|
SYN-flood, suche nach Quelle Hi, habe seit einer Lan Probleme mit so ziemlich allen Programmen außer ICQ (auch das geht manchmal nicht) ins Internet zu kommen. Außerdem haben sich bei Windows der Anmelde-/Beenden- und der Task-Manager-Dialog vom neuen Design zu diesem alten grauen Design verändert. Durch netstat habe ich rausgefunden, dass irgendein Programm anscheinend versucht über die Ports 1286 und die folgenden bei "microsoft-ds" eine SYN-flood-Attacke auszulösen. Leider hab ich den entpsrechenden Prozess noch nicht gefunden. Ad Aware hat zwar drei Wurmsignaturen (des selben Wurms) in 3 Dateinen gefunden, die ich gelöscht/in Quarantäne habe, aber die Probleme bleiben. Antivir findet gar nichts. Vielleicht bekommt ihr ja was über das Log raus oder habt andere Vorschläge. (Ich weiß, ist ziemlich viel Zeug, falls ihr andere Vorschläge habt, was ich davon nicht brauche, wäre ich euch auch dankbar. ;) ) Logfile of HijackThis v1.99.1 Scan saved at 22:36:41, on 06.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\g3OnlineTimer\g3OnlineTimer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: g3OnlineTimer.lnk = C:\Programme\g3OnlineTimer\g3OnlineTimer.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe EDIT: Habe den Prozess nvsvc32.exe beendet, woraufhin die SYN-Anfragen nichtmehr rausgehen und ich normal ins Internet komme. Da ich keine Ahnung habe, ob ein Löschen und eine Treiberneuinstallation genügt, hab ich erstmal alles in der Richtung gelassen und warte auf Antworten. |
Hallo, nvsvc32.exe gehört in der Regel zu Nvida Treibern, sollte also kein Problem darstellen. Es gibt Prozesse mit ähnlichen Namen, die versuchen sich als solcher im System zu tarnen, hast DU Dich nicht verschrieben? Führe mal den Befehl netstat -bv in der Konsole aus ( Start / Ausführen / cmd [Enter] ). Pürfe die laufenden Prozesse und schaue, welches diese Anfragen macht. Ports oberhalb 1023 sind frei verfügbar, daher ist anhand dessen schwer zu sagen, welche Anwendung diesen öffnet. Weiterhin fehtl Dir SP2, was Deine Probleme wohl herbeigeführt haben kann. Warum ist es nicht installiert? Gruß Schrulli |
Danke erstmal für die Antwort! Habe leider oben was falsches geschrieben. Antivir hatte den Wurm gefunden: Enthält die Signatur des Wurmes WORM/Korgo.W: system32\ftpupd.exe system32\uiovyyh.exe Und eine dritte Datei, die woanders lag, hab ich leider schon gelöscht. Ad Aware hat folgendes gefunden und gelöscht: WIN32.TROJAN.DOWNLOADER »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[12]=Regkey : PopCapLoader.PopCapLoaderCtrl2 obj[13]=Regkey : PopCapLoader.PopCapLoaderCtrl2.1 obj[14]=Regkey : Software\microsoft\windows\currentversion\moduleusage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll obj[15]=RegValue : Software\microsoft\windows\currentversion\moduleusage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll "{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}" obj[16]=RegValue : Software\Microsoft\Windows\CurrentVersion\SharedDLLs "C:\WINDOWS\Downloaded Program Files\popcaploader.dll" obj[20]=File : c:\/windows/downloaded program files/popcaploader.dll HiJackThis hatte im ersten Durchlauf noch das gefunden: O16 - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab Ebenfalls gelöscht. Da es danach nicht aufgehört hat, hab ich das weggelassen...im Nachhinein wohl nicht ganz so clever von mir.. nvsvc32.exe war die Nvidia-Treiberdatei, das war mir bewusst. Hatte irgendwo gelesen, dass die auch infiziert sein kann. Nach einem Neustart passiert trotzdem nichts mehr, was ja dafür sprechen würde, dass ich mich da geirrt habe und das ganze vielleicht durch die Löschung der oben genannten Dateien aufgehört hat!? Bei netstat -bv passiert nichts (Hilfe wird aufgerufen), sicher dass du -bv meinst? Bei mir sind bei netstat nur die Parameter (?) -a, -e, -n, -o, -p, -r und -s möglich, schreibt zumindest die Hilfe. SP2 wird nachgeholt. |
Hallo, habe mich natürlich verschrieben :mad: netstat -r meinte ich. Mit den neuen Informationen lege ich Dir aber eher einen eScan ans Herz. die Anleitung bitte genau lesen. Hinterher das escan_neu.txt hier posten und nicht wundern, wenn eScan viel ausspuckt, es ist etwas paronoid. Gruß Schrulli |
Hallo, habe das mal ausprobiert, nach kurzer Zeit den kompletten Scan aber auf die Nacht verschoben. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed. Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed. Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Tue Aug 08 01:54:17 2006 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Mon Aug 07 23:35:03 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Mon Aug 07 23:35:03 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Mon Aug 07 23:35:03 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Aug 07 23:35:00 2006 => Total Errors: 3 Mon Aug 07 23:59:41 2006 => Total Errors: 220 Tue Aug 08 04:00:59 2006 => Total Errors: 1 Mon Aug 07 23:35:00 2006 => Time Elapsed: 00:01:06 Mon Aug 07 23:59:41 2006 => Time Elapsed: 00:08:35 Tue Aug 08 04:00:59 2006 => Time Elapsed: 02:25:22 Mon Aug 07 23:35:00 2006 => Total Objects Scanned: 3725 Mon Aug 07 23:59:40 2006 => Total Objects Scanned: 21626 Tue Aug 08 04:00:59 2006 => Total Objects Scanned: 85657 Mon Aug 07 23:35:03 2006 => Virus Database Date: 8/7/2006 Mon Aug 07 23:41:23 2006 => Virus Database Date: 8/7/2006 Mon Aug 07 23:49:10 2006 => Virus Database Date: 8/7/2006 Mon Aug 07 23:59:41 2006 => Virus Database Date: 8/7/2006 Tue Aug 08 00:00:08 2006 => Virus Database Date: 8/7/2006 Tue Aug 08 01:33:11 2006 => Virus Database Date: 8/7/2006 Tue Aug 08 04:00:59 2006 => Virus Database Date: 8/7/2006 Tue Aug 08 06:05:08 2006 => Virus Database Date: 8/7/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -------------------------------------------------- C:\Bases_X\LOG\MWAV.LOG -------------------------------------------------- Sieht ja aus, als ob ich das Problem los wäre oder? Jetzt muss ich nur noch rausfinden, wie ich den Beenden-Dialog und den Task-Manager wieder im neuen Design hinkriege.:D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board