiert. Hat mich dannn aber vom Internet ausgesperrt (hat auch seine guten seiten) und wollte mir als Lösung dann ein Update einspielen. Das war aber kein Update sondern eher ein Downdate. Das wollte mir nämlich eine Uralte version aufspielen. Nach der Deinstallation von Za war halt dann in Programmmzugriff und -Standards ter Programme ändern oder entfernen nur noch die Programme die auf der Partition C installiert waren zu sehen. Alle auf E waren nicht mehr da. Dann hab ich halt die Systemwiederherstellung angewandt. Dann hab ich die Comodo Firewall ausprobiert. Hatte mir mit dem integrierten Malware Scanner Viren in der Systemwiederherstellung angezeigt. Ein paar Wochen später hab ich mir GDatat gekauft. Da ist ja alle schon mit dabei. Musste halt das andere Zeug runter machen. Als ich den Hjt Log machte hab ich auch gemerkt das noch die Hälfte von Spybot S&D und von der Comodo Firewall auch noch etwas übrig ist. Neuinstallieren hatte ich sowieso vor, bloß geht das jetzt nicht (lange Geschichte). Kann ich erster in 4 Wochen machen.  Normalerweise hätte ich das schon da gemacht als ich die Probleme mit Za hatte.Nun, eine Frage bleibt mir immernoch: Warum hat Combofix die _desktop.ini gelöscht und warum heist die im Backup Ordner von Combofix _desktop.ini.vir? und noch was: warum steht bei netstat ein Eintrag mit der Pid 0? Mit freundlichen Grüßen Damnek |
|
17.08.2008, 15:22
| #12 |
| /// Helfer-Team | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Was deine Festplatte angeht, könntest Du mal mit FileMon schauen, ob da was ersichtlich wird, wer sie so arbeiten lässt. Das funktioniert aber auch nur mit Administratorrechten da es einen eigenen Treiber braucht. vom eingeschränkten Konto also über "Ausführen als". ----- Portscanner sind eine tolle Möglichkeit sehr nervös zu werden, um mit Netzwerk/Internet was anzufangen muss ein System Ports öffnen. Wenn schon, dann würde ich sagen nmap, der ermittelt jedenfalls Informationen und versucht sich nicht in der Interpretation was es damit auf sich hat. ----- Bei Zonelabs programmieren sie in den letzten Jahren ziemlich viel Mist. Selbst die sogenannten "Gurus" im Zonelabs Forum benutzen teilweise sehr alte Versionen, Versionen als das eben noch eine Desktopfirewall war, die Netzwerkpakete/Verbindungen anhand eines Katalogs von Regeln prüft und dann zulässt oder wegwirft. Die grundsätzliche Kritik an dieser Programmgruppe, dass es nicht möglich ist, komplette Kontrolle zu behalten (bösartige Anwendungen haben Techniken zur Verfügung, das zu umgehen) bleibt bestehen. Grundsätzlich sehe ich aber das Springen von Programm zu Programm als problematisch an, denn so sauber, wie man das gerne hätte, arbeitet die Deinstallation oft nicht. Da werden z.B. schon gerne mal Treiber vergessen und es ist nicht ausgeschlossen, dass die sich mit den Treibern der nächsten Firewalls "beißen". Für Virenscanner gilt das entsprechend. Wobei sogar Freeware-Zonealarm, also die reine Firewall, in einigen Versionen bereits Treiber für den Kasperskyvirenscanner installiert. Irgendwo in deiner Threadgeschichte hier bin ich der Frage wegen explorer.exe und explorer(2).exe begegnet. Eine Folge der Systemwiederherstellung. Muss nicht passieren, kann aber passieren, dass von Dateien Duplikate angelegt werden mit diesem "(2)" im Namen. Manchmal zu sehr vielen Dateien (ich habe es einmal gesehen, da wurde sogar eine Sammlung MP3-Dateien so verdoppelt). Und wenn man die Systemwiederherstellung oft benutzt und dann Haufen Dateien mit "(3)", ..., "(23)" auf der Platte hat, dann ist jedenfalls klar, warum sie so voll ist. ----- Combofix kommentiere ich nicht gerne, ich fass das Tool nicht an, seitdem es mir mein eigenes System zerschossen hat. Um aber anderen Leuten was empfehlen zu können muss man es vorher selber benutzt haben. Die Informationen in dem Log sind gut, aber die Flut von automatischen Löschungen (plus sonstige Systemveränderungen) stören mich. Der Ordner "QooBox" nimmt die gelöschten Dateien auf, die darunter angelegten Ordner geben wieder, von wo gelöscht wurde. Es gab/gibt eine Infektion, die Dateien mit dem Namen "_desktop.ini" anlegt, deshalb löscht Combofix Dateien, die diesen Namen haben. Ich hab auf die Schnelle diese beiden Beschreibungen aufgetrieben: Antivir Sophos Ich denke nicht, dass das auf dein System zutrifft. Ich habe mir gerade diverse Threads im Internet angesehen, in denen Combofix diese Datei gelöscht hat und sie sahen mir alle nicht nach diesem Virus aus. Es gibt aber Hinweise, dass es für Dateien dieses Namens auch andere Erklärungen gibt: z.B. hier Das ist eben der Nachteil wenn man alles löscht, was einen Namen hat, der mal im Zusammenhang mit Malware aufgetreten ist. Selbst wenn man 99% Treffer mit