![]() |
[Exploit / LSASS] Täglich bis zu 50 Attacken! Hallo Com, ich hoffe ihr könnt mir helfen. Seit gestern Nachmittag meldet mein Virenscanner (Avast) ständig: Malware geblockt : Exploit/LSASS und eine IP-Adresse steht dabei. Ich hab wirklich keine Ahnung wie ich es geschafft hab, dass ich mir sowas auf den PC zieh, ich hab in letzter Zeit absolut nichts heruntergeladen, wo etwas gefährliches dabei sein könnte. :confused: Das ist noch nicht alles: Wenn ich surfe, öffnen sich oft solche seiten von selbst wie: NoBrain.dk und irgendwas mit LeoFiles oder so. Könnt ihr mir bitte helfen, das ganze los zu werden? Ich wäre euch seehr dankbar :) |
Hallo Jimmy95 und :hallo: Kann man wirklich noch weniger hilfreiche Informationen liefern, bei soviel Text? :confused: Zitat:
Bitte antwortet darauf, sonst kann dir hier niemand helfen. Dann => Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab (nur Alternative B). Poste alle drei Logs. ciao, andreas |
Zitat:
Also es wird keine Datei / Pfad angezeigt, sondern nur eine IP-Adresse, die scheinbar versucht, sich über eine Sicherheitslücke "reinzuhacken". Aber ich hab jetzt keine Ahnung, welche IP das war, weil ich nicht weiß wie ich die Warnungen von Avast nochmal anzeigen lassen kann. Ich finde da nix, weiß jemand wo ich die Warnungen nochmal einsehen kann? |
Sry, ich kenne Avast nicht. Ich habe nicht einmal ein AVP installiert. Wozu auch? Eh völlig nutzlos! Überspringe das und poste die Logs. ciao, andreas |
ok hier der malwarebytes log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4583 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 09.09.2010 20:10:03 mbam-log-2010-09-09 (20-10-03).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 148948 Laufzeit: 24 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Documents and Settings\Jimmy\Local Settings\Temp\13F.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Ardamax Keylogger.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Help.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully. C:\Documents and Settings\Jimmy\Application Data\chrtmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\SYSTEM32\DRIVERS\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully. C:\WINDOWS\SYSTEM32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully. |
Hier die OTL-logs(als .txt datei), war zuviel für einen beitrag :confused: uploaded.to/file/wk0olh |
wäre nett, wenn mir jemand sagen kann, was jetzt los ist, starte solange mal meinen pc neu, damit die änderungen von MB übernommen werden. |
Ich konnte die letzte Attacke (20:55 Uhr) screenen: http://img826.imageshack.us/img826/4454/attack.png Eine Russische IP... könnte natürlich auch ein Proxy sein... F**k the KGB :D |
Wow, cool, da weiß ich ja nicht ansatzweise, wo ich ansetzen soll. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Sry, allen Ernstes, willst du mich verarxxxx? ciao, andreas |
Also, wo fang ich denn an? 1. Keylogger? :wtf: Selbstverständlich weiß ich was ein KeyLogger ist, aber ich kann mich beim besten Willen nicht daran erinnern, derartige Software installiert zu haben, ich kümmer mich jetzt darum, das runter zu bekommen 2. Teamviewer, hab ich nur um Kumpels usw. bei evtl. Problemen zu helfen, ist sonst immer abgeschaltet, und auch nicht im Autostart. 3. Vuze, wird ohnehin wieder Deinstalliert, habe nur ein game dringend benötigt (ich pass schon auf was ich loade, und ob viren darin enthalten sein können, ich denke Avast ist ein guter Scanner. 4. Dieses Torrent-Programm ist ganz praktisch für download z.B. von Chip, ist einfach schneller. 5. Nein, ich will dich nicht vera*****en :wtf: , ich will nur Hilfe wegen dem Exploit-Problem, und wäre dir unglaublich dankbar, wenn du mir in irgendeiner Form helfen könntest :abklatsch: |
Soo der Keylogger is runter. Gerade eben hat sich wieder ne website von selbst geöffnet: leofiles.com/eu/k aber Avast hat die Seite geblockt, da es sich offensichtlich um eine Seite handelt, die unter Anderem Malware hostet. |
Zitat:
Noch etwas! Wo kam der eigentlich her? Wer hat den installiert? Wer hat Zugriff auf deinen Rechner? Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
1.) Torrent ist gefährlich. 2.) Von chip würde ich schon gar nichts downloaden. 3.) Schnell sind Torrents grundsätzlich nicht. Zitat:
ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board