Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Datentransfer wird möglicherweise umgeleitet (https://www.trojaner-board.de/99936-datentransfer-moeglicherweise-umgeleitet.html)

zaboo 04.06.2011 11:57
Datentransfer wird möglicherweise umgeleitet
 
Da ein tracert ein sehr komisches erstes Ziel ergab(siehe Anhang) und der PC anscheinend seit längerer Zeit sehr träge ist, wollte ich das hier einmal checken lassen.
Im Anhang befinden sich die Log-Files.

PS: Die zweite IP ändert sich im Prinzip bei jedem neuen tracert, meistens sind es IP's aus dem asiatischen Bereich.

cosinus 05.06.2011 15:52
Zitat:
Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 6.0.2900.2180
Wieso nur SP2 und IE6? Das ist doch schon lange überholt und unsicher.

Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

zaboo 05.06.2011 16:31
Code:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6774

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.06.2011 17:27:06
mbam-log-2011-06-05 (17-27-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 226364
Laufzeit: 30 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Admin\Desktop\PGLAB\MC15de\ptc.mathcad.v15.0.0.436-ismail.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
d:\system volume information\_restore{cb7880e2-7c71-4f2b-b98d-e6b96cecb8ee}\RP10\A0000548.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
Wie man in diesem und in den anderen LOG-Files erkennen kann, ist der IE8 und SP3 installiert.

cosinus 05.06.2011 16:41
Zitat:
Wie man in diesem und in den anderen LOG-Files erkennen kann, ist der IE8 und SP3 installiert.
Hm, hab ich mich im Log geirrt? Wie auch immer :dummguck:

Zitat:
c:\dokumente und einstellungen\Admin\Desktop\PGLAB\MC15de\ptc.mathcad.v15.0.0.436-ismail.exe (PUP.Hacktool.Patcher)
Was soll das denn sein?

zaboo 05.06.2011 16:47
Soweit ich weiß dient das zur Erstellung der Lizenz für Mathcad, dies wurde in der Schule verteilt, sollte daher eigentlich nichts bösartiges sein.

cosinus 05.06.2011 17:46
Sry aber das ist ein Crack! :pfui:
Googlesuchen nach diesem Dateinamen führen nur auf illegale oder auf Hosterseiten, das kann weder legal noch wirklich ein offizielles Lizenzierungstool sein.

Wer verteilt sowas in deiner Schule? Lehrer bestimmt nicht...

zaboo 05.06.2011 17:52
Naja eigentlich sogar Professoren, die es verteilt haben. Trotzdem ist das Problem, auch nach dem entfernen der Datei, weiterhin vorhanden.

cosinus 05.06.2011 18:26
Bei Cracks geben wir aber keinen Support mehr, denn:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

zaboo 05.06.2011 18:33
Eine Neuinstallation wurde bereits durchgeführt. Darum ist es auch sehr komisch, dass dieser crack/keygen noch vorhanden war, da seit der Neuinstallation dieses Programm nicht verwendet wurde.

cosinus 05.06.2011 18:34
Dann hast du C: nicht formatiert oder das teil wieder draufkopiert

zaboo 05.06.2011 18:37
C: wurde formatiert, D:hingegen nicht.

cosinus 05.06.2011 18:44
Und wie kann der Crack noch auf C: liegen? :rolleyes:

zaboo 05.06.2011 18:48
Wenn ich das wüsste, würde ich wohl nicht hier Fragen was mein Problem ist.

cosinus 05.06.2011 19:30
Zitat:
Wenn ich das wüsste, würde ich wohl nicht hier Fragen was mein Problem ist.
:rofl:

Du hast also C: blank gemacht und wie von Zauberhanf landet der Crack wieder auf den Desktop des Users Admin? :D

zaboo 05.06.2011 19:40
Hab jetzt D: nochmal inspiziert und dort war eine Sicherung von der Mathcad-Installation. Da dieser Ordner vor der Neuinstallation auf dem Desktop war und ich mir alle Ordner des Desktops auf D: gespeichert habe, sodass ich später wieder alle Dateien für die Schule besitzte, erklärt es wohl das Problem.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:12 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131