Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Angriff durch HTTP Neosploit Activity 3 - was nun? (https://www.trojaner-board.de/83763-angriff-http-neosploit-activity-3-a.html)

Firutin 15.03.2010 13:16
Angriff durch HTTP Neosploit Activity 3 - was nun?
 
Hallo,

ich wurde heute morgen leider, als ich auf eine Website zugegriffen habe, die von Norton eigentlich als sicher eingestuft wurde (Project Free TV), von Norton informiert, dass gerade ein hohes Sicherheitsrisiko bestehe.
Ich habe also die Internetverbindung zunächst getrennt und mir das Problem mal genauer angeschaut.
Der Verlauf von Norton gibt folgende Informationen:

Name des Risikos: HTTP Neosploit Activity 3
Risiko: Hoch
Angreifender Computer: ***.168.2.111, 1270
Angreifer-URL: ***skefe.in/cgi-bin/gjj/t002102R28fc3347...
Zieladresse: ***.148.47.24, 80
Quelladresse: ***.168.2.111, 1270
Beschreibung des Datenverkehrs: TCP, Port 1270

Der Status der Aktivität ist laut Norton blockiert und eine weitere Aktion sei nicht erfordlerlich. Dem traue ich allerdings nicht.

Deswegen habe ich einen kompletten Systemscan mit Norton machen lassen, der allerdings nichts weiter zu Tage brachte.

Anschließend habe ich (nachdem ich CCleaner benutzt hatte) einen Systemscan mit Malwarebytes' durchlaufen lassen. Dieser hatte einen Treffer. Hier ist das log:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2873
Windows 5.1.2600 Service Pack 3

15.03.2010 11:41:44
mbam-log-2010-03-15 (11-41-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 127549
Laufzeit: 24 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Norton Internet Security\Engine\17.5.0.127\msl.dll (Trojan.Agent) -> Delete on reboot.

Der Fund ließ sich nicht sofort löschen. Ich musste erst einen Neustart machen, was ich auch gemacht habe. Anschließend habe ich noch einen vollständigen Scan mit Malwarebytes' gemacht, diesmal aber ohne Ergebnisse.

Anschließend habe ich RSIT durchlaufen lassen. Hier ist die Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-03-15 12:32:38
Microsoft Windows XP Professional Service Pack 3
System drive C: has 218 GB (91%) free of 238 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:43, on 15.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIELE.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\trend micro\Administrator.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON B40W Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIELE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\E_S76.tmp" /EF "HKCU"
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF493D0E-1E6E-4E36-A10E-9190BF810AE1}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4620 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Norton Internet Security - Systemprüfung ausführen - Administrator.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
Symantec NCO BHO - C:\Programme\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll [2009-12-10 394608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
Symantec Intrusion Prevention - C:\Programme\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL [2009-11-17 79224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Norton Toolbar - C:\Programme\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll [2009-12-10 394608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2003-12-14 118784]
"D-Link AirPlus G"=C:\Programme\D-Link\AirPlus G\AirGCFG.exe [2006-11-17 1552384]
"ANIWZCS2Service"=C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe [2006-06-29 49152]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-05-17 13529088]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-05-17 86016]
"Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-09-21 305440]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"EPSON B40W Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIELE.EXE [2008-03-12 188928]

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-12-14 323584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\ITunes\iTunes.exe"="E:\ITunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-03-15 12:32:38 ----D---- C:\rsit
2010-03-12 22:15:26 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-03-12 22:06:36 ----D---- C:\acaed8884504af4141ea6c222c
2010-02-28 13:23:19 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$

======List of files/folders modified in the last 1 months======

2010-03-15 12:32:41 ----D---- C:\Programme\trend micro
2010-03-15 12:30:59 ----D---- C:\WINDOWS\Prefetch
2010-03-15 11:50:21 ----D---- C:\WINDOWS\Temp
2010-03-15 11:49:13 ----SHD---- C:\System Volume Information
2010-03-15 11:49:12 ----D---- C:\WINDOWS
2010-03-15 11:48:09 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-15 11:48:07 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-15 09:30:31 ----D---- C:\Programme\Mozilla Firefox
2010-03-12 22:39:47 ----D---- C:\WINDOWS\Debug
2010-03-12 22:15:32 ----HD---- C:\WINDOWS\inf
2010-03-12 22:15:28 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-03-12 22:15:28 ----D---- C:\Programme\Movie Maker
2010-03-12 22:15:04 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-12 22:14:50 ----SHD---- C:\WINDOWS\Installer
2010-03-12 22:14:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-28 13:23:55 ----D---- C:\WINDOWS\system32
2010-02-17 11:40:30 ----SD---- C:\WINDOWS\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 BHDrvx86;BHDrvx86; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100211.001\BHDrvx86.sys []
R1 ccHP;Symantec Hash Provider; C:\WINDOWS\system32\drivers\NIS\1105000.07F\ccHPx86.sys [2009-12-09 501888]
R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SRTSPX;Symantec Real Time Storage Protection (PEL); C:\WINDOWS\system32\drivers\NIS\1105000.07F\SRTSPX.SYS [2009-12-03 43696]
R1 SymIRON;Symantec Iron Driver; C:\WINDOWS\System32\Drivers\NIS\1105000.07F\Ironx86.SYS [2009-11-26 116272]
R1 SYMTDI;Symantec Network Dispatch Driver; C:\WINDOWS\System32\Drivers\NIS\1105000.07F\SYMTDI.SYS [2009-11-22 362032]
R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS []
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-01-06 271360]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-01-06 18048]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-03-31 4816]
R3 E1000;Intel(R) PRO/1000 Adapter Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2003-05-20 121856]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IDSxpx86;IDSxpx86; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100312.001\IDSxpx86.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NAVENG;NAVENG; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100314.003\NAVENG.SYS []
R3 NAVEX15;NAVEX15; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100314.003\NAVEX15.SYS []
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-17 6557408]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-08-29 578304]
R3 SRTSP;Symantec Real Time Storage Protection; C:\WINDOWS\System32\Drivers\NIS\1105000.07F\SRTSP.SYS [2009-12-03 325168]
R3 SymEvent;SymEvent; \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-12-15 122942]
S3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-12-15 99002]
S3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys []
S3 akshhl;Aladdin HASP HL Key; C:\WINDOWS\system32\DRIVERS\akshhl.sys []
S3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys []
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2003-12-15 95579]
S3 RT73;D-Link USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\Dr71WU.sys [2005-11-03 245504]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 NIS;Norton Internet Security; C:\Programme\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe [2009-12-09 126392]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-05-17 159812]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-09-21 545568]
S2 ANIWZCSdService;ANIWZCSd Service; C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2006-07-03 49152]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

