Infiziert von "Aurodrion"?

Rasko999 · 25.04.2011, 18:36

Hallo,

gestern Abend habe ich bemerkt, dass ich infiziert wurde. Ich habe ein Programm welches den Netzwerkverkehr anzeigt, in dem wurde angezeigt, dass explorer.exe Kontakt zu einem Server in Russland nimmt. (durch Whois Abfrage, IP war die selbe wie aus dem Link von threatexpert.com [siehe unten])

Ein Blick in die Prozessliste zeigte sofort merkwürdige Prozesse. (z.B. 1337.exe)
Also hab ich die Internetverbindung getrennt und die Prozesse beendet. Zu der Zeit war Kaspersky Internet Security installiert, allerdings war meine Lizenz gerade abgelaufen.

Habe mir die Dateien angeschaut und habe dann gemerkt, dass es sich wahrscheinlich hier rum handelt: hxxp://www.threatexpert.com/report.aspx?md5=69904f1433fd264d884341a92ea69539

(Aurodrion ist ein "Crypter", der Malware so crypted, dass sie von Antiviren Software nicht erkannt werden kann - laut Google)

Den Startup Key in der Registry habe ich selber entfernt, die Datei wurde von Malwarebytes per Quick-Scan entfernt. ("Trojan Agent") Habe auch den gesamten Temp Ordner geleert, also sollten alle Dateien beseitigt sein.

Habe mit Wireshark den Netzwerkverkehr eine Weile beobachtet, ich konnte keine Zugriffe auf merkwürde Server entdecken.

Ich mache mir nun aber Sorgen, dass ich immer noch infiziert bin oder die Dateien svchost.exe oder services.exe manipuliert sind.

Ich mache immer alles als Eingeschränkter Benutzer, nicht als Administrator. Die Scans habe ich nicht im Abgesicherten Modus ausgeführt!

Das habe ich bereits getan:

1. Kaspersky PURE installiert, updated und Full Scan durchgeführt. Ergebis: Keine Malware. (deswegen poste ich hier auch kein Log)

2. Hijackthis ausgeführt und soweit ich es konnte aus eigenen Kenntnissen und mit Hilfe der Online Auswertung ausgewertet, auch da wurde nichts gefunden. (Hijackthis Logs sind hier ja nicht mehr gewollt, daher poste ich auch das Log nicht)

3. Malwarebytes aktualisiert und Full Scan getätitgt: Ergebnis: 1 infizierte Datei, die aber eig zu WinRar gehört??

Log:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6441

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

25.04.2011 19:32:23
mbam-log-2011-04-25 (19-32-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 277517
Laufzeit: 1 Stunde(n), 54 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\WinRAR\Zip.SFX (Malware.Packer.Gen) -> Quarantined and deleted successfully.

4. Hier noch zwei netstat-Logs. Habe alle Prozesse (firefox, iTunes, Apple, ...) die auf das Internet zugreifen beendet. Ist das normal, dass da so viel "Abhören" ist?

#1 (netstat -ano)

Aktive Verbindungen

Zitat:

