|
bin ich infiziert oder nicht? Hallo leute, vllt könnt ihr mal helfen.hab mal kurz cmd bei ausführen eingeben und dann netstat-a und fand das heraus: myhost.servegame.org:http SYN_GESENDET was is das? hier die logfiles ;) wäre nett wenn ihr mir helfen würdet, thx Logfile of HijackThis v1.99.1 Scan saved at 02:14:17, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\nvsvc32.exe D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\No-IP\DUC20.exe C:\Programme\QIP\qip.exe C:\WINDOWS\system32\cmd.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\PaRuFkA\LOKALE~1\Temp\Rar$EX00.484\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{2F2A010D-A5D8-425E-9475-080DC74F5C37}: NameServer = 212.19.48.14 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe mfg Mr.Devil |
Hi, ausser dem hier (PunkBuster): D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe (http://www.foren.f7c-network.com/showthread.php?t=44240) nichts auffälliges... GGf. hier online untersuchen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html chris |
Datei PnkBstrA.exe empfangen 2007.10.23 15:44:48 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 6. Geschätzte Startzeit is zwischen 61 und 87 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.23.0 2007.10.23 - AntiVir 7.6.0.27 2007.10.23 - Authentium 4.93.8 2007.10.22 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.22 - BitDefender 7.2 2007.10.23 - CAT-QuickHeal 9.00 2007.10.23 - ClamAV 0.91.2 2007.10.23 - DrWeb 4.44.0.09170 2007.10.23 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5233 2007.10.23 - Ewido 4.0 2007.10.23 - FileAdvisor 1 2007.10.23 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.22 - F-Secure 6.70.13030.0 2007.10.23 - Ikarus T3.1.1.12 2007.10.23 - Kaspersky 7.0.0.125 2007.10.23 - McAfee 5146 2007.10.22 - Microsoft 1.2908 2007.10.23 - NOD32v2 2609 2007.10.23 - Norman 5.80.02 2007.10.23 - Panda 9.0.0.4 2007.10.23 - Prevx1 V2 2007.10.23 - Rising 19.46.12.00 2007.10.23 - Sophos 4.22.0 2007.10.23 - Sunbelt 2.2.907.0 2007.10.20 - Symantec 10 2007.10.23 - TheHacker 6.2.9.105 2007.10.23 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.22 - Webwasher-Gateway 6.6.1 2007.10.23 - weitere Informationen File size: 63040 bytes MD5: c183b7e8c4dd96af66d7ace48d2d9b05 SHA1: e344488c9f1f3aec1b9878ec30820cb99c56f129 datei is clean.. hab den prozess PnkBstrA.exe beendet und syn_gesendet steht immer noch. nettes forum hier und starke leistung ;) thx |
Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\dos>ping myhost.servegame.org Ping myhost.servegame.org [63.56.233.150] mit 32 Bytes Daten: Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Ping-Statistik für 63.56.233.150: Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust) IP ist aus den USA, ISP ist verizonbusiness.com gib mal servergame.org ein, Du wirst zu DynDNS -- Dynamic DNS, E-Mail Delivery and Other Services redirected. Sieht nach Notify vom reversen Server aus, ich bin mir fast sicher, Du bist infiziert. |
Hi, wenn Heike recht hat, versuchen wir Nachzuverfolgen wer (Prozess) versucht auf myhost.servegame.org zu kommen: TCPView: TCPView for Windows v2.51 Suche die von Heike angegebene IP bzw. myhost.servegame.org, links sollte der dafür verantwortliche Prozess stehen.... Sicherheitshalber: http://www.trojaner-board.de/42731-escan-anleitung.html Poste das Log...(ohne Cookies)... Wenn da nichts gefunden wird, Rootkit suche: Rootkit Hook Analyzer-F-Secure BlackLight-RootkitRevealer-IceSword-Gmer Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen chris |
myhost.servegame.org kommt von avp.exe und avp ist doch mein kaspery antivirus oO hab zwei mal avp.exe im prozess und die lassen sich nicht schliessen. eScan Logs: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.4.9 Sprache: German Virus-Datenbank Datum: 10/22/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen. System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\server.exe infiziert von "Trojan.Win32.Agent.bcn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP17\A0004366.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\server.exe infiziert von "Trojan.Win32.Agent.bcn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP28\A0007253.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. File C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP32\A0007805.dll markiert als "not-a-virus:Monitor.Win32.Perflogger.al". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\WINDOWS\icons ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\PaRuFkA\LOKALE~1\TEMPOR~1\Content.IE5\GVCHSBY7\phone_1[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\PaRuFkA\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GVCHSBY7\phone_1[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... edit// hab die server.exe gelöscht und mein antivirus programm aber es ist noch da... siehe screenshot, kommt es von mozilla ? http://www.ximg.de/p/1860426f9856af3...b7a4ccb35b.jpg edit2// also hab mozilla deinstalliert und mozilla.exe war noch da und konnte ihn nicht löschen,im abgesicherteten modus hab ich ihn gelöscht und jetzt is die kacke weg ;) ich glaub das lag am rootkit was mein kaspersky gemeldet hat und hab das in die vertauens zone hinzugefügt :D sonst danke an auch |
Zitat:
Zitat:
xpkey.exe, aha, hört sich gut an, da kommt sowas wohl her.:teufel3: Du bist infiziert, da bin ich mir recht sicher, installier mal neu, ändere alle Passwörter und vermeide zukünftig Files wie xpkey.exe. have fun, Heike :teufel3: |
Heike hat wohl den richtigen Richer... Du bist nicht nur in der Systemwiderherstellung infiziert, sondern auch mit folgendem Freund -> Mal/Bifrose-A Demzufolge wäre eine komplette Bereinigung sinnfrei. Folge bitte diesem Link: * System neu aufsetzen mit anschließender Absicherung mfg Cleriker |
@Heike Injektion wird das nicht sein (wenn es die IS-Version ist); Die arbeitet wie ein Proxy, d.h. alle Internetabfragen werden über die Internetsecurity geroutet... Die Frage ist, gibt es ein Kasperksy-Log wo erkannt werden kann, wer da versucht die Verbindung aufzubauen... Hmm, schon mal gesucht, ob es eine zweite avp.exe auf dem System gibt...? (Könnte natürlich auch ein nettes, kleines Rootkit sein...) -> Neu aufsetzten.... Chris |
naja hab formatiert und jetzt is alles clean. wegen Mal/Bifrose-A kommt glaub ich von bifrost. und xpkey.exe hab ich nie gesehen/gesaugt/gestartet. naja hab jetzt noch Spybot - Search & Destroy drauf gemacht und läuft alles super ;) danke... und was ist überhaupt die zwei exen cd35 und cb32.exe in Programme/NetMetting -.- der wollte immer in irgendeinen prozess dringen aber immer geblockt, des war noch wo mein altes system drauf war... kann ich den ordner netmetting löschen? der stinkt... :D oder ist er wichtig? hab den nie benutzt usw... |
einen Ordner "NetMeeting" habe ich auch, er stört doch nicht. Spybot - Search & Destroy hilft nicht bei Sachen wie Bifrost. herzlichen Glückwunsch zum "neuen" PC, ich wünsche Dir, dass Du lange ohne uneingeladene Besucher bleibst. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board