| |
| |||||||
Log-Analyse und Auswertung: Conficker?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.04.2009, 01:21
| #1 |
| |  Conficker? ich habe heute festgestellt dass wenn ich "netstat -an" ausführe einen haufen udp verbindungen hab die vor wenigen wochen noch nicht da waren. ich poste hier mal den hijackthis-log. hoffe ihr könnt mir helfen Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:13:54, on 13.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Windows\System32\rundll32.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Users\GSUZFR~1\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wuauclt.exe C:\Windows\system32\conime.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ISUSPM] "C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 7173 bytes |
|
13.04.2009, 21:32
| #2 |
 | Conficker? hey und
__________________ fix bitte dieses hier; R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ Und lass dein system von Malwarebytes 'Antimalware überprüfen. mfg Nehat86 |
|
19.04.2009, 21:02
| #3 |
| | Conficker? ok habs gefixed
__________________ malwarebytes hat nichts gefunden. ich poste hier mal den netstattext mit den auffälligen verbindungen:Code:
ATTFilter Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:445 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:2869 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:5357 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:49152 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:49153 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:49154 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:49155 0.0.0.0:0 ABH™REN
TCP 0.0.0.0:49156 0.0.0.0:0 ABH™REN
TCP 127.0.0.1:49183 127.0.0.1:49184 WARTEND
TCP 127.0.0.1:49184 127.0.0.1:49183 WARTEND
TCP 127.0.0.1:50273 127.0.0.1:50274 HERGESTELLT
TCP 127.0.0.1:50274 127.0.0.1:50273 HERGESTELLT
TCP 127.0.0.1:50275 127.0.0.1:50276 HERGESTELLT
TCP 127.0.0.1:50276 127.0.0.1:50275 HERGESTELLT
TCP 192.168.178.22:139 0.0.0.0:0 ABH™REN
TCP 192.168.178.22:50183 195.50.164.146:80 WARTEND
TCP 192.168.178.22:50189 195.50.164.160:80 WARTEND
TCP 192.168.178.22:50190 195.50.164.160:80 WARTEND
TCP 192.168.178.22:50204 195.50.164.139:80 WARTEND
TCP 192.168.178.22:50210 195.50.164.160:80 WARTEND
TCP 192.168.178.22:50215 209.85.135.102:80 WARTEND
TCP 192.168.178.22:50218 74.125.43.156:80 WARTEND
TCP 192.168.178.22:50219 74.125.43.156:80 WARTEND
TCP 192.168.178.22:50221 74.125.43.156:80 WARTEND
TCP 192.168.178.22:50230 64.12.28.185:5190 HERGESTELLT
TCP 192.168.178.22:50231 64.12.164.55:80 WARTEND
TCP 192.168.178.22:50234 64.12.30.92:5190 HERGESTELLT
TCP 192.168.178.22:50277 63.245.209.58:80 WARTEND
TCP 192.168.178.22:50287 217.110.110.231:80 WARTEND
TCP 192.168.178.22:50290 195.50.164.155:80 HERGESTELLT
TCP 192.168.178.22:50291 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50292 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50293 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50294 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50295 74.125.43.99:80 SCHLIESSEN_WARTEN
TCP 192.168.178.22:50297 209.85.135.102:80 SCHLIESSEN_WARTEN
TCP 192.168.178.22:50300 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50301 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50302 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50303 74.125.43.164:80 HERGESTELLT
TCP 192.168.178.22:50304 74.125.43.156:80 HERGESTELLT
TCP 192.168.178.22:50305 74.125.43.156:80 HERGESTELLT