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABH™REN 1000
TCP 0.0.0.0:445 0.0.0.0:0 ABH™REN 4
TCP 0.0.0.0:912 0.0.0.0:0 ABH™REN 2476
TCP 0.0.0.0:1110 0.0.0.0:0 ABH™REN 396
TCP 0.0.0.0:5357 0.0.0.0:0 ABH™REN 4
TCP 0.0.0.0:12321 0.0.0.0:0 ABH™REN 396
TCP 0.0.0.0:19780 0.0.0.0:0 ABH™REN 396
TCP 0.0.0.0:49152 0.0.0.0:0 ABH™REN 616
TCP 0.0.0.0:49153 0.0.0.0:0 ABH™REN 1056
TCP 0.0.0.0:49154 0.0.0.0:0 ABH™REN 1216
TCP 0.0.0.0:49155 0.0.0.0:0 ABH™REN 704
TCP 0.0.0.0:49156 0.0.0.0:0 ABH™REN 688
TCP 0.0.0.0:49157 0.0.0.0:0 ABH™REN 3312
TCP 127.0.0.1:1110 127.0.0.1:50588 WARTEND 0
TCP 127.0.0.1:1110 127.0.0.1:50590 WARTEND 0
TCP 127.0.0.1:1110 127.0.0.1:50594 WARTEND 0
TCP 127.0.0.1:1110 127.0.0.1:50596 WARTEND 0
TCP 127.0.0.1:1110 127.0.0.1:50598 WARTEND 0
TCP 127.0.0.1:5354 0.0.0.0:0 ABH™REN 1284
TCP 127.0.0.1:27015 0.0.0.0:0 ABH™REN 4652
TCP 127.0.0.1:50367 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50394 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50398 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50452 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50467 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50496 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50498 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50499 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50514 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50516 127.0.0.1:1110 WARTEND 0
TCP 127.0.0.1:50520 127.0.0.1:1110 WARTEND 0
TCP 192.168.16.1:139 0.0.0.0:0 ABH™REN 4
TCP 192.168.145.1:139 0.0.0.0:0 ABH™REN 4
TCP 192.168.178.29:139 0.0.0.0:0 ABH™REN 4
TCP 192.168.178.29:50380 207.46.31.120:80 WARTEND 0
TCP 192.168.178.29:50395 94.245.117.45:80 WARTEND 0
TCP 192.168.178.29:50399 80.157.150.32:80 WARTEND 0
TCP 192.168.178.29:50439 65.54.61.173:80 WARTEND 0
TCP 192.168.178.29:50453 65.54.61.173:80 WARTEND 0
TCP 192.168.178.29:50469 207.46.216.54:80 WARTEND 0
TCP 192.168.178.29:50497 178.236.5.51:80 WARTEND 0
TCP 192.168.178.29:50500 74.125.39.102:80 WARTEND 0
TCP 192.168.178.29:50501 74.125.39.102:80 WARTEND 0
TCP 192.168.178.29:50515 74.125.39.100:80 WARTEND 0
TCP 192.168.178.29:50517 74.125.39.100:80 WARTEND 0
TCP 192.168.178.29:50521 94.245.117.45:80 WARTEND 0
TCP 192.168.178.29:50579 89.1.11.151:443 WARTEND 0
