Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC Kompromittiert!?!? (https://www.trojaner-board.de/18828-pc-kompromittiert.html)

MountainKing02 10.06.2005 18:46
PC Kompromittiert!?!?
 
Hab meinen PC seit kurzem Neuaufgesetzt (allerdings nur c: formatiert [NTFS-Dateisystem], hab noch zwei weitere Festplatten) alle möglichen Windows-Updates installiert und halte mich auch sonst an die Sicherheitsvorschläge, die man diesem und anderen Foren entnehmen kann (z.B.: kein ActiveX, Javascript usw.). Benutze den Firefox-Browser, Ad-Aware von Lavasoft, Bitdefender Professional (AV+FW), XP-Antispy, regclean, habe manuell etliche weitere XP-Dienste deaktiviert und zusätzlich, wenn ich unser Netzwerk nicht brauche den WINS NetBIOS über TCP/IP deaktiviert. Ich habe den Process Explorer, die Demo Version des Security Task Managers und seit gestern auch den WinTasks Professional Explorer installiert. Kann eigentlich auch nichts verdächtiges am PC finden, trotzdem kommen mir einige Sachen komisch vor. Zum einen ist das Administrator-Konto, welches man ja bei der Installation von XP erstellen muss, auf einmal auch von meinem Benutzerkonto aus einsehbar (vorher nicht). Oder der WinTasks Explorer schließt sich automatisch, gerade eben, während ich hier schreibe hat sich von selbst die LAN-Verbindung deaktiviert, über die ich per DFÜ-Verbindung im Internet bin usw. Jetzt würde ich gern mal mein HijachThis File auswerten lassen, ob da irgendetwas nicht stimmt. Vielleicht leide ich ja mitlerweile auch nur unter Verfolgungswahn, was mich nicht wundern würde bei dem Zeug über PC-Spionage wo man hier lesen muss ^^. Außerdem hatte ich mal die Zugangsdaten fürs Internet wegen einem Problem am PC weitergegeben, aber mitlerweile wieder neue angefordert. Mein nicht unbegründeter Verdacht ist, dass von meinem PC ein Image erstellt wurde, und sich jetzt jemand in meinen PC einloggen kann. Habe übrigens vor einiger Zeit ein Zip-Archive unter Eigene-Dateien gefunden, das DEFINITIV nicht von mir ist. Hab mir das mal mit dem Editor angeschaut, da standen unter anderem, Bestellungen die wir bei Amazon oder so bestellt hatten drin. Falls ihr irgendwie Hinweise, die das bestätigen können findet, dann wär ich euch sehr dankbar. Außerdem wird der Port 135 immer noch als offen angezeigt, obwohl der ja, wenn man unter Netzwerk WINS NetBIOS über TCP/IP deaktiviert, geschlossen sein sollte. Bin übrigens für alle Sicherheitstipps dankbar, besonders würde ich gerne wissen wie man erkennen kann ob sich jemand anderes am PC eingeloggt hat. Gibt es da ne Logfile? Puh, aber hier erst mal mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:40:02, on 10.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winamp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\Process Explorer\procexp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.c...?1118105057404
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69F7338-E525-4A8C-A17B-0B47AB189866}: NameServer = 192.****.1
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Ich bedanke mich jetzt schon mal für eure Antworten und die damit verbundenen Anstrengungen und hoffe, dass ihr was findet. Danke.

felix1 10.06.2005 19:45
Bezüglich Amazon: Benutzt Du den PC wirklich allein oder haben auch andere Personen Zugang?
Da ich an Deinem Log-File nicht schlechtes erkennen kann und Du sicher gehen willst, dann mache das genau nach Anleitung von Cidre:
http://www.trojaner-board.de/showthread.php?t=17492
Wenn Du Probleme finden solltest, dann poste das Ergebnis hier.

MountainKing02 10.06.2005 21:00
Falls mein PC nicht irgendwie ferngesteuert wird, dann benutze ich den Computer alleine ^^. Das beruhigt mich dann ja schon mal, wenn du da nichts gefunden hast. Habe meinen PC übrigens streng nach Cidres Anweisung neuaufgesetzt.

Mal noch ne andere Frage. Man kann sich ja über den Kommando-Zeilenbefehl
netstat -an
oder
netstat -an >ports.txt
offene Ports anzeigen lassen. Das Fenster schließt sich bei mir allerdings sofort wieder. Hat das Problem auch mal jemand gehabt? Vielleicht liegt das ja aber auch an WindowsXP?

felix1 10.06.2005 21:03
Das ist auch normal. Gib bei Eingabeaufforderung mal cmd ein und betätige die Entertaste. Dann geht die DOS-Box auf.
Dort kannst Du dann eingeben:
netstat -an
oder
netstat -an >ports.txt
Dann siehst Du auch das Ergebnis.
:huepp:

MountainKing02 10.06.2005 21:26
Ok, danke. Wie konnte ich das nur vergessen. Hat jemand Erfahrung mit dem Dienst "Sekundäre Anmeldung"? Wenn ja, wozu ist der genau nötig und kann man den abschalten?

Außerdem sind an meinem Computer der Port 135 und 10110 offen. Wozu ist der Port 10110 und wie kann man den Port 135 schließen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131