es sind 6 pc's im netzwerk.ein pc hatte 2 udp und eine aktive tcp connection offen die ich gleich geblockt habe, seither wird wohl versucht auf diesen tcp port zuzugreifen.
die logs werden nach 30 seiten überschrieben deswegen kann ich das auch nicht mehr genau analysieren.
sowas habe ich jetzt im log, der port variiert leicht. HTML-Code:
Thursday January 20, 2011 06:13:44 Unrecognized attempt blocked from 60.191.234.226:9999 to *.73 TCP:20827
Thursday January 20, 2011 06:27:15 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:27:18 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:43:28 Unrecognized attempt blocked from 61.54.227.135:1924 to *.73 TCP:20826
Thursday January 20, 2011 07:04:19 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:04:22 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:13:40 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:43 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:49 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826 HTML-Code:
Thursday January 20, 2011 07:56:08 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:56:11 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:58:14 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 07:58:17 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 08:12:56 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825
Thursday January 20, 2011 08:12:59 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825 combofix machte einige probleme, ist ein paar mal abgestürtzt, danach wollte er exbr.sys und catchme.sys installieren. ich habe das blockiert, war das richtig? hier das log,
Combofix Logfile: Code:
ComboFix 11-01-19.01 - *** 20.01.2011 18:17:08.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2494 [GMT 1:00]
ausgeführt von:: f:\temp\ComboFix.exe
AV: Kaspersky Anti-Virus *Disabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-20 bis 2011-01-20 ))))))))))))))))))))))))))))))
.
2011-01-19 22:38 . 2011-01-19 22:38 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-19 22:38 . 2011-01-19 22:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-11 08:46 . 2011-01-11 08:46 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2011-01-11 08:28 . 2004-10-22 01:16 180224 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2011-01-11 08:28 . 2004-10-22 01:17 274432 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2011-01-11 08:28 . 2004-10-22 01:17 69715 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2011-01-11 08:28 . 2004-10-22 01:16 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2011-01-11 08:28 . 2004-10-22 01:18 749568 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2011-01-11 08:27 . 2011-01-11 08:27 192644 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
2011-01-11 08:27 . 2011-01-11 08:27 323716 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-20 16:47 . 2007-01-31 13:26 1409 ----a-w- c:\windows\QTFont.for
2010-10-31 20:35 . 2008-11-22 10:26 165232 ---ha-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
.
((((((((((((((((((((((((((((( SnapShot@2011-01-20_02.44.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-20 16:24 . 2011-01-20 16:24 12288 c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Web_default.master.cdcab7d2.zwwjjf81.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24 13312 c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Code.xut9q229.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24 6656 c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_global.asax.qhpnw_qa.dll
+ 2008-12-07 19:02 . 2011-01-20 15:42 6583840 c:\windows\system32\drivers\fidbox.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PhotoShow Deluxe Media Manager"="c:\progra~1\Nero\data\Xtras\mssysmgr.exe" [2005-02-26 212992]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"QuickTime Task"="g:\quicktime\qttask.exe" [2007-01-31 77824]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-29 136600]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-09-05 208616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="f:\software\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\Games\\Atari\\ACTOFWAR.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
S3 o1394bul;o1394bul;\??\c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys --> c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys [?]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;h:\visual-studio-2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09.12.2005 09:40 2799808]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-RGSC - e:\games\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-20 17:19
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1993962763-2052111302-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ba,12,cd,bd,b5,f6,85,0f,8c,5e,f2,da,72,51,0c,e9,6f,2a,09,e2,25,
54,cb,c6,e6,aa,40,35,58,87,57,c1,30,88,a6,3d,a7,c4,61,df,19,c0,f9,91,74,52,\
"rkeysecu"=hex:21,99,a7,cd,5a,e1,35,33,39,55,e8,2f,45,6f,1f,35
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3748)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-01-20 18:26:50
ComboFix-quarantined-files.txt 2011-01-20 17:20
Vor Suchlauf: 13 Verzeichnis(se), 36'840'329'216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 36'818'874'368 Bytes frei
- - End Of File - - 020A38C6968505348B965185AD23A323[/HTML] --- --- --- HTML-Code:
2011-01-20 19:22:29 . 2011-01-20 19:22:29 1,198 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-NVIDIA Display Control Panel.reg.dat
2011-01-20 19:22:18 . 2011-01-20 19:22:18 660 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-RGSC.reg.dat
2011-01-20 19:22:08 . 2011-01-20 19:22:08 113 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-nwiz.reg.dat
2011-01-20 19:16:06 . 2011-01-20 17:18:37 6,399 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-20 19:12:09 . 2011-01-20 17:16:34 153 ----a-w- C:\Qoobox\Quarantine\catchme.log |