Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost spielt verrückt (https://www.trojaner-board.de/13827-svchost-spielt-verrueckt.html)

badphoenix 14.02.2005 21:08

svchost spielt verrückt
 
Hallo , ich hab seit 4 Tagen ein spezial Problem , meine Firewall (Outpost 1.x Free) meldet ca. alle 5 - 10 min. einen Verbindungsversuch von svchost auf die Wahnwitzigsten Adressen z.b. a.relaunch.focus.de,ak.tfag.de,cdn.valueclick.com um die drei häufigsten zu nennen.

Meine bisherige Vorgangsweiße Antivirus Kaspersky findet nichts.
Ad-Aware und Spybot finden nichts.
Hijackthis logfile ist auch in Ordnung.
Googeln -> Erfolglos
Windows ist up2date ich bin mittlerweile echt ratlos weil ich mir Sorgen mache
einen Trojaner oder ähnlich eingfangen zu haben.

Bitte um Eure Hilfe !
DANKE

Gigamail 14.02.2005 22:34

Hi,
erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

badphoenix 15.02.2005 19:19

Logfile of HijackThis v1.99.0
Scan saved at 19:16:19, on 15.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\bcmwltry.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\TVgenial\TVgenial.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\test\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft

Internet Explorer bereitgestellt von Mir :)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

/waitservice
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame

Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky

Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft

ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: GetRight - Tray Icon.lnk =

D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search -

res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight -

D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite -

res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser -

D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten -

res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -

res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} -

C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten -

{A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe

(HKCU)
O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} -

C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -

http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -

http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) -

http://messenger.zone.msn.com/binary...t.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:

NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky

Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum -

C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. -

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Chris14 15.02.2005 19:22

*correcture* ich habe aufgrund dieses durcheinanderen postings nicht den Troj/Delf-BZ gesehen.
er hat backdoor funktionalität.
dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

badphoenix 15.02.2005 19:44

was weißt denn auf diesen trojaner hin ?

Chris14 15.02.2005 19:59

na an O4 - Global Startup: GetRight - Tray Icon.lnk =

badphoenix 15.02.2005 20:00

getright ist ein downloadmanager der bei mir im tray liegt, oder tarnt sich das ding ? wie kann man sich das einfangen ?

Yopie 15.02.2005 20:02

Zitat:

Zitat von Chris14
na an O4 - Global Startup: GetRight - Tray Icon.lnk =

:balla:

Wo hast Du denn gelesen, dass das ein Starteintrag für Trojaner ist?

Gruß :daumenhoc
Yopie

Haui45 15.02.2005 20:04

@Chris14
bitte vertraue nicht auf die automatische Auswertung, v.a. nicht, wenn es um die Erkennung von spezifischer Malware geht...
Im Zweifelsfall eScan o.ä. zu Rate ziehen.

mfg Haui

Chris14 15.02.2005 20:05

moment mal...
kann es sein das ich mich irre? argh...
ich habe mich geirrt. das kann ja garnet sein...
sorry für meine 2. fehlanalyse..

dann nehme ich das ganze zurück mit dem backdoor^^
lag daran, dass du das log so komisch gepostet hast und ich wiedermals auf autom.log vertraut hab (das ding erkennt solche krummen logs natürlich nicht, und hält alles dann für verschiedene trojaner.. nargh, noch ein grund, darauf nicht zu vertrauen)

aber ok..
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diesen eintrag:
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:


3.dateien löschen
-lösche natürlich alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

@haui45 & yopie thx für die korrektur. bisher habe ich mich teils eben auf den autom.log verlassen und dann nachgeprüft, ob es der wahrheit entspricht.diesmal habe ich den 2.part übergangen. nya noch ein grund, nicht mehr darauf zu vertrauen.

Yopie 15.02.2005 20:10

Zitat:

Zitat von Chris14
.. und ich wiedermals auf autom.log vertraut hab

Vertrauen sollte man darauf nie, es kann höchstens Anhaltspunkte bieten. Ich hab den Eindruck, dass es leider mit zunehmender Datenbasis zu immer schlechteren Ergebnissen kommt.

