|
Vermutlich Proxyumleitung oder ähnliches Hallo! Da ich den Verdacht habe, dass sich bei mir irgendein bösartiges Programm eingeklinkt hat, frage ich mal nach euerer Meinung zu dem Hijackthis-Logfile. Die automatische Auswertung auf hijackthis.de findet ein paar verdächtige Einträge in der Logfile: O17 - HKLM\System\CCS\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen. O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8 Äußerst schädlich Fuzzy Algorithmusprüfung (1.55 / 5.00), Schädlich O17 - HKLM\System\CS1\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8 Äußerst schädlich Fuzzy Algorithmusprüfung (1.6 / 5.00), Schädlich Anscheinend wird hier irgendwie die Internetverbindung umgeleitet oder so. Kann das sein? Kann mir jemand einen Tipp geben, wie ich das komplett entfernen kann? Vielen Dank. Logfile of HijackThis v1.99.1 Scan saved at 16:57:35, on 12.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\kem.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Opera\Opera.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis_199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}: NameServer = 85.255.116.152,85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}: NameServer = 85.255.116.152,85.255.112.8 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8 O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Dein System ist kompromittiert, der bzw. die Schädlinge haben die TCP/IP-Einstellungen umgebogen, dein "Provider" sitzt nun in der Ukraine! => Whois record for 85.255.116.152 Ich würde das System umgehend vom Netz trennen und neu aufsetzen oder ein sauberes Image zurückspielen! Übrigens ist das schon eine "ältere Masche" mit dem Umbiegen der TCP/IP-Einstellungen, kannst ja mal hier im Board nach "ukraine" suchen. |
hallo, dank dir für deine antwort cosinus. bevor ich das system neu installiere, versuche ich erst mal eine reparatur, auch wenn das natürlich nicht die theoretisch ideale lösung ist. habe - wie du vorgeschlagen hast - mal nach ukraine gesucht, und die anweisungen in den entsprechenden threats durchgeführt: 1) fixwareout benutzt. das liefert folgenden report: ------------------------------------------------- Username "Admin" - 2007-07-13 16:17:37 [Fixwareout edited 2007/07/05] »»»»»Prerun check HKLM\SOFTWARE\~\Winlogon\ "System"="kdklz.exe" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{598F67AE-FEE4-4AA7-BF14-3359890B5C44} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D305A2F2-358C-4536-9A3C-11FBCC5F026B} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "system"="" .... .... »»»»» Misc files. C:\Casino Deleted .... »»»»» Checking for older varients. .... »»»»» Other C:\WINDOWS\Temp\kdklz.ren 65057 04.08.2004 »»»»» Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" "ATIPTA"="C:\\ATI-CPanel\\atiptaxx.exe" "SoundMan"="SOUNDMAN.EXE" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "Advanced Tools Check"="C:\\PROGRA~1\\NORTON~1\\AdvTools\\ADVCHK.EXE" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» 2) im abgesicherten modus escan durchlaufen lassen. ergebnis: ------------------------------------------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: German C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\044664F7//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\045B77A5.class//CryptFF infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\04A8508C//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\04BE7672//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A3767AF//CryptFF/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A4A6399//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A4E0D95//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ... (hab hier paar einträge rausgelöscht, alles im quarantine-ordner) ... Datei C:\Programme\Norton AntiVirus\Quarantine\7CC54D04//CryptFF/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7CD61EF2//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7CDC72EB//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7EF74660//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7F0E6C47//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7F1B1439//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP462\A0150092.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150315.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 111281 Gescannte Dateien: 111281 Gefundene Viren: 120 Gefundene Viren: 120 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 218 Anzahl Fehler: 218 Dauer des Scans bisher: 01:19:16 Dauer des Scans bisher: 01:19:16 alle außer zwei gefundene viren befinden sich allerdings im norton-ordner, und sind daher eher nicht gefährlich vermute ich. was meint ihr zu den infizierten dateistreams? kann die entsprechneden files nicht löschen. komme an diese files nicht ran, da der ordner "system volume information" den zugriff verweigert. noch ne frage: wenn nur der dns-server umgeändert war, konnte ja eigentlich nichts ausgespäht werden, oder? d.h. mein system hat auf ne namens-anfrage einfach die falsche ip bekommen - nicht aber der ganze internetverkehr wurde umgeleitet, nehm ich mal an. vielen dank soweit. achso, im anschluss hab ich nochmal hijackthis die bemängelten einträge fixen lassen. das neue log (ach nach mehren neustarts) ist jetzt so: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
