Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bin ich infiziert oder nicht? (https://www.trojaner-board.de/44979-infiziert.html)

Mr.Devil 23.10.2007 01:14

bin ich infiziert oder nicht?
 
Hallo leute,

vllt könnt ihr mal helfen.hab mal kurz cmd bei ausführen eingeben und dann netstat-a und fand das heraus:
myhost.servegame.org:http SYN_GESENDET
was is das?

hier die logfiles ;) wäre nett wenn ihr mir helfen würdet, thx

Logfile of HijackThis v1.99.1
Scan saved at 02:14:17, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PaRuFkA\LOKALE~1\Temp\Rar$EX00.484\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F2A010D-A5D8-425E-9475-080DC74F5C37}: NameServer = 212.19.48.14
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe



mfg Mr.Devil

Chris4You 23.10.2007 07:41

Hi,

ausser dem hier (PunkBuster):
D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
(http://www.foren.f7c-network.com/showthread.php?t=44240)
nichts auffälliges...

GGf. hier online untersuchen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

chris

Mr.Devil 23.10.2007 14:59

Datei PnkBstrA.exe empfangen 2007.10.23 15:44:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.23.0 2007.10.23 -
AntiVir 7.6.0.27 2007.10.23 -
Authentium 4.93.8 2007.10.22 -
Avast 4.7.1051.0 2007.10.22 -
AVG 7.5.0.488 2007.10.22 -
BitDefender 7.2 2007.10.23 -
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.23 -
DrWeb 4.44.0.09170 2007.10.23 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5233 2007.10.23 -
Ewido 4.0 2007.10.23 -
FileAdvisor 1 2007.10.23 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.22 -
F-Secure 6.70.13030.0 2007.10.23 -
Ikarus T3.1.1.12 2007.10.23 -
Kaspersky 7.0.0.125 2007.10.23 -
McAfee 5146 2007.10.22 -
Microsoft 1.2908 2007.10.23 -
NOD32v2 2609 2007.10.23 -
Norman 5.80.02 2007.10.23 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.23 -
Rising 19.46.12.00 2007.10.23 -
Sophos 4.22.0 2007.10.23 -
Sunbelt 2.2.907.0 2007.10.20 -
Symantec 10 2007.10.23 -
TheHacker 6.2.9.105 2007.10.23 -
VBA32 3.12.2.4 2007.10.22 -
VirusBuster 4.3.26:9 2007.10.22 -
Webwasher-Gateway 6.6.1 2007.10.23 -
weitere Informationen
File size: 63040 bytes
MD5: c183b7e8c4dd96af66d7ace48d2d9b05
SHA1: e344488c9f1f3aec1b9878ec30820cb99c56f129


datei is clean.. hab den prozess PnkBstrA.exe beendet und syn_gesendet steht immer noch. nettes forum hier und starke leistung ;) thx

Heike 23.10.2007 15:16

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\dos>ping myhost.servegame.org
Ping myhost.servegame.org [63.56.233.150] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping-Statistik für 63.56.233.150:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust)

IP ist aus den USA, ISP ist verizonbusiness.com

gib mal servergame.org ein, Du wirst zu DynDNS -- Dynamic DNS, E-Mail Delivery and Other Services redirected.

Sieht nach Notify vom reversen Server aus, ich bin mir fast sicher, Du bist infiziert.

Chris4You 23.10.2007 16:22

Hi,

wenn Heike recht hat, versuchen wir Nachzuverfolgen wer (Prozess) versucht auf myhost.servegame.org zu kommen:

TCPView: TCPView for Windows v2.51

Suche die von Heike angegebene IP bzw. myhost.servegame.org, links sollte der dafür verantwortliche Prozess stehen....

Sicherheitshalber:
http://www.trojaner-board.de/42731-escan-anleitung.html
Poste das Log...(ohne Cookies)...

