Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   infiziertes LAN-Netzwerk (https://www.trojaner-board.de/36120-infiziertes-lan-netzwerk.html)

Esteban 08.02.2007 00:37
infiziertes LAN-Netzwerk
 
Hallo zusammen,

erstmal dicke probs an dieses Forum, ist sehr informativ.

Habe eigentlich ein eher kleines Problem und würde mich dann doch in die Kategorie Newbie packen. In unserem Haus hänge ich an einem Netzwerk welches nach Aussage der anderen Nutzer infiziert wurde. Wir nutzen zwar ein gemeinsames Netzwerk, aber es gibt kein filesharing untereinander. Auch blockt ZA öfters den Zugriff auf meinen Rechner mit einer internen IP. Meine HAusmitbewohner sind es auf keinen fall. Da ich nicht weis ob es trotzdem schon kompromittierte Systeme gibt und mein Rechner auch infiziert ist, würde ich gern eure Meinung dazu hören.
Problematisch ist bisher nur das ich Firefox mehrfach aktualisieren muß bis es die Seiten aufbaut und der IE nicht mehr funktioniert. Vielleicht liegt das aber auch an unserem Netzwerk...

Danke im Voraus

esteban

Hier das log


Logfile of HijackThis v1.99.1
Scan saved at 00:03:40, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\system32\Dsp24Set.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\BitTorrent\bittorrent.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\KPTNES~1\LOKALE~1\Temp\Rar$EX00.891\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msci] E:\DOKUME~1\KPTNES~1\LOKALE~1\Temp\200711223477_mcinfo.exe /insfin
O4 - HKLM\..\Run: [kav] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BitTorrent.lnk = E:\Programme\BitTorrent\bittorrent.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167930343296
O20 - Winlogon Notify: klogon - E:\WINDOWS\system32\klogon.dll
O23 - Service: 31F87C4B5C519D7C - Unknown owner - C:\RkUnhooker\31F87C4B5C519D7C.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Cleriker 08.02.2007 11:43
Hi,

das sieht ja mal interessant aus
Zitat:
O4 - HKLM\..\Run: [msci] E:\DOKUME~1\KPTNES~1\LOKALE~1\Temp\200711223477_mc info.exe /insfin
O23 - Service: 31F87C4B5C519D7C - Unknown owner - C:\RkUnhooker\31F87C4B5C519D7C.exe (file missing)
Lade mal bitte bei Virustotal hoch und poste das Ergebnis.

Ansonsten sieht dein LogFile ok aus.
Hast du diesen Eintrag selber editiert?
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
Schau mal bitte nach, ob die beiden Dateien in
E:\Windows\ sind, da wo sie hingehören.

Zitat:
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
mfg Cleriker

Esteban 13.02.2007 13:26
Hallo erstmal entschuldigung für die späte anwort

"Lade mal bitte bei Virustotal hoch und poste das Ergebnis."

Die Dateien kann ich nicht hochladen, da sie scheinbar nicht mehr existieren, muss ich da was an meiner registry ändern??


"Ansonsten sieht dein LogFile ok aus.
Hast du diesen Eintrag selber editiert?"

Nein ich habe diesen Eintrag nicht selbst editiert

"Schau mal bitte nach, ob die beiden Dateien in
E:\Windows\ sind, da wo sie hingehören."

Ja ich habe sie dort gefunden

Komisch ist nur das jetzt meine Suchfunktion nicht mehr aktiv ist, selber habe ich nichts geändert.

Danke für die Antwort

viele Grüße Esteban

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA
[/edit]


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131