Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ...Verbindung wird zurückgesetzt. (https://www.trojaner-board.de/42203-verbindung-zurueckgesetzt.html)

absolutenoob 15.08.2007 13:57
...Verbindung wird zurückgesetzt.
 
Hallo erstmal!

Ich habe folgendes Problem, wenn ich mich zum beispiel bei der Norisbank oder bei Amazon anmelden will bekomme ich folgende Nachricht.
Beim Versuch, onlinebanking.norisbank.de zu kontaktieren wurde die Verbindung zurückgesetzt.
Ich habe keine Ahnung was ich machen soll und frage deshalb hier um Hilfe.:heulen:

anbei mein logfile von highjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:49:19, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\LEXBCES.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\LEXPPS.EXE
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
F:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
F:\WINDOWS\system32\CTHELPER.EXE
F:\WINDOWS\system32\Linksts.exe
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
F:\Programme\AOL 9.0\aoltray.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
F:\WINDOWS\system32\CTsvcCDA.exe
F:\WINDOWS\system32\gearsec.exe
F:\Programme\Norton Internet Security\ISSVC.exe
F:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
F:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\Programme\AOL 9.0\waol.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\AOL 9.0\shellmon.exe
F:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domain.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=KEY
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Programme\FlashGet\jccatch.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - F:\Programme\Burn4Free Toolbar\v3.1.0.0\Burn4Free_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - F:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - F:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - F:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - F:\Programme\Burn4Free Toolbar\v3.1.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] F:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] F:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] F:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "F:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] F:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [CommCenter] "F:\Programme\RVS\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://F:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://F:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://F:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://F:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2A396E89-2E4F-414F-AB8C-23BEB707EAEB} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2A396E89-2E4F-414F-AB8C-23BEB707EAEB} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D742E578-7A67-4889-82E8-6D34F4469477}: NameServer = 205.188.146.145
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - F:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - F:\WINDOWS\system32\gearsec.exe
O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - F:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - F:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - F:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: softsys - Unknown owner - F:\WINDOWS\system32\swchost.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

mfG an!:kloppen:

Rene-gad 15.08.2007 14:12
@absolutenoob
Hier
Zitat:
O23 - Service: softsys - Unknown owner - F:\WINDOWS\system32\swchost.exe (file missing)
gehe ich von einem Rootkit aus. Lasse die Datei bei VirusTotal - Free Online Virus and Malware Scan auswerten und bereite dich seelisch für eine Neuinstallation vor.

absolutenoob 15.08.2007 15:53
habe jetzt dort die Datei F:\WINDOWS\system32\swchost.exe (file missing) eingegeben und analysieren lassen,

dabei kam folgendes raus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.15.0 2007.08.14 -
AntiVir 7.4.1.62 2007.08.15 -
Authentium 4.93.8 2007.08.15 -
Avast 4.7.1029.0 2007.08.13 -
AVG 7.5.0.476 2007.08.14 -
BitDefender 7.2 2007.08.15 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.15 -
DrWeb 4.33 2007.08.15 -
eSafe 7.0.15.0 2007.08.10 -
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.15 -
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 -
F-Secure 6.70.13030.0 2007.08.15 -
Ikarus T3.1.1.12 2007.08.15 -
Kaspersky 4.0.2.24 2007.08.15 -
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 -
NOD32v2 2463 2007.08.15 -
Norman 5.80.02 2007.08.15 -
Panda 9.0.0.4 2007.08.14 -
Prevx1 V2 2007.08.15 -
Rising 19.36.22.00 2007.08.15 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 -
Symantec 10 2007.08.15 -
TheHacker 6.1.8.168 2007.08.14 -
VBA32 3.12.2.2 2007.08.14 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.15 -
weitere Informationen
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

was heißt das nun kann damit nix anfangen oder wars die falsche Datei?

mfG an!:kloppen:

absolutenoob 15.08.2007 17:15
Was will mir das Ergebniss sagen?:heulen:

mfG an!:kloppen:

BataAlexander 15.08.2007 17:25
Ich denke die Datei wird noch nicht erkannt.
Gehe folgendermaßen vor.

Packe die Datei in ein Archiv, schütze das Archiv dann mit einem Passwort das Du selbst auswählst. Das Archiv dann an [mailto="newvirus@kaspersky.com"]newvirus@kaspersky.com[/URL] seden, das Passwort reinpacken, einen Verweis auf diesen Thread und als Betreff "new virus".
Je nach Auslastung dauert die Antwort etwas.

Bata

Rene-gad 15.08.2007 17:57
Zitat:
Zitat von absolutenoob (Beitrag 287459)
was heißt das nun kann damit nix anfangen oder wars die falsche Datei?
Das kann man nicht beurteilen, da du der Name der geprüften Datei unterschlagen hast.
Mal hier nachschauen: http://www.trojaner-board.de/34488-s...chost-icq.html wobei nur der Dateiname allein noch keine Beschlüsse machen lässt.

absolutenoob 15.08.2007 18:14
Danke für die Tipps, werde es dann mal versuchen hab leider keine Zeit atm!
Wie siehts eigentlich aus wenn ich XP repariere mit der installations_CD könnte das helfen?:confused:

mfG an!:kloppen:

joeyblack 15.08.2007 18:53
...reparieren wird da leider imho nicht ausreichen. Den Link, den Rene-gad geschickt hat sagt alles (inkl. der Tips von Yopie !), wobei sein Hinweis auf den Namen allein natürlich noch nicht meine gleich folgende ultima ratio rechtfertigt (Scanergebnis wäre schon von Vorteil)... ohne dies ist aber meine Empfehlung:

NEU AUFSETZEN - insbesondere bei Verdacht auf Rootkit - ist die wirklich einzige Lösung ! Lieber ein Ende mit Schrecken... (Gebe diesen Tip quasi als Ex-Betroffener).

Lies nach dem Aufsetzen auch mal die Hinweise von Cidre und auf der u.g. homepage...hilft gewaltig beim Verständnis und beim zukünftigen Sicherheits- und Surfverhalten.

LG

Joey :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131