Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: sebek

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.11.2008, 23:29   #1
warbird001
 
sebek - Standard

sebek



Hallo Alle

Lassen die unten angehaengten Logs auf einen Schaedling schliessen?

Als ich mittels wireshark erstellte logs durchsah viel mir auf das von
diesem Rechner immer wieder mal Pakete versendet werden die der
wireshark als "sebek" Protocol anzeigt und die an eine Multicast Adresse gesendet wurden.(239.250.250.250)

Ausser einer Aegyptischen Gottheit brachte meine Suche nur das sebek
von honeynet.org zutage.

Abgesehen von KProcCheck und HijackThis deren logs ich angehaengt
habe, habe ich auch F-Secure Blacklight 2.2.1067.0 durchlaufen lassen,
kein Ergebniss.

ciao
Stefan:wq

------


KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806ED000 - \WINDOWS\system32\hal.dll
F8A35000 - \WINDOWS\system32\KDCOM.DLL
F8945000 - \WINDOWS\system32\BOOTVID.dll
F84E5000 - acpi.sys
F8A37000 - \WINDOWS\System32\Drivers\WMILIB.SYS
F84D4000 - pci.sys
F8535000 - isapnp.sys
F8A39000 - intelide.sys
F87B5000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS
F8545000 - MountMgr.sys
F84B5000 - ftdisk.sys
F87BD000 - fdc.sys
F8A3B000 - dmload.sys
F848F000 - dmio.sys
F87C5000 - PartMgr.sys
F8555000 - VolSnap.sys
F8477000 - atapi.sys
F8458000 - fltMgr.sys
F8446000 - sr.sys
F842F000 - KSecDD.sys
F8565000 - i8042prt.sys
F83A2000 - Ntfs.sys
F8375000 - NDIS.sys
F87CD000 - usbuhci.sys
F8352000 - \WINDOWS\System32\Drivers\USBPORT.SYS
F8575000 - usbhub.sys
F8A3D000 - \WINDOWS\System32\Drivers\USBD.SYS
F8A3F000 - NaiFsRec.sys
F8337000 - Mup.sys
F87D5000 - flpydisk.sys
F8585000 - disk.sys
F8595000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F85A5000 - agp440.sys
F8625000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F829F000 - \SystemRoot\system32\DRIVERS\ati2mtaa.sys
F828B000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F827A000 - \SystemRoot\system32\DRIVERS\el90xbc5.sys
F8266000 - \SystemRoot\system32\DRIVERS\parport.sys
F8255000 - \SystemRoot\system32\DRIVERS\serial.sys
F89D1000 - \SystemRoot\system32\DRIVERS\serenum.sys

F87FD000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F8805000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8635000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8645000 - \SystemRoot\system32\DRIVERS\redbook.sys
F81F7000 - \SystemRoot\system32\DRIVERS\ks.sys
F81DF000 - \SystemRoot\system32\drivers\ac97intc.sys
F81BB000 - \SystemRoot\system32\drivers\portcls.sys
F8655000 - \SystemRoot\system32\drivers\drmk.sys
F8C8C000 - \SystemRoot\system32\DRIVERS\audstub.sys
F8665000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys


