|
UDP-Traffic? HijackThis-Log anbei moin, alles fing damit an,daß der DNS-Server der Telekom (194.25.2.129) meine Ports scannte und daraufhin mein NIC ('Norman Internet Control') meine Log-Files zumüllte. Seitdem hab ich seltsame UDP-Transferversuche (system) auf den unmöglichsten Ports. Habe sicherheitshalber entsprechende Regeln für die Ports erstellt, aber die Logs laufen trotzdem voll. Auch ein Online-Scan via www.port-scan.de schien ok. Alle Ports werden gefiltert. Mache mir aber trotzdem Gedanken. Kann mal freundlicherweise jemand über mein HijackThis-Log rüberschauen? Dankeschön! Logfile of HijackThis v1.99.1 Scan saved at 02:34:29, on 22.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\NORMAN\Nvc\BIN\NPFSVICE.EXE C:\Norman\bin\ZANDA.EXE C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe C:\NORMAN\Nvc\BIN\nvcoas.exe C:\Norman\bin\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\Norman\bin\ZLH.EXE C:\WINDOWS\system32\kxmixer.exe C:\WINDOWS\system32\ctfmon.exe C:\Norman\Nvc\bin\cclaw.exe C:\Norman\Nvc\BIN\NIP.EXE C:\Norman\Nvc\BIN\npfmsg2.exe C:\Programme\Mozilla Firefox\firefox.exe G:\BonsaiDaten_1\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll (file missing) O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\Run: [Sygate Personal Port] crss.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup O4 - HKLM\..\RunServices: [RSPC Driver] xkyb.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RSPC Driver] xkyb.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [Sygate Personal Port] crss.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI09CC~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107200172961 O17 - HKLM\System\CCS\Services\Tcpip\..\{41423FE3-C757-4C72-B893-0CC66B0E006B}: NameServer = 212.185.252.73,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{4F4F1938-7410-49AF-9B09-5D9157CEE8C8}: NameServer = 212.185.252.73,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{41423FE3-C757-4C72-B893-0CC66B0E006B}: NameServer = 212.185.252.73,194.25.2.129 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE |
Hallo Bonsai, Dein System ist arg verseucht: http://www.sophos.de/virusinfo/analyses/w32rbotpx.html http://www.uk.sophos.com/virusinfo/a...w32rbotsn.html http://www.sophos.com/virusinfo/analyses/w32rbotub.html Zu Deiner eigenen Sicherheit wird Dir bei schon einem Trojaner mit Backdoorfunktionalität, zu Format C: geraten. Um dies zu vermeiden: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 http://www.trojaner-board.de/showthread.php?t=15124 Zwecklosigkeit von Removaltools: http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlenen Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus |
Zitat:
Lesefehler? Oder welcher Eitrag im Log macht Dich stutzig? *verwirrt* Hier auch das Ergebnis den Online-Scans der Datei via jotti: AntiVir Keine Viren gefunden (0.39 Sekunden) Avast Keine Viren gefunden (3.12 Sekunden) AVG Antivirus Keine Viren gefunden (0.91 Sekunden) BitDefender Keine Viren gefunden (1.04 Sekunden) ClamAV Keine Viren gefunden (1.09 Sekunden) Dr.Web Keine Viren gefunden (1.60 Sekunden) F-Prot Antivirus Keine Viren gefunden (0.14 Sekunden) Fortinet Keine Viren gefunden (1.30 Sekunden) Kaspersky Anti-Virus Keine Viren gefunden (2.90 Sekunden) mks_vir Keine Viren gefunden (0.41 Sekunden) NOD32 Keine Viren gefunden (1.19 Sekunden) Norman Virus Control Keine Viren gefunden (2.02 Sekunden) |
Sygate Personal Port] crss.exe hast bzw. hattest du auf dem System = http://www.sophos.de/virusinfo/analyses/w32rbotpx.html RSPC Driver] xkyb.exe hast bzw. hattest du auf dem System = http://www.sophos.com/virusinfo/analyses/w32rbotsn.html O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe = http://www.sophos.de/virusinfo/analyses/w32rbotub.html Alles gefährliche Backdoors, die aktiv waren bzw. sind! => Dartus' Rat befolgen und deine Malware-Schleuder vom Netz trennen. |
Zitat:
Achja... die Registry-keys.... jep. Hatte mir mal was über ne warez-Seite eingefangen - gleich erkannt und die Prozesse und Dateien gekillt. War wohl nicht ordentlich genug beim säubern. Desch ist aber schon Wochen her. Hatte erst AntiVir - und nach dem killen Norman gekauft. Die exe-Dateien sind definitiv nicht mehr auf meinem Rechner. Sollte doch reichen, die keys zu killen, oder? Danke nochmal! |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board