Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [Exploit / LSASS] Täglich bis zu 50 Attacken! (https://www.trojaner-board.de/90588-exploit-lsass-taeglich-50-attacken.html)

Jimmy95 09.09.2010 18:24

[Exploit / LSASS] Täglich bis zu 50 Attacken!
 
Hallo Com,

ich hoffe ihr könnt mir helfen. Seit gestern Nachmittag meldet mein Virenscanner (Avast) ständig: Malware geblockt : Exploit/LSASS und eine IP-Adresse steht dabei.
Ich hab wirklich keine Ahnung wie ich es geschafft hab, dass ich mir sowas auf den PC zieh, ich hab in letzter Zeit absolut nichts heruntergeladen, wo etwas gefährliches dabei sein könnte. :confused:
Das ist noch nicht alles: Wenn ich surfe, öffnen sich oft solche seiten von selbst wie: NoBrain.dk und irgendwas mit LeoFiles oder so.

Könnt ihr mir bitte helfen, das ganze los zu werden?
Ich wäre euch seehr dankbar :)

john.doe 09.09.2010 18:33

Hallo Jimmy95 und :hallo:

Kann man wirklich noch weniger hilfreiche Informationen liefern, bei soviel Text? :confused:
Zitat:

Exploit/LSASS und eine IP-Adresse steht dabei.
Welche Datei? Welcher Pfad? Welche IP-Adresse?

Bitte antwortet darauf, sonst kann dir hier niemand helfen.

Dann => Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab (nur Alternative B). Poste alle drei Logs.

ciao, andreas

Jimmy95 09.09.2010 18:36

Zitat:

Zitat von john.doe (Beitrag 566223)
Hallo Jimmy95 und :hallo:

Kann man wirklich noch weniger hilfreiche Informationen liefern, bei soviel Text? :confused:
Welche Datei? Welcher Pfad? Welche IP-Adresse?

Bitte antwortet darauf, sonst kann dir hier niemand helfen.

Dann => Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab (nur Alternative B). Poste alle drei Logs.

ciao, andreas

jo danke erstmal.

Also es wird keine Datei / Pfad angezeigt, sondern nur eine IP-Adresse, die scheinbar versucht, sich über eine Sicherheitslücke "reinzuhacken". Aber ich hab jetzt keine Ahnung, welche IP das war, weil ich nicht weiß wie ich die Warnungen von Avast nochmal anzeigen lassen kann. Ich finde da nix, weiß jemand wo ich die Warnungen nochmal einsehen kann?

john.doe 09.09.2010 18:39

Sry, ich kenne Avast nicht. Ich habe nicht einmal ein AVP installiert. Wozu auch? Eh völlig nutzlos! Überspringe das und poste die Logs.

ciao, andreas

Jimmy95 09.09.2010 19:26

ok hier der malwarebytes log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4583

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

09.09.2010 20:10:03
mbam-log-2010-09-09 (20-10-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148948
Laufzeit: 24 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Documents and Settings\Jimmy\Local Settings\Temp\13F.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Ardamax Keylogger.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Help.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jimmy\Application Data\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Jimmy95 09.09.2010 19:33

Hier die OTL-logs(als .txt datei), war zuviel für einen beitrag :confused:
uploaded.to/file/wk0olh

Jimmy95 09.09.2010 19:44

wäre nett, wenn mir jemand sagen kann, was jetzt los ist,
starte solange mal meinen pc neu, damit die änderungen von MB übernommen werden.