mhm. meint ihr, das ist das jetzt einigermaßen ok so? |
Hi, da frag doch mal den, der dir empfohlen hat, den hier gegebenen Rat in den Wind zu schießen ob er dir dafür garantieren möchte, dass Du jetzt ein sicheres System hast. Die meisten Escan-Funde sind zwar schon in Quarantäne gewesen, aber dorthin schließlich nicht aus dem liuftleeren Raum gelangt, sondern aus dienem System. |
naja, eine garantie kann man nach ner infektion natürlich nie geben; im grunde ja nicht mal ohne ne infektion gehabt (bemerkt) zu haben. mir gehts erst mal nur darum, die wahrscheinlichkeit zu minimieren, dass da noch was ist. wenn wieder irgendwelche symptome auftreten, installier ich halt neu. dachte, vielleicht kann mir jemand nochmal einen rat geben zum escan-report. also wie ich mit den gefundenen files umgehe... die infizierten files im system volume information ordner, stören ja im grunde nicht, solange sie nicht ausgeführt werden, oder seh ich das falsch? |
Na wenn das so ist :rolleyes: Die Norton-Quarantäne leeren (warum bewahrst Du den Mist denn auf). Den Norton-Papierkorb ebenfalls leeren. Komplette Datenträgerbereinigung. Solange Du nicht zurücksetzt, kommen die Dateien aus der Systemwiederherstellung nicht raus, stimmt. Wenn Du sie dennoch loswerden willst: Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst. Und immer dran denken: Die ersten Symptome, die ein sorgfältig programmiertes Rootkit, Keylogger, usw. zeigen, können darin bestehen, dass das Bankkonto abgeräumt ist oder die Polizei morgens die Türe eintritt, um den Rechner zu beschlagnahmen. Egal, nicht mein Konto, nicht meine Türe und nicht mein Rechner :D |
ok, danke für die tipps, werde den kram dann mal löschen. ja, vom prinzip her hast du natürlich recht. aber mach mir doch nicht sone angst... :-) |
Was ist daran so schlimm wenn der Provider in der Ukraine ist? Was soll der Quatsch? Warum machen die das? |
Zitat:
|
ich habe das so verstanden, dass lediglich als dns-server nicht mehr der meines providers, sondern ein fremder eingesetzt wird. dadurch bekommt z.b. mein browser, wenn ich eine url eintippe, eine falsche ip zu dieser url geliefert, und zeigt mir falsche seiten an, z.b. werbung, oder im schlimmsten falls gefälschte onlinebanking-angebote. oder steckt da noch mehr dahinter? |
hm der ganze traffic kann auch umgeleitet werden? |
Hier ist eine Seite die voll mit threads wo das Problem von DNS-Weiterleitungen beschrieben ist. http://www.trojaner-board.de/search....archid=1193129 Es ist durchaus möglich das Irgendwer in der Ukraine genau zu diesem Zeitpunkt mitverfolgt, was Du so alles schreibst oder welche Seiten Du besuchst. Als wie wenn jemand hinter Dir stehen würde um alles zu beobachten, um es mal so salopp zu formulieren. Und wie cosinus schon schrieb: Es sind z.T. Kriminelle, die versuchen z.B. an Gamecodes zu kommen, Passwörter herausfiltern, oder Kreditkarten-Nummern ausspähen wollen. |
der link funktioniert bei mir leider nicht ... könntest du ihn bitte nochmal überprüfen? |
Oki, machen wir es anders: Geh oben auf die schwarze Kopfzeile, klicke auf "Suchen" , gib dieses nette Land zwischen Karpaten,Krim und schwarzen Meer ein: "Ukraine" , klicke auf <Los> Lese Dir mal einge dieser threads durch und bilde Dir selber Deine Meinung. |
Okay habe nochmal ComboFix laufen lassen, und möchte euch um eine Einschätzung bitten. Da sind einige duibiose Files im Windows-Ordner, die im letzten Monat angelegt wurden. Interessant ist, dass es sich bei etwa der Hälfte dieser Einträge gar nicht um Files sondern um leere Ordner handelt. rundll16.exe, rundl132.dll beispielsweise sind leere Ordner. Die Datei nircmd.exe ist laut jotti.org infiziert (allerdings nur von einem einzigen Virenscanner was gefunden): Datei: nircmd.exe Status: INFIZIERT/MALWARE A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Application/NirCmd.A gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Okay, hier nun die Log-Datei von ComboFix, wäre nett, wenn ihr da mal nen Blick drauf werfen würdet: "Admin" - 2007-07-27 10:03:05 [GMT 2:00] - ComboFix 07-07-24 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 ))))))))))))))))))))))))))))))) 2007-07-27 10:02 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-07-13 16:36 153,600 --a------ C:\WINDOWS\R.COM 2007-07-13 16:36 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-07-09 16:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-07-08 20:01 <DIR> d-------- C:\Programme\Opera 