Gruß :daumenhoc
Yopie

badphoenix 15.02.2005 20:36

bist dir sicher das es gut ist 017 zu fixen,dann hab ich doch keinen dns mehr oder ?? schön langsam bin ich ein wenig verzweifelt :( escan läuft aber mals,aber findet nix.zwischenzeitlich hat meine firewall kurz gestreikt und prompt hatte ich die datei bla.exe auf c:\ ich google grade, aber ich denk das hilft mir vl. weiter ?

Haui45 15.02.2005 20:58

Nein, den O17-Eintrag solltest du nicht fixen :)
Das Log schaut sauber aus, jedoch wäre es schön, wenn du mal eines ohne die ganze Absätze posten könntest, dann schau ich's mir nochmal an.

Zitat:

....Firewall kurz gestreikt und prompt hatte ich die datei bla.exe auf c:\
Überprüfe die Datei mal mit deinem AV oder bei http://virusscan.jotti.dhs.org

badphoenix 15.02.2005 21:10

hier nochmal mein logfile, keine ahnung was da vorhin schief gangen ist.
also kaspersky sagt das mein pc sauber ist.

Logfile of HijackThis v1.99.0
Scan saved at 19:16:19, on 15.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\bcmwltry.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\TVgenial\TVgenial.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\test\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Mir
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
/waitservice
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binar...ot.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\KasperskyAnti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Haui45 15.02.2005 21:24

Ich kann im Log nichts gefährliches entdecken.
Den MessengerPlus würde ich deinstallieren, aber das hat nichts mit deinem Problem zu tun.
Hast du diese "bla.exe" überprüft? Ergebnis?
Du kannst ja mal mit eScan scannen, für den Fall, dass dein Virenscanner schon "zerschossen" wurde.
Hast du schonmal die Verbindungen deines PC's nach außen geprüft, z.B. mit TCPView oder netstat (Win-Taste+R -> "cmd" -> "netstat -?" für Hilfestellung)

badphoenix 15.02.2005 21:32

ich kann eben auch nix erkennen.
hat der auch so spyware zeugs drin oder ?

hab ich überprüft mehrfach, alles sauber.

ich hab weiters mit housecall und kaspersky ist eig. auch
schon der ersatzscanner ich hab normal avg auch a² liefert
ein negatives ergebnis :(

irgendwie stimmt mich das alles nachdenklich, ein bug in der
outpost ? was könnte es sein ?

tcpview liefert, soweit ich das beurteilen kann,keine bedenklichen ergebnisse.

badphoenix 15.02.2005 23:15

escan meldet meint,das alles sauber ist :(

Chris14 15.02.2005 23:18

naja gut. dein system sieht wieder sauber aus auch vom log her. das escan nix gefunden hat, ist doch gut ;) bedeutet für dich, dass keine bekannten trojaner auf deinem system sind.

für die zukunft:
-anderen browser wie firefox oder opera verwenden
-nachdem du mit progs wie von www.dingens.org oder www.ntsvcfg.de windows sicher konfiguriert hast, die firewall deinstallieren (wenn du die progs benutzt hast, passiert auch sowas mit "bla.exe" nicht mehr, da ja dann alle ports geschlossen sind)

Haui45 15.02.2005 23:30

Zitat:

Zitat von Chris14
naja gut. die istbar variante wurde offensichtlich gelöscht. dein system sieht wieder sauber aus auch vom log her. das escan nix gefunden hat, ist doch gut ;) bedeutet für dich, dass keine bekannten trojaner auf deinem system sind.

Bin ich im falschen Film, oder von was sprichst du?

Chris14 15.02.2005 23:31

nargh.. zuviele threads auf einmal..
das ist ja nicht das mit istsvc sondern der mit dem autom.log.. argh ;)
ich verwechsle auch mal was^^

badphoenix 16.02.2005 10:59

ich verwende firefox, mein windows ist mit www.ntsvcfg.de konfiguriert und ich verwende eine firewall die mir jahre lang gute dienste geleistet hat,also kanns von daher nix sein oder ? manchmal wünsch ich mir wirklich , es würd nur mehr linux geben *ärgern tu*

badphoenix 16.02.2005 19:25

ist mein system nun kompromittiert ? :(
kann mir noch wer helfen ?
sollt ich neu aufsetzten,oder darf ich mich wieder ins inet
trauen ?

fragen über fragen :heulen:

Haui45 16.02.2005 19:28

Neu aufsetzen ist immer gut :blabla:
Ernsthaft, HijackThis und eScan sind negativ ausgefallen.
Das, was mich beunruhigt, ist diese bla.exe, zu der du leider nichts mehr geschrieben hast.