F89D9000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F81A4000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8675000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8685000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F880D000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8815000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F881D000 - \SystemRoot\system32\DRIVERS\raspti.sys
F8173000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F8695000 - \SystemRoot\system32\DRIVERS\termdd.sys
F8A4D000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8117000 - \SystemRoot\system32\DRIVERS\update.sys
F89F1000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F86A5000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F8A61000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B76000 - \SystemRoot\System32\Drivers\Null.SYS
F8A63000 - \SystemRoot\System32\Drivers\Beep.SYS
F883D000 - \SystemRoot\System32\drivers\vga.sys
F8A65000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A67000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F8845000 - \SystemRoot\System32\Drivers\Msfs.SYS
F884D000 - \SystemRoot\System32\Drivers\Npfs.SYS
F8A21000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F4FFC000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F86F5000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F4FA4000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F4F7C000 - \SystemRoot\system32\DRIVERS\netbt.sys
F4F5A000 - \SystemRoot\System32\drivers\afd.sys
F8705000 - \SystemRoot\system32\DRIVERS\netbios.sys
F8A69000 - \SystemRoot\System32\drivers\Ai2sXP.sys
F4F2E000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F4EBF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8735000 - \SystemRoot\System32\Drivers\Fips.SYS
F4E9E000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F8745000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F8765000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F4E5E000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A6D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F8865000 - \SystemRoot\System32\watchdog.sys
F8163000 - \SystemRoot\System32\drivers\Dxapi.sys
BF9C1000 - \SystemRoot\System32\drivers\dxg.sys
F8BC2000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D3000 - \SystemRoot\System32\JAWSVID.dll
BFA04000 - \SystemRoot\System32\Ai2Ldr.dll
BFA08000 - \SystemRoot\System32\dcmc0d0.dll
BF9F2000 - \SystemRoot\System32\dcmkrnl.dll
BFA65000 - \SystemRoot\System32\Ai2dXP.dll
F4D5E000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F4B89000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F8AD1000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F4B77000 - \SystemRoot\System32\Drivers\SENTINEL.SYS
F4A5C000 - \SystemRoot\system32\DRIVERS\srv.sys


F87ED000 - \??\C:\Programme\Gemeinsame Dateien\Network Associates\McShield\NaiFi
ltr.sys
F887D000 - \SystemRoot\System32\Drivers\TDTCP.SYS
F47BA000 - \SystemRoot\System32\Drivers\RDPWD.SYS
F46B5000 - \SystemRoot\system32\drivers\wdmaud.sys
F48FC000 - \SystemRoot\system32\drivers\sysaudio.sys
F8A79000 - \SystemRoot\system32\drivers\splitter.sys
F4692000 - \SystemRoot\system32\drivers\aec.sys
F4E2E000 - \SystemRoot\system32\drivers\swmidi.sys
F489C000 - \SystemRoot\system32\drivers\DMusic.sys
F4668000 - \SystemRoot\system32\drivers\kmixer.sys
F8BB4000 - \SystemRoot\system32\drivers\drmkaud.sys
F44B7000 - \SystemRoot\System32\Drivers\HTTP.sys
F8BC8000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 116
KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks SDT for Hooked Native APIs

KeServiceDescriptorTable 80559B80
KeServiceDescriptorTable.ServiceTable 804E2D20
KeServiceDescriptorTable.ServiceLimit 284

Number of Service Table entries hooked = 0

KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks Shadow SDT for Hooked Native GDI APIs

KeServiceDescriptorTableShadow 80559B40
KeServiceDescriptorTableShadow.SDE[1].ServiceTable BF997600
KeServiceDescriptorTableShadow.SDE[1].ServiceLimit 667

Number of GDI Service Table entries hooked = 0



----
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:12, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:bla
nk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Prog
ramme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Programme\Zoom
Text 9.0\AHOI\ah_ie_bho.dll
O2 - BHO: WebFormator - {CDF4B833-67D5-4e14-8F01-EEFD3FD10152} - C:\Programme\We
bFormator\WebForm.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LO
KALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NE
TZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SY
STEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'De
fault user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\P
ROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Progr
amme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F
795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.xxx.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.
exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network
Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Networ
k Associates\McShield\Mcshield.exe

--
End of file - 2777 bytes

Antwort

Themen zu sebek
administrator, adobe, bho, dateien, desktop, einstellungen, explorer, f-secure, hijack, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, messenger, micro, microsoft, office, programme, software, suche, system, system32, virusscan, windows, windows xp, wireshark




Zum Thema sebek - Hallo Alle Lassen die unten angehaengten Logs auf einen Schaedling schliessen? Als ich mittels wireshark erstellte logs durchsah viel mir auf das von diesem Rechner immer wieder mal Pakete versendet - sebek...
Archiv
Du betrachtest: sebek auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.