Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte logfile ansehen (https://www.trojaner-board.de/75159-bitte-logfile-ansehen.html)

kerstin22 12.07.2009 18:03
Bitte logfile ansehen
 
kann sich die jemand mal genauer anschauen? der eintrag 17 kommt mir komisch vor 192.168.1.1 ist mein router und mein rechner hat die 25 am ende aber die gezeigte ip wurde von mir nirgends vergeben noch angegeben was ist das?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:48, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy4\Entertainment Center\RcMan.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Adblock Pro - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - C:\Programme\Adblock Pro\AdblockPro.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKCU\..\Run: [RemoteCenter] "C:\Programme\Creative\SBAudigy4\Entertainment Center\RcMan.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1844237615-746137067-839522115-1003\..\Run: [RemoteCenter] "C:\Programme\Creative\SBAudigy4\Entertainment Center\RcMan.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Programme\Adblock Pro\AdblockPro.dll
O9 - Extra 'Tools' menuitem: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Programme\Adblock Pro\AdblockPro.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{08E66A70-EEC9-4B4A-8C1E-C90CE6E291DC}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D32B3D9F-38FF-4308-8D74-A1835FDF7E5D}: NameServer = 192.168.182.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O17 - HKLM\System\CS3\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O17 - HKLM\System\CS4\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O17 - HKLM\System\CS5\Services\Tcpip\..\{00B1395B-CE0B-434B-A6E6-300B66A3828F}: NameServer = 192.168.182.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\skype4com.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe

Larusso 12.07.2009 19:08
:hallo:

Die IP geht schon in Ordnung :)

Macht der Rechner Probleme?

kerstin22 12.07.2009 19:10
nein macht keine probleme,a ber was heisst die ip geht schon in ordnung?

Larusso 12.07.2009 19:15
Ja
Aber hier kannst Du dich noch etwas genauer damit befassen bevor es Dir keine Ruhe lässt :)

Zitat:
Private Netze

In privaten, lokalen Netzen (LAN) können selbst IP-Adressen vergeben werden. Dafür sollten für IPv4 Adressen aus den in RFC 1918 genannten privaten Netzen verwendet werden (zum Beispiel 192.168.1.1, 192.168.1.2, …). Diese Adressen werden von der IANA nicht weiter vergeben und im Internet nicht geroutet. Um trotzdem eine Internet-Verbindung zu ermöglichen, werden in einem Router mittels Network Address Translation die LAN-internen Adressen in öffentliche, im Internet gültige IPv4-Adressen übersetzt. An die öffentliche Adresse ankommende Pakete werden wiederum in die privaten Adressen zurückübersetzt.
Quelle= Wiki

:daumenhoc

kerstin22 12.07.2009 19:21
danke, soweit auch klar ich kann ja mit den rechnern wenn ich denen selbst ip´s vergebe auch kommunizieren 192.168.1.xxx allerdings könnte ich nicht mit der ip kommunizieren 192.168.182.11 eben weil dort 182.11. steht und nicht 1.x am ende daher wunderts mich, wie das dort rein kommt wie kann ich das ändern? andere rechner die am router hängen bei mir zeigen eben diesen eintrag nicht an sondern nur die 192.168.1.1. die eben der router ist.

Larusso 13.07.2009 15:56
Hallo

Router bzw. Netzwerkverbindungen sind eigentlich nicht mein Ding, aber ich gehe davon aus das der User seinen Router (wahrscheinlich FitzBox) als DNS-Server eingestellt hat!

Das würde zumindest die IP 192.168.182.11 erklären.
d.h. der Router hat im Netzwerk die IP 192.168.1.1, dieser widerum im LAN, also als DNS Server, die 192.168.182.11. Somit kommuniziert, formatiert der Router seine Daten mit dem Internet bzw. deren Server...

Verständlich?

kerstin22 13.07.2009 16:56
soweit super erklärt danke :) das würde auch erklären warum bei meinen anderen rechnern die ein os besitzen welches noch nicht solange auf den systemen ist wie auf meinem hauptrechner, dieser eintrag bei nem hijackThis scan nicht auftauchen denn an meinem rechner war tatsächlich mal eine fritzbox das ist allerdings schon 2 jahre her daher sicherlich noch der eintrag weil das system solange stabiel läuft mittlerweile habe ich aber einen draytek router kann man diese einträge die dann somit unnütze sind .. wenn sie von der fritz box her rühren.. entfernen? wenn ja wie und wo mache ich das?

Larusso 13.07.2009 19:03
Wie erwähnt ist das nicht so ganz mein Ding, aber man lernt dazu ;)

Du kannst diese O17 Einträge mit HJT testweise einmal fixen

starte HJT >> do a scan only >>
setze einen Hacken bei den O17 Einträgen was Dich stören
Starte den Rechner neu auf
bitte fixe niemals ohne Anweisung

sollte es dadurch Probleme geben

starte HJT >> view list of Backups >> Hacken bei den gefixten Einträgen machen >> restore

Starte den Rechner neu auf
dann ist wieder alles beim alten :daumenhoc

MightyMarc 14.07.2009 10:16
Zitat:
Zitat von kerstin22 (Beitrag 447411)
kann man diese einträge die dann somit unnütze sind .. wenn sie von der fritz box her rühren.. entfernen? wenn ja wie und wo mache ich das?
Ja kann man. Was ist denn Dein Ziel? Automatische Adressvergabe per DHCP oder manuell eingetragene Daten?

Grundsätzlich kannst Du einfach im Konfigurationsdialog Deiner Netzwerkverbindung unter DNS-Server den ungültigen Eintrag löschen und die IP Deines Routers eintragen. Standard bei SoHo-Routern ist, dass DHCP-, DNS-Server und Gateway auf ein und dieselbe IP sind.
Vorteil bei manueller Adressvergabe ist, dass genau das konfiguriert ist, was Du vorgibst. Zudem ist das Portforwarding häufig einfacher, weil klar ist, welche IP der Client hat. Bei Adressvergabe per DHCP ist man doch etwas beweglicher, ohne static dhcp ist aber mMn nichts sinnvolles damit anzufangen.

Marc


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131