badphoenix 16.02.2005 19:34

ich weiß ;) laut online av und kaspersky am pc ist die bla.exe sauber, aber wo kommt sie her ? ich mein irgendwas musst das ding ja runtergeladen haben ?

p.s. ich dachte ich habs schon erwähnt gehabt,das die datei sauber is ? :dummguck:

p.p.s jez hab ich gerade versucht mich ins internet zu bewegen und hab keine ip adresse vom dhcp bekommen, zufall oder kann das was aussagen ? nach einem neustart hats funktioniert. :balla:

Chris14 16.02.2005 19:49

ich vermute, dass ein hacker kurzzeitigen zugriff zu deinem system hatte.
dies war bei mir damals der fall; in windows 98 hatte ich durch einen hacker diverse parite's bekommen. ich öffnete keinerlei mails, mit denen drin. der aber unmittelbare beweis für den hacker war der ordner "Du N0000b" - ich habe sofort neuinstalliert und diverse Sicherheitsseiten durchgeschaut. Es war ganz einfach, Port 139 war offen - und somit das system offen für jeden. es wäre gut möglich, dass sich ungefähr dieses Szenario aufgrund einer funktionsstörung der Agnitum Outpost Firewall eingetreten ist. Denn auch Windows XP hat nach der installation die netbios-ports sowie andere diverse Ports geöffnet. Eine firewall schließt die ports, aber durch einen wurm von außen oder eine sicherheitslücke in der firewall selbst, ist es möglich, in das system einzudringen. sicherer ist es, gleich windows zu konfigurieren, dass er erst garkeine ports fürs internet zur verfügung stellt. deswegen rate ich auch von den desktop-firewalls ab.

nun zur bla.exe selbst:
ich habe verschiedene vermutungen der datei:
-sie ist eine neue selbstprogrammierte backdoorart.
-sie ist einfach nur ein witz, wie bei mir den ordner "du N00B"
-nun eine die eventuell nicht auf hacker sondern auf malware zutrifft - durch den port 135 auf den computer gelangt (wie der rbot und solche backdoors)

badphoenix 16.02.2005 19:55

aber wenn ich mich an www.ntsvcfg.de halte ,dann sollten doch die gefährlichsten sachen ausgeschalten sein ? dazu noch ein wenig xpantispy und die sache schaut eig. recht gut aus,oder lieg ich falsch ?

zum thema desktop firewall, ich weiß das das ding nicht das gelbe vom ei ist,aber sind wir uns mal ehrlich wer hier im forum hat schon das nötige kleingeld für eine ipx o.ä. ?? also ich hätts gern ;)

p.s. kurz zeitiger zugriff erklärt aber nicht,das die svchost zu verschiedenste adressen auf aberwitzige ports conecten will oder ??

Chris14 16.02.2005 19:58

mit desktop-firewalls meine ich sowas wie norton internet security nur damit wir uns nicht missverstehen^^ router sind natürlich immernoch sicherer.
und jep, das beides sollte die systemsicherheit erhöhen. allerdings ist aufgrund fehlender anhaltspunkte nicht festzustellen, ob dritte zugriff auf deinen PC haben, oder du eine unbekannte neue malware-backdoor art drauf hast. die bla.exe macht mir eben sorgen..

doch und das ist meine größte sorge dabei; wenn meine theorie stimmt, dann hat der hacker oder was auch immer die svchost.exe eventuell durch eine virusinfizierte ersetzt. nachprüfen der gesamten datei wäre nur für microsoft möglich, alle viren und trojaner erkennt escan nie und nimmer.. es wäre also möglich, dass wir es mit neueren trojaner oder anderer neuerer malware zutun haben.
ich würde bei diesem risiko mein windows neuinstallieren.

badphoenix 16.02.2005 20:04

hm,d.h. nachtschicht und neuaufsetzn *schauder* :pfui:

ja,mir machts auch sorgen,drum wollt ich hier im board nachfragen,weil
ich mit meinem latein so ziemlich am ende bin,vorallem wo das ding herkommt
ist mir ein rätsel, ie nie benutzt, kein mailclient drauf, system so weit wie möglich sicher konfiguriert und doch so ein sch.... backdoor drauf ? :(

ich sags ja man sollt sich nicht auf windows einlassen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131