| |
| |||||||
Log-Analyse und Auswertung: sebekWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
12.11.2008, 23:29
| #1 |
| |  sebek Hallo Alle Lassen die unten angehaengten Logs auf einen Schaedling schliessen? Als ich mittels wireshark erstellte logs durchsah viel mir auf das von diesem Rechner immer wieder mal Pakete versendet werden die der wireshark als "sebek" Protocol anzeigt und die an eine Multicast Adresse gesendet wurden.(239.250.250.250) Ausser einer Aegyptischen Gottheit brachte meine Suche nur das sebek von honeynet.org zutage. Abgesehen von KProcCheck und HijackThis deren logs ich angehaengt habe, habe ich auch F-Secure Blacklight 2.2.1067.0 durchlaufen lassen, kein Ergebniss. ciao Stefan:wq ------ KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32\ntoskrnl.exe 806ED000 - \WINDOWS\system32\hal.dll F8A35000 - \WINDOWS\system32\KDCOM.DLL F8945000 - \WINDOWS\system32\BOOTVID.dll F84E5000 - acpi.sys F8A37000 - \WINDOWS\System32\Drivers\WMILIB.SYS F84D4000 - pci.sys F8535000 - isapnp.sys F8A39000 - intelide.sys F87B5000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS F8545000 - MountMgr.sys F84B5000 - ftdisk.sys F87BD000 - fdc.sys F8A3B000 - dmload.sys F848F000 - dmio.sys F87C5000 - PartMgr.sys F8555000 - VolSnap.sys F8477000 - atapi.sys F8458000 - fltMgr.sys F8446000 - sr.sys F842F000 - KSecDD.sys F8565000 - i8042prt.sys F83A2000 - Ntfs.sys F8375000 - NDIS.sys F87CD000 - usbuhci.sys F8352000 - \WINDOWS\System32\Drivers\USBPORT.SYS F8575000 - usbhub.sys F8A3D000 - \WINDOWS\System32\Drivers\USBD.SYS F8A3F000 - NaiFsRec.sys F8337000 - Mup.sys F87D5000 - flpydisk.sys F8585000 - disk.sys F8595000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F85A5000 - agp440.sys F8625000 - \SystemRoot\system32\DRIVERS\intelppm.sys F829F000 - \SystemRoot\system32\DRIVERS\ati2mtaa.sys F828B000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F827A000 - \SystemRoot\system32\DRIVERS\el90xbc5.sys F8266000 - \SystemRoot\system32\DRIVERS\parport.sys F8255000 - \SystemRoot\system32\DRIVERS\serial.sys F89D1000 - \SystemRoot\system32\DRIVERS\serenum.sys F87FD000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F8805000 - \SystemRoot\system32\DRIVERS\mouclass.sys F8635000 - \SystemRoot\system32\DRIVERS\cdrom.sys F8645000 - \SystemRoot\system32\DRIVERS\redbook.sys F81F7000 - \SystemRoot\system32\DRIVERS\ks.sys F81DF000 - \SystemRoot\system32\drivers\ac97intc.sys F81BB000 - \SystemRoot\system32\drivers\portcls.sys F8655000 - \SystemRoot\system32\drivers\drmk.sys F8C8C000 - \SystemRoot\system32\DRIVERS\audstub.sys F8665000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys F89D9000 - \SystemRoot\system32\DRIVERS\ndistapi.sys F81A4000 - \SystemRoot\system32\DRIVERS\ndiswan.sys F8675000 - \SystemRoot\system32\DRIVERS\raspppoe.sys F8685000 - \SystemRoot\system32\DRIVERS\raspptp.sys F880D000 - \SystemRoot\system32\DRIVERS\TDI.SYS F8815000 - \SystemRoot\system32\DRIVERS\ptilink.sys F881D000 - \SystemRoot\system32\DRIVERS\raspti.sys F8173000 - \SystemRoot\system32\DRIVERS\rdpdr.sys F8695000 - \SystemRoot\system32\DRIVERS\termdd.sys F8A4D000 - \SystemRoot\system32\DRIVERS\swenum.sys F8117000 - \SystemRoot\system32\DRIVERS\update.sys F89F1000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F86A5000 - \SystemRoot\System32\Drivers\NDProxy.SYS F8A61000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F8B76000 - \SystemRoot\System32\Drivers\Null.SYS F8A63000 - \SystemRoot\System32\Drivers\Beep.SYS F883D000 - \SystemRoot\System32\drivers\vga.sys F8A65000 - \SystemRoot\System32\Drivers\mnmdd.SYS F8A67000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F8845000 - \SystemRoot\System32\Drivers\Msfs.SYS F884D000 - \SystemRoot\System32\Drivers\Npfs.SYS F8A21000 - \SystemRoot\system32\DRIVERS\rasacd.sys F4FFC000 - \SystemRoot\system32\DRIVERS\ipsec.sys F86F5000 - \SystemRoot\system32\DRIVERS\msgpc.sys F4FA4000 - \SystemRoot\system32\DRIVERS\tcpip.sys F4F7C000 - \SystemRoot\system32\DRIVERS\netbt.sys F4F5A000 - \SystemRoot\System32\drivers\afd.sys F8705000 - \SystemRoot\system32\DRIVERS\netbios.sys F8A69000 - \SystemRoot\System32\drivers\Ai2sXP.sys F4F2E000 - \SystemRoot\system32\DRIVERS\rdbss.sys F4EBF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F8735000 - \SystemRoot\System32\Drivers\Fips.SYS F4E9E000 - \SystemRoot\system32\DRIVERS\ipnat.sys F8745000 - \SystemRoot\system32\DRIVERS\wanarp.sys F8765000 - \SystemRoot\System32\Drivers\Cdfs.SYS F4E5E000 - \SystemRoot\System32\Drivers\dump_atapi.sys F8A6D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F8865000 - \SystemRoot\System32\watchdog.sys F8163000 - \SystemRoot\System32\drivers\Dxapi.sys BF9C1000 - \SystemRoot\System32\drivers\dxg.sys F8BC2000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D3000 - \SystemRoot\System32\JAWSVID.dll BFA04000 - \SystemRoot\System32\Ai2Ldr.dll BFA08000 - \SystemRoot\System32\dcmc0d0.dll BF9F2000 - \SystemRoot\System32\dcmkrnl.dll BFA65000 - \SystemRoot\System32\Ai2dXP.dll F4D5E000 - \SystemRoot\system32\DRIVERS\ndisuio.sys F4B89000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F8AD1000 - \SystemRoot\System32\Drivers\ParVdm.SYS F4B77000 - \SystemRoot\System32\Drivers\SENTINEL.SYS F4A5C000 - \SystemRoot\system32\DRIVERS\srv.sys F87ED000 - \??\C:\Programme\Gemeinsame Dateien\Network Associates\McShield\NaiFi ltr.sys F887D000 - \SystemRoot\System32\Drivers\TDTCP.SYS F47BA000 - \SystemRoot\System32\Drivers\RDPWD.SYS F46B5000 - \SystemRoot\system32\drivers\wdmaud.sys F48FC000 - \SystemRoot\system32\drivers\sysaudio.sys F8A79000 - \SystemRoot\system32\drivers\splitter.sys F4692000 - \SystemRoot\system32\drivers\aec.sys F4E2E000 - \SystemRoot\system32\drivers\swmidi.sys F489C000 - \SystemRoot\system32\drivers\DMusic.sys F4668000 - \SystemRoot\system32\drivers\kmixer.sys F8BB4000 - \SystemRoot\system32\drivers\drmkaud.sys F44B7000 - \SystemRoot\System32\Drivers\HTTP.sys F8BC8000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 116 KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg) Checks SDT for Hooked Native APIs KeServiceDescriptorTable 80559B80 KeServiceDescriptorTable.ServiceTable 804E2D20 KeServiceDescriptorTable.ServiceLimit 284 Number of Service Table entries hooked = 0 KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg) Checks Shadow SDT for Hooked Native GDI APIs KeServiceDescriptorTableShadow 80559B40 KeServiceDescriptorTableShadow.SDE[1].ServiceTable BF997600 KeServiceDescriptorTableShadow.SDE[1].ServiceLimit 667 Number of GDI Service Table entries hooked = 0 ---- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:47:12, on 12.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:bla nk O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Prog ramme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Programme\Zoom Text 9.0\AHOI\ah_ie_bho.dll O2 - BHO: WebFormator - {CDF4B833-67D5-4e14-8F01-EEFD3FD10152} - C:\Programme\We bFormator\WebForm.dll O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LO KALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NE TZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SY STEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'De fault user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\P ROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Progr amme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F 795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=about:blank O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.xxx.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.xxx.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx. exe O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Networ k Associates\McShield\Mcshield.exe -- End of file - 2777 bytes |
|
| Themen zu sebek |
| administrator, adobe, bho, dateien, desktop, einstellungen, explorer, f-secure, hijack, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, messenger, micro, microsoft, office, programme, software, suche, system, system32, virusscan, windows, windows xp, wireshark |
Linear-Darstellung