TCP 192.168.178.29:50587 65.55.17.39:80 WARTEND 0
TCP 192.168.178.29:50593 89.1.11.151:443 WARTEND 0
TCP [::]:135 [::]:0 ABH™REN 1000
TCP [::]:445 [::]:0 ABH™REN 4
TCP [::]:1110 [::]:0 ABH™REN 396
TCP [::]:3587 [::]:0 ABH™REN 1760
TCP [::]:5357 [::]:0 ABH™REN 4
TCP [::]:12321 [::]:0 ABH™REN 396
TCP [::]:19780 [::]:0 ABH™REN 396
TCP [::]:49152 [::]:0 ABH™REN 616
TCP [::]:49153 [::]:0 ABH™REN 1056
TCP [::]:49154 [::]:0 ABH™REN 1216
TCP [::]:49155 [::]:0 ABH™REN 704
TCP [::]:49156 [::]:0 ABH™REN 688
TCP [::]:49157 [::]:0 ABH™REN 3312
UDP 0.0.0.0:500 *:* 1216
UDP 0.0.0.0:3702 *:* 1764
UDP 0.0.0.0:3702 *:* 1488
UDP 0.0.0.0:3702 *:* 1764
UDP 0.0.0.0:3702 *:* 1488
UDP 0.0.0.0:4500 *:* 1216
UDP 0.0.0.0:5355 *:* 1592
UDP 0.0.0.0:51920 *:* 1764
UDP 0.0.0.0:57801 *:* 1284
UDP 0.0.0.0:58531 *:* 1488
UDP 0.0.0.0:61539 *:* 1488
UDP 127.0.0.1:1900 *:* 1764
UDP 127.0.0.1:44301 *:* 2028
UDP 127.0.0.1:49279 *:* 4652
UDP 127.0.0.1:49280 *:* 4652
UDP 127.0.0.1:58535 *:* 1456
UDP 127.0.0.1:59102 *:* 1764
UDP 192.168.16.1:137 *:* 4
UDP 192.168.16.1:138 *:* 4
UDP 192.168.16.1:1900 *:* 1764
UDP 192.168.16.1:5353 *:* 1284
UDP 192.168.16.1:59101 *:* 1764
UDP 192.168.145.1:137 *:* 4
UDP 192.168.145.1:138 *:* 4
UDP 192.168.145.1:1900 *:* 1764
UDP 192.168.145.1:5353 *:* 1284
UDP 192.168.145.1:59100 *:* 1764
UDP 192.168.178.29:137 *:* 4
UDP 192.168.178.29:138 *:* 4
UDP 192.168.178.29:1900 *:* 1764
UDP 192.168.178.29:5353 *:* 1284
UDP 192.168.178.29:59099 *:* 1764
UDP [::]:500 *:* 1216
UDP [::]:3540 *:* 1760
UDP [::]:3702 *:* 1764
UDP [::]:3702 *:* 1764
UDP [::]:3702 *:* 1488
UDP [::]:3702 *:* 1488
UDP [::]:4500 *:* 1216
UDP [::]:5355 *:* 1592
UDP [::]:51921 *:* 1764
UDP [::]:57802 *:* 1284
UDP [::]:58532 *:* 1488
UDP [::]:61540 *:* 1488
UDP [::1]:1900 *:* 1764
UDP [::1]:5353 *:* 1284
UDP [::1]:59098 *:* 1764
UDP [fe80::7498:ac84:b215:79d3%11]:546 *:* 1056
UDP [fe80::7498:ac84:b215:79d3%11]:1900 *:* 1764
UDP [fe80::7498:ac84:b215:79d3%11]:59095 *:* 1764
UDP [fe80::784a:e243:9f75:570e%17]:546 *:* 1056
UDP [fe80::784a:e243:9f75:570e%17]:1900 *:* 1764
UDP [fe80::784a:e243:9f75:570e%17]:59097 *:* 1764
UDP [fe80::7c43:fff5:dfe0:5ceb%16]:546 *:* 1056
UDP [fe80::7c43:fff5:dfe0:5ceb%16]:1900 *:* 1764
UDP [fe80::7c43:fff5:dfe0:5ceb%16]:59096 *:* 1764

