Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   host.bigforce.info - Logdatei prüfen (https://www.trojaner-board.de/28342-host-bigforce-info-logdatei-pruefen.html)

haaber73 13.04.2006 10:20
host.bigforce.info - Logdatei prüfen
 
Hallo,
auf einem W2K-Rechner öffnen sich immer DFÜ-Fenster, die eine Verbindung zu "host.bigforce.info" herstellen wollen (keine Online-Verbindung, sondern manuelle ISDN-Einwahl). Nach einigem Wegklicken schmiert die Kiste ab. Hier mal ein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:53:21, on 13.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wumd.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\cms1\Desktop\HijackThis.exe

O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk
O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk
O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.250.106 banesnet.banesto.es
O1 - Hosts: 216.180.250.106 extranet.banesto.es
O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it
O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.250.106 oi.cajamadrid.es
O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com
O1 - Hosts: 216.180.250.106 banking.postbank.de
O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de
O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.250.106 ibank.cahoot.com
O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk
O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it
O1 - Hosts: 216.180.250.106 mybank.bybank.it
O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com
O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk
O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\mmf32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Sunny 13.04.2006 14:00
Moinsen,

da hast du aber einiges im System!

1. Lass folgende Datei bei VIRUSTOTAL überprüfen und poste das Ergebnis.

C:\WINNT\system32\wumd.exe
diese deutet auf Malware hin!

2. Lade dir die Killbox runter (Link in meiner Signatur)
folgende Datei löschen lassen (Delete on Reboot --> anhaken)
C:\WINNT\system32\mmf32.exe
denn diese ist für Punkt 3. Verantwortlich!

Fixe mit HijackThis im abgesicherten Modus und bei ausgeschalteter Systemwiederherstellung folgende Zeilen:

O1 - Hosts: 216.180.250.106 www.halifax-online.co.uk
O1 - Hosts: 216.180.250.106 ibank.barclays.co.uk
O1 - Hosts: 216.180.250.106 online.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.250.106 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.250.106 banesnet.banesto.es
O1 - Hosts: 216.180.250.106 extranet.banesto.es
O1 - Hosts: 216.180.250.106 ebanking.bccbrescia.it
O1 - Hosts: 216.180.250.106 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.250.106 oi.cajamadrid.es
O1 - Hosts: 216.180.250.106 bancae.caixapenedes.com
O1 - Hosts: 216.180.250.106 banking.postbank.de
O1 - Hosts: 216.180.250.106 meine.deutsche-bank.de
O1 - Hosts: 216.180.250.106 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.250.106 ibank.cahoot.com
O1 - Hosts: 216.180.250.106 webbank.openplan.co.uk
O1 - Hosts: 216.180.250.106 bancopostaonline.poste.it
O1 - Hosts: 216.180.250.106 mybank.bybank.it
O1 - Hosts: 216.180.250.106 ibank.internationalbanking.barclays.com
O1 - Hosts: 216.180.250.106 welcome7.co-operativebank.co.uk
O1 - Hosts: 216.180.250.106 welcome11.co-operativebankonline.co.uk

sofern du diese Domäne bzw. IP nicht kennst, bitte auch fixen!
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = praxis.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = praxis.net

Gruß
Daniel

Wildone 13.04.2006 14:04
Hallo,
wenn ich das hier lese:
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.net
wird mir ganz anders, da gibt es doch gerade mit an Sicherheit grenzender Wahrscheinlichkeit vollen Zugriff auf Kundendaten...


Grüße Wildone

Sunny 13.04.2006 14:13
Zitat:
Zitat von Wildone
vollen Zugriff auf Kundendaten...
was heisst das nun genau? Bin ein wenig überfragt..

Wildone 13.04.2006 14:23
Hallo,
naja ich spekuliere schon das hier ein Backdoor im Spiel ist, normalerweise werden BankIPs (in der host) nicht zum Spass umgeleitet. Und das kürzel praxis.net deutet für mich darauf hin das der Computer wohl zu einer Arztpraxis oder einem Anwaltsbüro gehören wird, das dort jede Menge sensibler Daten ausgelesen werden können muss ich wohl nicht betonen.


Grüße Wildone

dartus 13.04.2006 15:03
Hallo,

das System ist mit Sicherheit backdoorverseucht.
Bei einem Privatrecher ist klar was anzuraten ist, andernfalls sind wir nicht zuständig.

dartus

haaber73 14.04.2006 13:13
Hallo,

danke für die Infos; was kann ich denn für die Zukunft tun, um zu vermeiden, dass so etwas wieder auftritt?

Danke,

Bernd


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131