Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   vielleicht paranoid ?? (https://www.trojaner-board.de/45046-vielleicht-paranoid.html)

ICH,nicht DU 24.10.2007 19:02
vielleicht paranoid ??
 
Hallo Liebe Leutz
Auf der suche nach einem Ersatz für die jüngst geschlossene Linksammel-Seite
tv-links.co.uk hat mich ein "Nochkumpel" auf eine Seite verwiesen.
Dort muste ich mir allerdings den sogenannten "Divx web player" als plugin installieren. Laut meinem Kumpel, musste er das auch und sein System läuft ohne Viehzeuchs (monatelang, -->sagte er<--).
Nu hatt "irgendwas" grade Firefox abgeschossen und ich fragte mich ob das das plugin war. Wollte also nochmal Bitdefender fix updaten und dann den Ordner "DIVX" scannen.
Ging nicht:
Beim update hatte ich gleich mehrmals nacheinander nen MD5-Checksummenfehler .<--*fürsuspekthalt*
Also ins Adminkonto gewechselt, BD geupdatet (np) und "DIVX" getestet.
Ergebnis: nix<--*jetzterstrechtfürsuspekthalt*
Rootkitunhooker angeworfen
Ergebnis: statt der üblichen BD-Hooks und des EINEM Inline-calls (vermutlich RkU's eigener) hab ich jetzt 12 Inline-calls und -jumps.
Außerdem sind jetzt ettliche Ports geöffnet von denen nur bei den üblichen "Firefox-ports" die "Besitzerinformationen" zu bekommen waren.
Und beides ist so nie aufgetreten.

Hab also mal HJT drüberlaufen lassen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:24, on 24.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ereignisanzeige/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161783625650
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFE11CA-3ADC-4D17-ADEB-6012873A331C}: NameServer = 10.10.0.1,192.168.123.1
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MySql - Unknown owner - C:\Programme\TYPO3_4.0.2\MySQL\bin\mysqld (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 5006 bytes


Ich hoffe ihr findet was oder erklärt mich für paranoid.
nen kompletten Vscan mache ich heute nacht auf jeden fall.

mfg

btw:
kennt vllt wer ne Seite, auf der erklärt wird, wie man anhand der unknown_code_page-Hooks von RootkitUnhooker herausfindet zu welcher Datei/prozess/thread...usw gesprungen wird.

und

Kennt wer nen tool(möglichst mit GUI) in dem man die IP-Verbindungen nen bissle besser und vorallem vollständiger aufgefrimelt bekommt als mit netstat.

ICH,nicht DU 25.10.2007 16:15
schade ich hatte gehofft, dass jemand ne lösung hat

ich hab gestern spasseshalber noch mal nen komplettscan nach versteckten dateien per RkU gemacht, und der hat auch nach langer suche ws gefunden.

neben einigen versteckten dateinen in c:\windows\temp auch noch eine merkwürdige bin in c:\windows\softwaredistribution\eventcache.

weiss evtl jemand was mit der anzufangen?

schon mal thx im vorraus


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19