#2 (netstat -a -t -f)

Zitat:

Aktive Verbindungen

Proto. Lokale Adresse Remoteadresse Status PID Abladungsstatus

TCP 0.0.0.0:135 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:445 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:912 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:1110 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:5357 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:12321 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:19780 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49152 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49153 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49154 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49155 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49156 Notebook:0 ABH™REN InHost
TCP 0.0.0.0:49157 Notebook:0 ABH™REN InHost
TCP 127.0.0.1:1110 Notebook:51987 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:51989 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:51991 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:51993 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:51995 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:51997 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:51998 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:51999 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52000 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52001 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52007 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52008 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52009 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52010 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52011 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52014 FIN_WARTEN_2 InHost
TCP 127.0.0.1:1110 Notebook:52019 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52021 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52023 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52024 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52025 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52026 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52031 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52033 HERGESTELLT InHost
TCP 127.0.0.1:1110 Notebook:52035 HERGESTELLT InHost
TCP 127.0.0.1:5354 Notebook:0 ABH™REN InHost
TCP 127.0.0.1:27015 Notebook:0 ABH™REN InHost
TCP 127.0.0.1:27015 Notebook:49162 HERGESTELLT InHost
TCP 127.0.0.1:49162 Notebook:27015 HERGESTELLT InHost
TCP 127.0.0.1:51901 Notebook:51902 HERGESTELLT InHost
TCP 127.0.0.1:51902 Notebook:51901 HERGESTELLT InHost
TCP 127.0.0.1:51903 Notebook:51904 HERGESTELLT InHost
TCP 127.0.0.1:51904 Notebook:51903 HERGESTELLT InHost
TCP 127.0.0.1:51987 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:51989 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:51991 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:51993 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:51995 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:51997 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:51998 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:51999 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52000 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52001 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52007 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52008 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52009 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52010 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52011 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52014 Notebook:nfsd-status SCHLIESSEN_WARTEN InHost
TCP 127.0.0.1:52019 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52021 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52023 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52024 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52025 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52026 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52031 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52033 Notebook:nfsd-status HERGESTELLT InHost
TCP 127.0.0.1:52035 Notebook:nfsd-status HERGESTELLT InHost
TCP 192.168.16.1:139 Notebook:0 ABH™REN InHost
TCP 192.168.145.1:139 Notebook:0 ABH™REN InHost
TCP 192.168.178.29:139 Notebook:0 ABH™REN InHost
TCP 192.168.178.29:51988 fx-in-f104.1e100.net:http HERGESTELLT InHost
TCP 192.168.178.29:51990 fx-in-f105.1e100.net:http HERGESTELLT InHost
TCP 192.168.178.29:51992 bw-in-f139.1e100.net:http HERGESTELLT InHost
TCP 192.168.178.29:51994 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:51996 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52002 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52003 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52004 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52005 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52006 79.141.216.33:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52012 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52013 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52015 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52016 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52017 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52018 79.141.216.36:http SCHLIESSEN_WARTEN InHost
TCP 192.168.178.29:52020 ber01s02-in-f101.1e100.net:http HERGESTELLT InHost
TCP 192.168.178.29:52022 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52027 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52028 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52029 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52030 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52032 80.157.150.40:http HERGESTELLT InHost
TCP 192.168.178.29:52034 fra07s07-in-f95.1e100.net:http HERGESTELLT InHost
TCP 192.168.178.29:52036 80.157.150.16:http HERGESTELLT InHost
TCP [::]:135 Notebook:0 ABH™REN InHost
TCP [::]:445 Notebook:0 ABH™REN InHost
TCP [::]:1110 Notebook:0 ABH™REN InHost
TCP [::]:3587 Notebook:0 ABH™REN InHost
TCP [::]:5357 Notebook:0 ABH™REN InHost
TCP [::]:12321 Notebook:0 ABH™REN InHost
TCP [::]:19780 Notebook:0 ABH™REN InHost
TCP [::]:49152 Notebook:0 ABH™REN InHost
TCP [::]:49153 Notebook:0 ABH™REN InHost
TCP [::]:49154 Notebook:0 ABH™REN InHost
TCP [::]:49155 Notebook:0 ABH™REN InHost
TCP [::]:49156 Notebook:0 ABH™REN InHost
TCP [::]:49157 Notebook:0 ABH™REN InHost
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:50679 *:*
UDP 0.0.0.0:52905 *:*
UDP 0.0.0.0:55719 *:*
UDP 0.0.0.0:64908 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:44301 *:*
UDP 127.0.0.1:49422 *:*
UDP 127.0.0.1:51250 *:*
UDP 127.0.0.1:52903 *:*
UDP 127.0.0.1:52904 *:*
UDP 127.0.0.1:64560 *:*
UDP 127.0.0.1:64561 *:*
UDP 192.168.16.1:137 *:*
UDP 192.168.16.1:138 *:*
UDP 192.168.16.1:1900 *:*
UDP 192.168.16.1:5353 *:*
UDP 192.168.16.1:51249 *:*
UDP 192.168.145.1:137 *:*
UDP 192.168.145.1:138 *:*
UDP 192.168.145.1:1900 *:*
UDP 192.168.145.1:5353 *:*
UDP 192.168.145.1:51248 *:*
UDP 192.168.178.29:137 *:*
UDP 192.168.178.29:138 *:*
UDP 192.168.178.29:1900 *:*
UDP 192.168.178.29:5353 *:*
UDP 192.168.178.29:51247 *:*
UDP [::]:500 *:*
UDP [::]:3540 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:4500 *:*
UDP [::]:5355 *:*
UDP [::]:50680 *:*
UDP [::]:52906 *:*
UDP [::]:55720 *:*
UDP [::]:64909 *:*
UDP [::1]:1900 *:*
UDP [::1]:5353 *:*
UDP [::1]:51246 *:*
UDP [fe80::7498:ac84:b215:79d3%11]:1900 *:*
UDP [fe80::7498:ac84:b215:79d3%11]:51243 *:*
UDP [fe80::784a:e243:9f75:570e%17]:1900 *:*
UDP [fe80::784a:e243:9f75:570e%17]:51245 *:*
UDP [fe80::7c43:fff5:dfe0:5ceb%16]:1900 *:*
UDP [fe80::7c43:fff5:dfe0:5ceb%16]:51244 *:*

