Trojaner-Board - Woouuw! was ist da los!?!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Woouuw! was ist da los!?! (https://www.trojaner-board.de/15773-woouuw-los.html)

Woouuw! was ist da los!?!

hy @ all

ich gestern während dem spielen ist mir aufgefallen das mein ping im internet sehr hohe schwankungen hat was nicht normal ist. das wurde mir schnell klahr das ein trojaner an bord ist. ich hab meine firewall gecheckt und dort auch gesehen das ich zuviel in und out hatte was nicht möglich war.

also hab ich ad-ware, spybot, anti-vir und escan drüber laufen lassen alle natürlich mit dem neusten update :dummguck:

so heute mach ich wieder die kiste an und nach ein paar sek. habe wieder so viel traffic im fw drin!!!! :koch:

leider weiss ich nicht wo ich jetzt weitersuchen soll.... könnt ihr mir helfen?!

Pc:

xp pro
hängt an einem switch
adsl modem zyxel
inetleitung shared mit pc 2

vielen dank im voraus

grats halbmond

hmm ja ist bei mir auch so nur weiß ich nciht ob es nun trojaner sind oder meine i-net leitung ich will mit meiner box online zocken nur mein ping ist dann immer auf 5000-9000 mittelwert aber wenn ich nur normal surfe auf 41.
800 down 128 up.

also ich denke der provider ist es nicht....sowie auch der andere pc der noch die inetleitung nutzt. bis anhin hatte ich auch noch nie solche probleme.

wenn ich übers modem ins internet verbinde siehe beim traffic im firewall(sygate personal) wie er eine kurzer zeit normal läuft plötzlich fängt er an kleine in und out packete anzuzeigen :teufel1:

was mir auch noch aufgefallen ist: seit ich die geteilte inetverbindung neu eingestellt habe. habe ich ein file hwclock.exe im firewall in der anzeige was ich bis anhin noch nicht hatte....

der komische traffic wird im firewall durch die ras pppoe verbindung angezeigt, was nach meinem wissen das modem ist. wie kann das sein?!

also ich kenn mich da so oder so nicht aus das musst du auf die experten warten die können dir sicher helfen ich wollte nur anmerken das ich das selbe prob hab nur ich spiel halt nicht direkt mit dem PC.
was ist eigentlich dein mittelwert während dem spielen ?
Nur so interessenshalber

ist natürlich immer spielabhängig ~30-50 1mbit leitung

ich werd heute abend noch kurz ne hijack hinzufügen ....

Was hat denn escan gefunden?

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Hast du die Scans im abgesicherten Modus ausgeführt, und falls du XP oder ME hat bei deaktivierter Systemwiederherstellung?

ich hab 2 versionen von escan die einte, ist eine ältere welche im ordner "bases" im c:. diese habe ich zuerst durchlaufen lassen. der hatte 2 trojaner gefunden. (beide versionen haben das aktuelle update)

mit der neuen version habe ich nichts mehr gefunden bzw. es wurde nichts angezeigt.

ich schau mir heute nach der arbeit nochmals beide logs an gemäss anleitung und werde sie hier posten.

beide versionen habe ich im normalen modus durchlaufen lassen, ich werd die alte version deshalb auch noch kurz im abgesicherten modus durchsuchen lassen. mal schauen obs was bringt :)

so back on track ....

also ich hab beide pc's welche am netzwerk hingen jetzt mal gecheckt(pc1= mein pc/stellt inet verbindung her| pc2=pc meines bruders/stellt inet über gemeinsame verbindung her)

pc2 ist nun fertig mit dem escan gemacht im savemod: keine funde!

jetzt hab ich noch hijack durchlaufen lassen, hier der log des pc2.

Logfile of HijackThis v1.99.1
Scan saved at 19:26:56, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ELAN.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.saf-clan.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ATITool.lnk = C:\Programme\ATITool\ATITool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - http://www.1mal1.com/flatcast/NpFv49.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/.../Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B77338-1D93-4012-B0E1-ED831154F16A}: NameServer = 192.168.0.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Programme\Motherboard Monitor 5\fanspeedNT.exe" (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

log des pc1 wird folgen :zzwhip:

vielen dank fürs durchschauen :)

escan hat im savemod auch beim pc1 nichts mehr gefunden. hier hab ich noch ein hijack log vom pc1. haut rein! :zzwhip:

Logfile of HijackThis v1.99.1
Scan saved at 22:12:33, on 23/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\div. Programme\RefreshLock.exe
C:\programme\powerstrip\pstrip.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\PerSono\perstray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cs.swissgamers.ch/?s=
F0 - system.ini: Shell=Explorer.exe C:\windows\system32\crrscr32.exe
F1 - win.ini: run=C:\windows\system32\crrscr32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RefreshLock] D:\div. Programme\RefreshLock.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094752506734
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

könnte man den thread ins hijack forum verschrieben @ mod thx :)

Hallo halbmond,

lass bitte folgende Dateien (auf pc1):

C:\windows\system32\crrscr32.exe
C:\WINDOWS\System32\NavLogon.dll

hier online scannen:

http://virusscan.jotti.org/de

Teile bitte das jeweilige Ergebnis mit (12-zeilig).

Desweiteren bitte auch hier uploaden:

http://www.malwareupload.com

Erläuterungen

dartus

ok mach ich sobald ich zuhause bin ... thx. ich hoff ich muss nicht formaten :pfui:

@ All

Die Datei navlogon.dll gehört zu Norton siehe in dem Thread ;)
http://www.trojaner-board.de/showthr...t=NavLogon.dll

@Gigamail,

http://www.mainzelahr.de/smile/schilder/danke.gif

Das wollte ich schon immer mal wissen!

dartus