2007-07-08 19:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems 2007-07-08 19:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2007-07-08 18:29 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-20 06:49:13 9,290 ----a-w C:\DOKUME~1\Admin\ANWEND~1\wklnhst.dat 2007-07-11 15:39:05 -------- d-----w C:\Programme\Symantec 2007-07-08 17:27:50 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-07-08 15:35:48 -------- d-----w C:\Programme\Playmaker 2007-06-17 14:43:55 -------- d-----w C:\Programme\TVgenial 2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys 2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-08-12 22:10] "SoundMan"="SOUNDMAN.EXE" [2003-08-05 14:59 C:\WINDOWS\SOUNDMAN.EXE] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-01-11 10:23] "Advanced Tools Check"="C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE" [2003-08-22 22:17] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2005-06-30 08:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "ALUAlert"=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-12-21 17:06:21] BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2003-09-15 16:23:58] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2003-12-14 14:54:27] Monitor Apache Servers.lnk - C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe [2003-10-29 10:24:14] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ] C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll 2003-09-24 02:00 1064960 C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^klickTel Herbst 2006 - Schnellstarter.lnk] path=C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\klickTel Herbst 2006 - Schnellstarter.lnk backup=C:\WINDOWS\pss\klickTel Herbst 2006 - Schnellstarter.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PC-Bibliothek-Direktsuche.lnk backup=C:\WINDOWS\pss\PC-Bibliothek-Direktsuche.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer] KHALMNPR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase One Media Reader] C:\PROGRA~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe R0 sbp2port;Bustreiber fr SBP2-Transport/Protokoll;C:\WINDOWS\system32\DRIVERS\sbp2port.sys R2 BTSERIAL;Bluetooth Serial Driver;\??\C:\WINDOWS\System32\drivers\btserial.sys R2 BTSLBCSP;Bluetooth Port Client Driver;\??\C:\WINDOWS\System32\drivers\btslbcsp.sys R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\system32\Drivers\ElbyCDIO.sys R3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\system32\drivers\ALCXSENS.SYS R3 btwhid;btwhid;C:\WINDOWS\system32\DRIVERS\btwhid.sys R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LHidKE.Sys R3 LHidPPKE;Logitech SetPoint HID Function Driver;C:\WINDOWS\system32\DRIVERS\LHidPPKE.Sys R3 LMouKE;Logitech SetPoint Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LMouKE.Sys R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys R3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\System32\Drivers\NPDRIVER.SYS R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys S3 61883;61883-Einheitsger„t;C:\WINDOWS\system32\DRIVERS\61883.sys S3 Avc;AVC-Ger„t;C:\WINDOWS\system32\DRIVERS\avc.sys S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\system32\DRIVERS\msdv.sys S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys S3 RecAgent;recagent;\??\C:\WINDOWS\System32\DRIVERS\RecAgent.sys S3 sermouse;Serieller Maustreiber;C:\WINDOWS\system32\DRIVERS\sermouse.sys S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys Contents of the 'Scheduled Tasks' folder 2007-07-11 16:03:16 C:\WINDOWS\tasks\Symantec NetDetect.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2007-07-27 10:05:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:000000a9 scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-27 10:06:12 C:\ComboFix-quarantined-files.txt ... 2007-07-27 10:06 --- E O F --- |
Die folgenden Einträge im Combofix werden vom Escan erzeugt: Die 6 Ordner sollen verhindern, dass Malware mit diesen Dateinamen auf deinem System landen kann, denn unter Windows kann es in einem Ordner nicht einen Ordner und eine Datei des gleichen Namens zusammen geben. Eine fragwürdige Praktik. R.COM und T.COM stammen ebenfalls vom Escan und sind Kopien des Taskmanagers und Registryeditors. Ebenfalls ziemlich sinnfrei. Code: 2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\zts2.exe |
danke für deine antwort, karlkarl! das klingt ja zunächst mal etwas beruhigend. ich glaube die nircmd kommt von fixwareout. ist ja nicht die feine art, dass diese programme alle wild im windows-verzeichnis rumpfuschen. naja gut, was solls. hab die systemwiederherstellung übrigens nach deinem tipp mal gelöscht (und neu aktiviert) und nochmal nen panda und kapersky online scan gemacht, die beide gut aussehen. ich bin einfach mal so gutgläubig und hoffe dass jetzt alles in ordnung ist ... gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board