cosinus · 27.04.2011, 19:50

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Rasko999 · 28.04.2011, 11:55

Hallo,

vielen Dank für deine Hilfe, habe aber nun mein System lieber komplett neu aufgesetzt!

Wäre aber nett wenn du noch was zu dem 4. Punkt sagen kannst, ob das normal ist.

cosinus · 28.04.2011, 15:39

Ja netstat sieht so aus. Wieso führst du netstat eigentlich von dir aus aus, wenn du damit nicht wirklich was anfangen kannst? GUTE Schädlinge kann man damit nicht aufspüren. Es zeigt nur Verbindungen an, mehr nicht.

Rasko999 · 28.04.2011, 22:42

Naja netstat hat mir u.a. zum Beispiel geholfen die Infektion zu erkennen

Außerdem bilde ich mich gerne weiter - learning by doing!

Danke dir!

cosinus · 29.04.2011, 10:40

Zitat:

Naja netstat hat mir u.a. zum Beispiel geholfen die Infektion zu erkennen

Sry aber das klingt absurd. Wie willst du anhand von netstat zweifelsfrei feststellen, dass eine Infektion vorliegt und welche genau es ist?

Rasko999 · 01.05.2011, 20:01

Zitat:

Zitat von cosinus

Sry aber das klingt absurd. Wie willst du anhand von netstat zweifelsfrei feststellen, dass eine Infektion vorliegt und welche genau es ist?

Naja wie gesagt, ich habe gesehen, dass eine Verbindung zu einer merkwürdigen Domain aufgebaut wird, die ich noch nie gesehen hab, auch als Firefox etc. geschlossen war. Das war der Auslöser dafür, dass ich mein System gecheckt habe und dann nach weiterer Recherche gesehen habe, dass ich infiziert bin. Hätte ich die Verbindung nicht gesehen, hätte ich wahrscheinlich nichts gemerkt und nicht die Prozesse etc. gecheckt

Natürlich kann man an netstat an sich nicht erkennen ob man wirklich zu 100% infiziert ist und ganz bestimmt nicht welcher Schädling, aber es war doch als Indikator hilfreich

28.04.2011, 15:39	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Infiziert von "Aurodrion"? Ja netstat sieht so aus. Wieso führst du netstat eigentlich von dir aus aus, wenn du damit nicht wirklich was anfangen kannst? GUTE Schädlinge kann man damit nicht aufspüren. Es zeigt nur Verbindungen an, mehr nicht. __________________ Logfiles bitte immer in CODE-Tags posten

Infiziert von "Aurodrion"?

Plagegeister aller Art und deren Bekämpfung: Infiziert von "Aurodrion"?