der Technik erzielt, bleibt eben 1% übrig. Das Prozent wegen dem am Anfang von Combofix ja auch eine Warnung ausgegeben wird. Die zusätzlich hinzugefügte Endung ".vir" ist eine Eigenart von Combofix. ----- Pid 0: Stell dir vor, irgendein Programm hat eine Netzwerkverbindung offen und wird beendet bzw. beendet die Netzwerkverbindung. Eine Netzwerkverbindung soll man nicht im Bruchteil einer Sekunde killen, es kann sein dass der Partner auf der anderen Seite einfach langsamer ist. Wenn die Verbindung weg wäre und dann noch ein Paket kommt, könnte das Verwirrung stiften, manch eine Firewall würde "Gefechtsalarm" rufen. Die Verbindungen werden einfach noch eine Zeit lang am Leben gehalten (im Zustand "WARTEND"). Da es sein kann, dass der sie ursprünglich betreibende Prozess vielleicht gar nicht mehr existiert (wenn z.B. der Browser gecrasht ist) werden sie für PID 0 geführt. Weiter: "localhost" steht für alle IPs 127.x.x.x, ein reservierte Bereich von IPs für Verbindungen die, nur zwischen Prozessen innerhalb deines Computers existieren. Firefox benutzt sowas intern, deine Security Sweet hat einen Proxy installiert, zu dem ebenfalls solche Verbindungen gemacht werden (erst von dem geht es raus ins Internet). Etwas übersichtlicher als mit netstat kannst Du dir das mit TcpView anschauen (yeah, kein Befehl, ein richtiges Programm  ).http://dd17134.kasserver.com hat dieselbe IP wie das Trojaner-Board was kein Zufall ist. Zu "195.50.169.74" weiß ich gerade nichts, vermutlich aber die IP einer Webseite. Bei www.ambiweb.de schau einfach mal selber nach (ich nehme an Du hast das 'w' durch ein 'x' ersetzt wegen der Forumsregeln), irgendein Anbieter von Dienstleistungen im Internet. Schließlich sind die netstat-Ausgaben so mit einem Mangel behaftet: Zu der PID am Ende der Zeile fehlt die Information, welcher Prozess die hat, das kann wechseln muss daher immer sofort ermittelt werden. "netstat -b" ist da schon informativer. Bei TcpView lässt sich aber auch abspeichern. |
|
17.08.2008, 16:41
| #13 | |||||||
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?Zitat:
Vor ein paar Tagen hatte ich das jemandem empfohlen dem seine Festplatte auch die ganze Zeit lief. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
 ). Danke für den Tipp mit dem TcpView. Werd ich mir mal anschauen.Zitat:
Dann für root24´s und deine ausführliche Hilfe. Hoff jetzt mal das ich ne weile von solchen Sachen verschont bleibe (hab ich auch schon letztes mal gehofft. Und davor auch^^ .) Also nochmals Danke an alle die mir geholfen haben! EDIT: Noch eine Frage: Warum hat mir Combofix das gelöscht: 2007-03-27 01:11:06 9 C:\Qoobox\Quarantine\C\WINDOWS\OPTIONS\CABS\_desktop.ini.vir 2008-08-16 22:13:25 54 C:\Qoobox\Quarantine\catchme.log 2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat 2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat 2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat Also das erste weis ich ja aber die anderen Sachen Mit freundlichen Grüßen Damnek Geändert von Damnek (17.08.2008 um 16:52 Uhr) |
|
17.08.2008, 17:50
| #14 |
| /// Helfer-Team | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Schaden tun die doppelten Dateien ja auch nicht, sie verschwenden nur Platz, was auf die Dauer natürlich mehr werden kann, je öfter man die Systemwiederherstellung benutzt. Ich denke auch, dass bei diesem Wurm schon mehr Anzeichen auf deinem System bemerkbar wären, wenn Du ihn hättest. Noch dazu das Teil fast zwei Jahre alt ist, da haben die Virenscanner viel Zeit gehabt ihn in die Erkennung aufzunehmen (was nicht heißen muss dass ihn jetzt jeder erkennt). Combofix hält die Datei auch für einen Virus bzw. verbunden mit einem Virus. catchme.log ist das Log von Catchme, einem von GMER geschriebenem Rootkitscanner, der in Combofix integriert ist. Die nächsten drei sind Registry_backups. Combofix hat irgendwas an deiner Registry herumgeschraubt, zwar Backups angelegt, aber es noch nicht einmal für nötig befunden, in seinem Log auszugeben, was getan wurde. Den Namen nach zu raten hat er ein paar Autostarts gelöscht, zu denen ich per Google wiederum die Vermutung finde, dass es Software für Toshiba-Computer ist, jedenfalls nichts böses. |
|
17.08.2008, 19:17
| #15 | ||
| | Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? Hallo, Zitat:
Zitat:
Dann nochmal Danke für deine Hilfe. Mit freundlichen Grüßen Damnek |
|
| Themen zu Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? |
| adresse, betriebssystem, cmd, computer, eingabeaufforderung, firefox, frage, gehackt, hacken, internet, liste, localhost, lokale, netstat, portscan, scan, scanner, schuld, system, taskmanager, trojaner, unter windows xp, verbindung, warum, windows, windows xp, windows xp. |
Linear-Darstellung