Jimmy95 09.09.2010 19:57

Ich konnte die letzte Attacke (20:55 Uhr) screenen:




http://img826.imageshack.us/img826/4454/attack.png


Eine Russische IP... könnte natürlich auch ein Proxy sein...
F**k the KGB :D

john.doe 09.09.2010 21:22

Wow, cool, da weiß ich ja nicht ansatzweise, wo ich ansetzen soll.
Zitat:

PRC - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
Für mich ist es der Belzebub schlechthin.
Zitat:

PRC - C:\Program Files\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D)
Ein Programm, dass laut Aussage von einem KTler Sicherheit bietet. Ich sehe das anders.
Zitat:

PRC - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH)
Du weißt schon, wozu das Programm gut ist oder genutzt werden kann?
Zitat:

PRC - C:\Program Files\Vuze\Azureus.exe (Vuze Inc.)
Jo, Haupteinfallstor für Schädlinge. Glückwunsch. Lade nur weiter Schädlinge herunter.
Zitat:

O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.6.22.dll (BitComet)
Und noch ein Haupteinfallstor für Schädlinge.
Zitat:

2010.08.18 23:28:57
Offensichtlich wurde der Rechner erst kürzlich neuaufgesetzt, aber wenn du weiterhin so arbeitest, dann wird das noch sehr häufig auf dich zukommen.
Zitat:

Ardamax Keylogger" = Ardamax Keylogger 3.4
Du weißt, was ein Keylogger ist? Du hast ihn freiwillig installiert?

Sry, allen Ernstes, willst du mich verarxxxx?

ciao, andreas

Jimmy95 09.09.2010 21:55

Also, wo fang ich denn an?

1. Keylogger? :wtf: Selbstverständlich weiß ich was ein KeyLogger ist, aber ich kann mich beim besten Willen nicht daran erinnern, derartige Software installiert zu haben, ich kümmer mich jetzt darum, das runter zu bekommen
2. Teamviewer, hab ich nur um Kumpels usw. bei evtl. Problemen zu helfen, ist sonst immer abgeschaltet, und auch nicht im Autostart.
3. Vuze, wird ohnehin wieder Deinstalliert, habe nur ein game dringend benötigt (ich pass schon auf was ich loade, und ob viren darin enthalten sein können, ich denke Avast ist ein guter Scanner.
4. Dieses Torrent-Programm ist ganz praktisch für download z.B. von Chip, ist einfach schneller.
5. Nein, ich will dich nicht vera*****en :wtf: , ich will nur Hilfe wegen dem Exploit-Problem, und wäre dir unglaublich dankbar, wenn du mir in irgendeiner Form helfen könntest :abklatsch:

Jimmy95 09.09.2010 22:25

Soo der Keylogger is runter.
Gerade eben hat sich wieder ne website von selbst geöffnet: leofiles.com/eu/k aber Avast hat die Seite geblockt, da es sich offensichtlich um eine Seite handelt, die unter Anderem Malware hostet.

john.doe 09.09.2010 22:45

Zitat:

Soo der Keylogger is runter.
:confused: und damit ist das Problem gelöst? Du weißt schon, dass du im Anschluss alle Kennwörter ändern musst?

Noch etwas! Wo kam der eigentlich her? Wer hat den installiert? Wer hat Zugriff auf deinen Rechner?
Zitat:

aber Avast hat die Seite geblockt
Na dann ist doch alles i.O. oder doch nicht?
Zitat:

ist sonst immer abgeschaltet, und auch nicht im Autostart.
Tatsächlich? Dann kann ich Logs nicht lesen, denn =>
Zitat:

PRC - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH)
bedeutet eigentlich, dass es ein laufender Prozess ist, also gestartet ist und damit läuft.
Zitat:

Vuze, wird ohnehin wieder Deinstalliert, habe nur ein game dringend benötigt
Welches Game? Von wo geladen?
Zitat:

ich denke Avast ist ein guter Scanner.
Aehm, ja, warum bist du dann hier?
Zitat:

Dieses Torrent-Programm ist ganz praktisch für download z.B. von Chip, ist einfach schneller.
Sorry, ich kenne mich da nicht so gut aus. (john.doe ist ein schlimmer Lüger).
1.) Torrent ist gefährlich.
2.) Von chip würde ich schon gar nichts downloaden.
3.) Schnell sind Torrents grundsätzlich nicht.
Zitat:

ich will nur Hilfe wegen dem Exploit-Problem
Kein Thema, Poste doch endlich die erforderlichen OTL-Logs. Beide. Bitte.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131