TCP 192.168.178.22:50306 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50307 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50308 74.125.43.156:80 HERGESTELLT
TCP 192.168.178.22:50309 85.13.137.249:80 WARTEND
TCP 192.168.178.22:50310 74.125.43.164:80 HERGESTELLT
TCP [::]:135 [::]:0 ABH™REN
TCP [::]:445 [::]:0 ABH™REN
TCP [::]:2869 [::]:0 ABH™REN
TCP [::]:5357 [::]:0 ABH™REN
TCP [::]:49152 [::]:0 ABH™REN
TCP [::]:49153 [::]:0 ABH™REN
TCP [::]:49154 [::]:0 ABH™REN
TCP [::]:49155 [::]:0 ABH™REN
TCP [::]:49156 [::]:0 ABH™REN
UDP 0.0.0.0:123 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:60018 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:44301 *:*
UDP 127.0.0.1:49291 *:*
UDP 127.0.0.1:50275 *:*
UDP 127.0.0.1:53662 *:*
UDP 192.168.178.22:137 *:*
UDP 192.168.178.22:138 *:*
UDP 192.168.178.22:1900 *:*
UDP 192.168.178.22:49290 *:*
UDP [::]:123 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5355 *:*
UDP [::]:60019 *:*
UDP [::1]:1900 *:*
UDP [::1]:49288 *:*
UDP [fe80::3cd0:83a:3f57:4de9%13]:1900 *:*
UDP [fe80::3cd0:83a:3f57:4de9%13]:49289 *:*
UDP [fe80::b4d0:e05e:73b7:aedc%9]:1900 *:*
UDP [fe80::b4d0:e05e:73b7:aedc%9]:49286 *:*
UDP [fe80::f035:1b2f:52d5:f38a%8]:1900 *:*
UDP [fe80::f035:1b2f:52d5:f38a%8]:49287 *:*
laut diesem link hab ich möglicherweise conficker b bzw c :/ hatte mir ein removaltool runtergeladen aber das hat nichts gefunden aber laut dem neueren test heise Security - c't-Browsercheck Conficker Test gibt es keine anzeichen für conficker  mein laptop verhält sich auch irgendwie komisch in letzter zeit. wenn ich den bildschirm runterklappe ist das aktive benutzerkonto normalerweise gesperrt. inzwischen ist das aber nicht mehr so. wenn ich den firefox starte passiert es auch das er sich öffnet das fenster dann aber sofort für kurze zeit verschwindet und dann wieder erscheint. das war sonst nie so. Geändert von gsuzfreak (19.04.2009 um 21:19 Uhr) |
|
19.04.2009, 22:23
| #4 |
  | Conficker? Kann es sein, dass du zwei Hintergrundwächter benutzt? Antivir und Norten? Es ist sinnvoll nur einen Hintergrundwächter zu haben.
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. Geändert von 4RobSen8 (19.04.2009 um 22:31 Uhr) |
|
20.04.2009, 00:19
| #5 |
| /// Helfer-Team  | Conficker? Btw: "UDP Verbindungen" ist ein Widerspruch in sich, Das UDP-Protokoll ist ein verbindungsloses. Du meinst vielleicht TCP Verbindungen. Ich habe sie nicht alle geprüft, aber der Hauptteil der von netstat bei dir aufgeführten sind dieses Forum (oder jedenfalls seine IP, so langsam wie das läuft, dürfte es da noch eine Menge Foren und Webseiten mehr geben) und Google. |
|
20.04.2009, 03:18
| #6 |
| | Conficker? weiss halt nicht jeder über udp bescheid^^ nein ich meine trotzdem das udp-zeug, nich die tcp-verbindungen. ich hab norten auf der festplatte ja, aber ich benutze es nicht und es ist mir gar nicht aufgefallen deswegen kommts nachher gleich runter von der hd Geändert von gsuzfreak (20.04.2009 um 03:28 Uhr) |
|
20.04.2009, 08:10
| #7 | |
| | Conficker?Zitat:
Siehe aber zu, das du es komplett runter bekommst ->CCleaner
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
20.04.2009, 15:01
| #8 |
