Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Werde ich ausspioniert? (https://www.trojaner-board.de/71185-ausspioniert.html)

KTS 18.03.2009 22:40
Werde ich ausspioniert?
 
Guten Abend zusammen,

ich habe folgendes Problem:

Ich produziere Musik und kann meine Songs aber vor jedem eigentlichen Release im Internet finden obwohl ich die Dateien keinem geschickt habe. Nun habe ich natürlich den verdacht das ich evtl. einen Trojaner oder ähnliches habe!

Ich hoffe ihr könnt mir helfen, da ich meine Arbeit auch nicht jedes mal umsonst machen möchte! :heulen:


MfG KTS :(

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:02, on 18.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\dvbdream\dvbdream.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.128.183.138:6588
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS6\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS8\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS11\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS13\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS15\Services\Tcpip\..\{0B775AAA-29D4-4A19-916E-A217F4E72A9C}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8731 bytes

DaBorschdi 20.03.2009 20:17
Also bei der Auswertung stach mir die Datei "UI0Detect.exe" ins Auge, da diese gern als Tarnung für Viren genommen wird speziell wenn diese Datei wie bei dir im System32 zu finden ist, ich rate dir diese zu überprüfen.

Ansonsten viel mir so direkt nichts auf.

Für Fragen stehe ich dir gern bereit, schick einfach ne kleine PN.

Greetz DaBorschdi

KTS 21.03.2009 18:45
Hey, danke erstmal für den Check! Habs bei Virustotal hochgeladen...Test war negativ.

Fällt evtl. wem anders noch was auf?

Danke!

MfG :)

Hurrican 21.03.2009 19:36
Ich nehme mich deines Problemes erstmal nicht an da ich heute nur noch wenig zeit habe. Das dir andere helfen können mach folgendes:

Lade folgendes bei virustotal hoch. Poste anschliesend das komplette ergebniss mit allen ziffern und zeichen in code tags.


Code:
C:\Windows\SysWOW64\conime.exe
Beende vorher mit de Taskmanager die conime.exe.
Poste auserdem ein Malwarebytes log.

Surfst du beabsichtigt mit einem Proxyserver?
Code:
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.128.183.138:6588
Proxys sind nützlich, aber bedenke das er inhaber theortisch einen Internetverkehr auslesen kann.
Du hast Kapersky is 2008? Dann mach einen Komplettscann und poste das log. Alles in codetags.

Liege ich richtig das du als internet anbieter Acor hast?

Du sagst sie sind vorher im Netz? Wo den z. B.?

KTS 22.03.2009 11:33
Hier ist zuerst einmal das Virustotal-Ergebnis:

Code:
Datei conime.exe empfangen 2009.03.22 11:29:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

weitere Informationen
File size: 69120 bytes
MD5...: f96ebc5a624349d81dcc7600a3c5dc43
SHA1..: 97b4c1c6e8cd9707b2b67ed012e53581692b7514
SHA256: 7812184afc24f7a245d3d140eb0c1a4a23e73b34bc0a8c1556715368086f0376
SHA512: 933f3eddd29b1537ecdc9f4bfa087db535aebdf27571b6dd4e4d4d7a908cc715
346dcb8ef21831c97dc27355d2b63c1917d59f364976356abd7c69915e6d09fb
ssdeep: 1536:extaxyH2MPen708vhuSyKjEs5/Z/rZ0ZW5lKRgidu5Lk0:smyH2MPK7BhuS
y2pFidD
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xec7d
timedatestamp.....: 0x47918c4d (Sat Jan 19 05:36:13 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf248 0xf400 6.57 89e2f77ae606d88dc541e9dd54d63570
.data 0x11000 0x56c 0x200 3.38 cc385fc56e8a4be70599de6e5dc91772
.rsrc 0x12000 0x8d8 0xa00 2.88 1d705b5a55918e5b78da8384ab01661b
.reloc 0x13000 0x9ce 0xa00 5.81 523278da76752c3fa3ba850fe4fed74c

( 10 imports )
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
> KERNEL32.dll: lstrlenA, MultiByteToWideChar, VirtualQuery, RegisterConsoleIME, InterlockedExchange, Sleep, GetSystemInfo, VirtualAlloc, VirtualProtect, GetVersionExW, InterlockedDecrement, InterlockedIncrement, lstrlenW, WideCharToMultiByte, GetCommandLineW, RegisterApplicationRestart, HeapSetInformation, SetEvent, CreateThread, GetCurrentThreadId, OpenEventW, WaitForSingleObject, CloseHandle, GetACP, LocalAlloc, LocalReAlloc, LocalFree, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, UnregisterConsoleIME
> GDI32.dll: GetStockObject, TranslateCharsetInfo
> USER32.dll: IsWindowEnabled, EnableWindow, UnregisterClassW, CreateWindowExW, RegisterClassW, LoadCursorW, SetForegroundWindow, RegisterWindowMessageW, DispatchMessageW, TranslateMessage, GetMessageW, GetKeyState, GetKeyboardLayoutNameW, PostQuitMessage, DefWindowProcW, GetGUIThreadInfo, IsWindow, DestroyWindow, SetTimer, LoadIconW, PostMessageW, SendMessageTimeoutW, KillTimer, AttachThreadInput, ActivateKeyboardLayout
> msvcrt.dll: _vsnwprintf, memset, malloc, free, _amsg_exit, memcpy, _local_unwind4, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, _acmdln, _initterm, _controlfp, _terminate@@YAXXZ, _onexit, _lock, __dllonexit, _unlock, _except_handler4_common, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, memmove, exit
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -
> UxTheme.dll: SetThemeAppProperties
> IMM32.dll: ImmCreateContext, ImmReleaseContext, ImmGetContext, ImmGetGuideLineW, ImmGetConversionStatus, ImmGetOpenStatus, ImmSetConversionStatus, ImmGetProperty, ImmAssociateContext, ImmSimulateHotKey, ImmTranslateMessage, ImmCallImeConsoleIME, ImmGetIMEFileNameW, ImmEscapeW, ImmNotifyIME, ImmGetCandidateListW, ImmGetCompositionStringW, ImmGetHotKey, ImmSetActiveContextConsoleIME, ImmDestroyContext, ImmSetOpenStatus
> MSCTF.dll: TF_IsCtfmonRunning, TF_WaitForInitialized, TF_Notify

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=f96ebc5a624349d81dcc7600a3c5dc43' target='_blank'>http://www.threatexpert.com/report.aspx?md5=f96ebc5a624349d81dcc7600a3c5dc43</a>
Mwb-Log:

Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1866
Windows 6.0.6001 Service Pack 1

22.03.2009 12:01:31
mbam-log-2009-03-22 (12-01-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 196120
Laufzeit: 25 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Weiteres folgt.....


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131