Wenn da nichts gefunden wird, Rootkit suche:
Rootkit Hook Analyzer-F-Secure BlackLight-RootkitRevealer-IceSword-Gmer
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris

Mr.Devil 23.10.2007 18:48

myhost.servegame.org kommt von avp.exe
und avp ist doch mein kaspery antivirus oO

hab zwei mal avp.exe im prozess und die lassen sich nicht schliessen.



eScan Logs:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\server.exe infiziert von "Trojan.Win32.Agent.bcn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP17\A0004366.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\server.exe infiziert von "Trojan.Win32.Agent.bcn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP28\A0007253.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E7051271-9F1A-4DB3-BA84-C0A6385A573A}\RP32\A0007805.dll markiert als "not-a-virus:Monitor.Win32.Perflogger.al". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\PaRuFkA\LOKALE~1\TEMPOR~1\Content.IE5\GVCHSBY7\phone_1[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\PaRuFkA\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GVCHSBY7\phone_1[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt...



edit//
hab die server.exe gelöscht und mein antivirus programm aber es ist noch da...
siehe screenshot, kommt es von mozilla ?
http://www.ximg.de/p/1860426f9856af3...b7a4ccb35b.jpg



edit2//
also hab mozilla deinstalliert und mozilla.exe war noch da und konnte ihn nicht löschen,im abgesicherteten modus hab ich ihn gelöscht und jetzt is die kacke weg ;)

ich glaub das lag am rootkit was mein kaspersky gemeldet hat und hab das in die vertauens zone hinzugefügt :D sonst danke an auch

Heike 23.10.2007 19:50

Zitat:

myhost.servegame.org kommt von avp.exe
und avp ist doch mein kaspery antivirus oO

hab zwei mal avp.exe im prozess und die lassen sich nicht schliessen.

ja, einen Server in ein AV-Tool injektieren lassen geht oftmals gut, ist bei KAV auch möglich? werde ich bei Gelegenheit mal testen :rolleyes:

Zitat:

"not-a-virus:Monitor.Win32.Perflogger.al"
Perfect Keylogger hattest also auch auf dem PC. :rolleyes:

xpkey.exe, aha, hört sich gut an, da kommt sowas wohl her.:teufel3:

Du bist infiziert, da bin ich mir recht sicher, installier mal neu, ändere alle Passwörter und vermeide zukünftig Files wie xpkey.exe.

have fun,
Heike :teufel3:

Cleriker 24.10.2007 08:30

Heike hat wohl den richtigen Richer...

Du bist nicht nur in der Systemwiderherstellung infiziert,
sondern auch mit folgendem Freund
-> Mal/Bifrose-A
Demzufolge wäre eine komplette Bereinigung sinnfrei. Folge bitte diesem Link:
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker

Chris4You 24.10.2007 12:45

@Heike

Injektion wird das nicht sein (wenn es die IS-Version ist);
Die arbeitet wie ein Proxy, d.h. alle Internetabfragen werden über die Internetsecurity geroutet... Die Frage ist, gibt es ein Kasperksy-Log wo erkannt werden kann, wer da versucht die Verbindung aufzubauen...

Hmm, schon mal gesucht, ob es eine zweite avp.exe auf dem System gibt...?
(Könnte natürlich auch ein nettes, kleines Rootkit sein...)
-> Neu aufsetzten....


Chris

Mr.Devil 25.10.2007 03:01

naja hab formatiert und jetzt is alles clean.
wegen Mal/Bifrose-A kommt glaub ich von bifrost. und xpkey.exe hab ich nie gesehen/gesaugt/gestartet. naja hab jetzt noch Spybot - Search & Destroy drauf gemacht und läuft alles super ;) danke...

und was ist überhaupt die zwei exen cd35 und cb32.exe in Programme/NetMetting -.-
der wollte immer in irgendeinen prozess dringen aber immer geblockt, des war noch wo mein altes system drauf war...

kann ich den ordner netmetting löschen? der stinkt... :D
oder ist er wichtig? hab den nie benutzt usw...

Heike 25.10.2007 07:29

einen Ordner "NetMeeting" habe ich auch, er stört doch nicht. Spybot - Search & Destroy hilft nicht bei Sachen wie Bifrost.

herzlichen Glückwunsch zum "neuen" PC, ich wünsche Dir, dass Du lange ohne uneingeladene Besucher bleibst. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19