| /// Helfer-Team | Conficker? Die UDP-Angaben sagen erst mal nur, dass dien System auf den benannten Ports bereit ist, Daten zu empfangen. Ich kann die Nummern zwar nicht alle zuordnen, finde das aber für ein Windows erstmal nicht besonders viel, Windows macht einfach auf Verdacht alles auf, was eventuell mal jemand brauchen täte. Solange die dort lauschende Software auch aktuell ist, sollte das kaum ein Problem sein. Die 192.168-er IPs verraten, dass Du einen Router benutzt. Damit sind die Ports so aus dem Internet auch erstmal nicht erreichbar. Beispiel Port 123: NTP, das Protokoll das zur Zeitsynchronisation benutzt wird. Wenn dein Rechner meint, seine Zeit nachstelle nzu wollen, dann sendet er dort eine Anfrage an einen Zeitserver ins Internet. Da UDP ein verbindungsloses Protokoll ist, handhaben das Router dann üblicherweise so, dass sie eine gewisse Zeit lang eine von dem Server zurückkommende Antwort dann an den Rechner weiter geben. Ohne die einleitende Anfrage aber nicht. Der letzte Teil der UDP-Zeilen (die mit eckigen Klammern) entspricht dem Teil davor (ohne eckige Klammern), nur dass die für das kommende Protokoll IPv6 sind. Unwahrscheinlich dass Du das bereits brauchst, die Einführung gestaltet sich doch wesentlich zäher als geplant. das lässt sich in den Eigenschaften der Netzwerkverbindung (dort Eigenschaften des TCP/IP-Protokolls oder so ähnlich) erstmal deaktivieren. Schließlich ist diese Ausgabe von netstat auch etwas karg an Informationen. Es fehlt vor allen Dingen die Info, welche Prozesse da was geöffnet haben. Besser wird das durch Benutzung von "netstat -abov" (dauert aber länger) oder von TcpView. Ach ja: CCleaner kann ja einige überflüssige Dinge vom Computer entfernen, Norton aber leider noch nicht. |
|
20.04.2009, 18:38
| #9 |
| | Conficker? danke schon mal für die ganze hilfe  das udp-zeug hatte mir schon angst gemacht weil wie gesagt vor paar wochen war das halt noch nicht da.norton war von anfang vor installiert und irgendwann sollt ichs kaufen oder so^^ dann hab ich das zeug aus der registry gelöscht damit es beim start nicht mehr ausgeführt wird. allen anschein nach ist es nicht aktiv sondern nur antivir. bei dem anti malware proggy gibts doch auch die fileassasin vielleicht bekomm ichs damit runter mal schauen. aber wenns nur auf der festplatte ist kanns ja nicht so schlimm sein oder? außer dass es halt speicherplatz weg nimmt. was ist denn nun mit den confickertests? welchen soll ich trauen? weil die älteren meinen conficker b und c. der neuere test jedoch sagt alles in ordnung^^ hatte bis vor kurzer zeit auch noch gar kein antivirusprogramm *g* halt nur 2 benutzerkonten. ein admin- und ein benutzerkonto wobei ich immer letzteres zum zocken und bischen surfen genutzt hab :/ |
|
20.04.2009, 20:19
| #10 |
| /// Helfer-Team | Conficker? Je nach installierter Version sollte Norton durch einen dieser beiden entfernt werden (ich hoffe jedenfalls, dass diese beiden Links noch aktuell sind): Symantec Symantec Avira behauptet von seinem Virenscanner, dass er Conficker erkennen täte. Welche der Bilder auf der Testseite sind denn nicht vorhanden? Laden die folgenden Seiten? http://www.f-secure.com http://www.secureworks.com http://us.trendmicro.com |
|
21.04.2009, 02:21
| #11 |
| | Conficker? nee die seiten laden alle normal und bilder sind auch alle da. ok dann bin ich beruhigt danke |
|
| Themen zu Conficker? |
| antivir, antivir guard, avg, avira, bho, browser, cdburnerxp, defender, desktop, firefox, helper, hijack, internet, internet explorer, internet security, local\temp, logfile, monitor, mozilla, netstat, programdata, rundll, senden, software, symantec, system, udp, vista, windows, windows defender, windows sidebar |
Linear-Darstellung
