Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   DFÜ-Verbindung "ALL" ??? (https://www.trojaner-board.de/8803-dfu-verbindung-all.html)

Rally-58 25.10.2004 15:12
DFÜ-Verbindung "ALL" ???
 
Hi,
ich habe folgendes Problem:
Wenn ich eine bestimmte Zeit ( 5-10 Min) online bin, wird meine bestehende DFÜ-Verbindung automatisch unterbrochen.
Gleichzeitig finde ich im Ordner DFÜ-Netzwerk eine neue Verbindung Namens "ALL". In den Eigenschaften ist nichts hinterlegt. Auch wenn ich diese Vebindung lösche und danach online gehe, dauert es 5-10 Min. und sie ist wieder da.
Ich habe mein System mit Spybot und Ad Aware überprüft.
Das hat nichts geholfen.
Und jetzt?

Grüße aus Köln
ralf

Shadow 25.10.2004 15:49
dies => http://www.trojaner-board.de/51130-a...ijackthis.html durchlesen, HiJackthis downloaden und anwenden und dort => www.hijackthis.de automatisch auswerten lassen. Anmerkungen von dort mit Hirn auswerten und anwenden, bei Unklarheiten hier nachfragen.

Rally-58 26.10.2004 10:30
Hi Shadow,
danke für den Tip, habe alles befolgt.
Ergebnis: keine gefährlichen Einträge mehr, aber Problem immer noch da !!
Und jetzt ?

Ralf

chaosman 26.10.2004 13:14
@Rally-58

poste doch mal hier ein logfile von Hijackthis

chaosman

Rally-58 26.10.2004 14:02
Hallo,
hier der File:

Ralf

Logfile of HijackThis v1.98.2
Scan saved at 11:22:49, on 26.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\INTEL\DMI\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAMPAGENT.EXE
C:\PROGRAMME\CASIO\PLOADER\PLAUTO.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LDCMSync] C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Wampagent] C:\WINDOWS\Winampagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Intel Bootstrap Agent] C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
O4 - HKLM\..\RunServices: [DMIStart] C:\Programme\Intel\LDCM\DMIStart.exe
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Ploader\Plauto.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\PROGRAMME\LEECHGET 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\PROGRAMME\LEECHGET 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\PROGRAMME\LEECHGET 2004\\Parser.html
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Shadowdance 27.10.2004 03:21
Hallo Rally-58,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

überprüfe mit dem online-scan von Kaspersky:

C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
C:\Programme\Intel\LDCM\DMIStart.exe
C:\WINDOWS\WINAMPAGENT.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Rally-58 27.10.2004 06:34
Sorry Shadowdance,
bei mit ist win 98 SE installiert und nicht XP!?

Ändert das was an deiner Empfehlung ?

Ralf

Shadowdance 27.10.2004 08:17
@ Rally-58,

nein, es ändert nichts, nur dass Du dies hier: "Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com." weglassen kannst ... da habe ich anscheinend nicht aufgepasst, sorry.

SD

Rally-58 27.10.2004 11:55
Hi,
kaspersky hat kein Ergebnis gebracht.
E scan folgende:

Wed Oct 27 11:26:16 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:26:33 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:29:52 2004 => File C:\WINDOWS\TEMP\watch your girlfriend smile .dat infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:32:34 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.


der neueste logfile lautet:
Logfile of HijackThis v1.98.2
Scan saved at 12:46:41, on 27.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\INTEL\DMI\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAMPAGENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\CASIO\PLOADER\PLAUTO.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LDCMSync] C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Intel Bootstrap Agent] C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
O4 - HKLM\..\RunServices: [DMIStart] C:\Programme\Intel\LDCM\DMIStart.exe
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Ploader\Plauto.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\PROGRAMME\LEECHGET 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\PROGRAMME\LEECHGET 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\PROGRAMME\LEECHGET 2004\\Parser.html
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll


Watch your Girlsfried habe ich gelöscht,
Winamagent habe ich gehijackt.
Mal sehen, was es gebracht hat.

Ralf

Rally-58 27.10.2004 12:07
Hi, es wird immer schöner,
nicht das ich was gegen nackte Frauen habe, aber diese DFÜ-Verbindung "ALL" stellt eine Verbindung zu folgender Web-seite her:
http://197redven.securecasting.com/I...dex.htm?plac=1

Erstaunlicherweise wird diese Seite nicht als Zieladresse genannt.
Und Nun ??

ralf

Rally-58 28.10.2004 11:53
Hi,
ich habe nun mit ANTIVIR meinen PC gescannt. Dabei wurde eine Datei
( Winagent) gelöscht. Und nun funktioniert alles wieder einwandfrei.
Mal sehen wie Lange, trotzdem besten Dank für die Hilfe.

Ralf


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131