Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Nachschauen^^ (https://www.trojaner-board.de/33131-bitte-nachschauen.html)

FlaOw! 25.10.2006 18:17
Bitte Nachschauen^^
 
Guten Abend,

ich habe mich mit einem Trojaner inviziert, irgendwas mit "Nuclear" hies dieser..
Virenscanner hab ich ausgeführt, Trojaner gefunden, beseitigt.. alles funzt eigentlich, aber ich weiß auch das ich mein System eventuell neu aufsetzten muss.. Bitte um Rat Danke

Hier ein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:16:04, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Dokumente und Einstellungen\Cruez\Desktop\Programme\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RK Launcher.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8643C2B-9FB5-4BC7-9E61-A3FA06FDF124}: NameServer = 217.237.151.33 217.237.150.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

Hoffe nix bösartiges zu finden :dummguck:

cosinus 25.10.2006 21:49
Dein Hijackthis-Logfile ist übersichtlich und sauber. Wo wurde denn das Trojanische Pferd gefunden? Könntest Du mal den Inhalt der Virenscanner-Berichtsdatei posten?

FlaOw! 26.10.2006 22:59
Abend,

ich musste mein System neuaufsetzen, da es nach einem Neustart ne Fehlermeldung angezeigt hat, irgendeine .nfo Datei hat gefehlt oder sei beschädigt..

Was mir aber Sorgen macht ist

"HKLM\System\CCS\Services\Tcpip\..\{B8643C2B-9FB5-4BC7-9E61-A3FA06FDF124}: NameServer = 217.237.151.33 217.237.150.205"

Könnte es sein das da irgendeine IP mit mir verbunden ist, die ich nicht kenne?
Weil ich hab zur Sicherheit wieder hjiackthis ausgeführt und die IP oder was auch immer steht da wieder, was eigentlich sonst nie der Fall ist :schmoll:

Yopie 26.10.2006 23:20
Zitat:
Zitat von FlaOw!
"HKLM\System\CCS\Services\Tcpip\..\{B8643C2B-9FB5-4BC7-9E61-A3FA06FDF124}: NameServer = 217.237.151.33 217.237.150.205"

Könnte es sein das da irgendeine IP mit mir verbunden ist, die ich nicht kenne?
Ja, das könnte sein, sonst würdest du ja die Frage nicht stellen. :blabla:

Wenn du in der Eingabeaufforderung mal "whois 217.237.151.33" eingibst und dann die IP immer noch nicht kennst, dann hast du ein Problem.

Die angegebene IP-Adresse ist der "Auskunftsmann", der auf dieser Seite erwähnt wird.

(Will dich nicht für dumm verkaufen, finde nur die Seite so schön, dass ich sie mal verlinken wollte. ;) )

Gruß :daumenhoc
Yopie

FlaOw! 27.10.2006 01:12
Das mit der Eingabeaufforderung klappt nicht, wenn ich "whois" mit der IP dannach eingebe, kommt das:

C:\Dokumente und Einstellungen\Flooooooow>whois 217.237.151.33
Der Befehl "whois" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.


Also der Auskunftsmann^^ Namens Provider ist also auf meinem System?
Oder wie soll man des verstehn?? xD

ordell1234 27.10.2006 01:44
Zitat:
Zitat von Yopie
Wenn du in der Eingabeaufforderung mal "whois 217.237.151.33" eingibst
...ach diese Linuxjünger :blabla:

@FlaOw! Die IP gehört zur Telekom. Hast du diese IP der Netzwerkkarte verpaßt, oder teilt die eine schräge Telekom-software zu? Sitzt du hinter einem Router?
Gib mal in der Eingabeaufforderung "ipconfig/all>ipconfig.txt" ein und poste den Inhalt (Datei liegt unter C:\Dokumente und Einstellungen\Flooooooow).

FlaOw! 27.10.2006 03:20
Ich sitz hinter keinem Router, nur hinter einer Firewall..
Telekom Software installieren kann sein, ich hab mir T-DSL Speedmanager installiert..



Windows-IP-Konfiguration



Hostname. . . . . . . . . . . . . : ichbinra-pd4hlv

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein



Ethernetadapter LAN-Verbindung:



Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : ULi PCI Fast Ethernet Controller

Physikalische Adresse . . . . . . : 00-13-8F-C5-29-A2

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse (Autokonfig.). . . . . : 169.254.29.143

Subnetzmaske. . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . :



PPP-Adapter DSL:



Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 84.133.***.**

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 84.133.224.80

DNS-Server. . . . . . . . . . . . : 217.237.151.33

217.237.150.205

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

ordell1234 27.10.2006 03:40
Alles in Butter. Sorry für mein sinnfreies Posting, die geistige oder tatsächliche Umnachtung hat zugeschlagen, was auch immer... :sleepy:.

Die IP-Adressen gehören den DNS-Servern der Telekom und nicht zu deiner Netzwerkkarte! Also kein Problem. So, und nun kuck ich mir noch mal Yopies link an. Gute Nacht.

Yopie 27.10.2006 13:54
QUOTE=FlaOw!]Das mit der Eingabeaufforderung klappt nicht, ...[/quote]

Sorry, mea culpa, das geht wohl wirklich nicht so einfach bei Windows. :kloppen:

Gruß :daumenhoc
Yopie

FlaOw! 27.10.2006 14:52
Oki Doky ^^

Danke für Eure Hilfe^^ Jetzt bin ich Beruhigt :)

irrlicht 27.10.2006 17:17
Hallo,
"Windowsjünger" nehmen dieses hier....

http://www.iks-jena.de/cgi-bin/whois

und geben im Feld die IP bis zum Komma ein.......oder Koma ?
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131