Was mir noch aufgefallen ist, ist, dass seit dem Angriff im Verlauf von Norton weitere Bedrohungen auftauchen, die als "Mittel" eingestuft werden. Es sind immer die gleichen zwei Angreifer:

- C:\Malwarebytes'An... (ergibt Sinn, schließlichlich habe ich zwei Scans mit Malwarebytes gemacht)

- C:\WINDOWS\EXPLORER.EXE

Außerdem ist mir aufgefallen, dass sich kurz vor dem eigentlichen Angriff im Verlauf von Norton ein weiteres "mittleres" Risiko auffinden lässt.
Und zwar mit dem Namen C:\WINDOWS\SYSTEM32\SERVICES.EXE

Ich wollte wissen, welche Schritte ich noch unternehmen muss, um sicherzugehen, dass mein PC wirklich clean ist.

Vielen Dank schonmal im Vorraus. :-)

Firutin

cosinus 15.03.2010 14:25
Hallo,

Zitat:
Angreifender Computer: ***.168.2.111, 1270
lass mich raten, die IP ist 192.168.2.111 ? :rolleyes:
Wäre wieder ein schönes Beispiel für die Schmerzfreiheit dieser Sinnlos-Software Norton IS :balla:

Firutin 15.03.2010 15:00
Hallo cosinus,

Richtig, die IP ist vollständig 192.168.2.111
War mir nicht sicher, ob ich das auch unkenntlich machen muss. Was sagt das denn über die Qualität von Norton IS aus? Und was heißt das für meinen PC?

Grüße

Firutin

cosinus 15.03.2010 15:06
Grundsätzlich rate ich von Security Suites ab, weil das idR zu fette Pakete sind und keine echten Vorteile (eher Nachteile!) bringen. Im letzten Test in der c't war der Rechner bei einer Standardkonfig "offener" als nur mit der Windows-Firewall und diese fragwürdigen Meldungen hast Du ja jetzt auch zumindest ein Beispiel von.

192.168.2.111 ist eine private IP-Adresse (dein eigener Rechner??), 192.168.2.XXX müsste Dein privates Netzsegment sein (hängst Du hinter einem Router? sieht stark danach aus!)

Ich kann Dir von Schlangenöl-Software wie Norton-Internet-Security, ZoneAlarm, Sygate - und wie der ganze Mist noch so heißt - nur dringend abraten. Die Windows-Firewall erledigt genauso gut ihren Job und reißt nicht zusätzliche weitere Löcher. Wenn Du hinter einem Router hängst (was offensichtlich der Fall ist) bis Du eh schon bestens (firewallmäßig) geschützt.

Firutin 15.03.2010 15:13
Hallo Arne,

richtig, ich hänge an einem (W-Lan)-Router. Und der Rechner ist mein privater Rechner. Heißt das, dass ich jetzt nichts weiter zu befürchten habe?
Danke für die Tips bezüglich Firewall. Ich werde dann wohl demnächst umsteigen.

Viele Grüße

Firutin

cosinus 15.03.2010 15:21
Wenn Dein Rechner die genannte IP-Adresse hat, dann hat Dein tolles Norton Deinen Rechner selbst als "Angreifer" eingestuft :D

Firutin 15.03.2010 15:25
Tatsächlich. In meinem TCP/IP-Protokoll steht eben jene IP-Adresse. Unglaublich. Das gibt mir echt zu denken. :dummguck:

Vielen Dank für deine Aufklärungsarbeit! :D

cosinus 15.03.2010 15:43
Siehste ;)

Also komplett runter mit diesem Norton-Gedöns. Wenn Du reine private Dinge mit diesem Rechner erledigst, dann tut es als Virenscanner auch so was (kostenloses) wie Avast (free), AVG Free oder AntiVir PE.

Und natürlich nicht vergessen:

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

StLB 15.03.2010 15:51
Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2873
Windows 5.1.2600 Service Pack 3
Die neueste Version ist 1.44, mit Datenbank-Version etwas um die 3850.
Um sicherzugehen also noch ein Update machen und einen weiteren VollScan.

cosinus 15.03.2010 16:08
Zitat:
Zitat von StLB (Beitrag 509111)
Die neueste Version ist 1.44, mit Datenbank-Version etwas um die 3850.
Um sicherzugehen also noch ein Update machen und einen weiteren VollScan.
Oh, den hab ich ja komplett übersehen...war wohl zu sehr auf das Norton-Gedöns konzentriert... :rolleyes:

Firutin 15.03.2010 17:44
Alles klar. Auch ein Scan mit der neusten Version hat keine Egebnisse gefunden.

Vielen Dank:D


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55