Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kompromittierung - Datenfluss

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2005, 12:56   #1
senato
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



Werte Kollegen !

Mein System ist offensichtlich kompromitiert. Daten werden ausgetauscht, obwohl keine Eingabe oder Download etc. erfolgt. (siehe bei mir "Status" - rechts unten)

Mal eine ganz bescheidene Frage. Kann man das nicht abstellen oder den Server des Uebeltaeters abdrehen ?

Bin ja wahrscheinlich nicht der Einzige mit aehnlichen Problemenm, daher waere ich fuer ein paar Antworten sehr dankend.

Senato

Alt 03.05.2005, 13:15   #2
felix1
/// Helfer-Team
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



Zitat:
Zitat von senato
Werte Kollegen !

Mein System ist offensichtlich kompromitiert. Daten werden ausgetauscht, obwohl keine Eingabe oder Download etc. erfolgt. (siehe bei mir "Status" - rechts unten)

Senato
Vieleicht brauche ich eine Brille, aber ich kann unter Status nichs sehen
__________________


Alt 03.05.2005, 13:42   #3
senato
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



... bei einem Verbindungsaufbau erscheinen bei mir (rechts unten) Icon mitt zwei kl. Computern. Wenn man dort draufklickt wird der "Status" angezeigt und "gesendet" + "empfangen" von bytes. Senato
__________________

Alt 03.05.2005, 13:50   #4
Gigamail
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



@

solltest Du wirklich Kompromittiert sein wäre es schlecht für dich lese mal über Kompromittierung

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.05.2005, 13:59   #5
senato
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



Hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 13:59:13, on 03.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\applequicktimeplayer\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\googlefilter\GoogleFilter\Core\Googlefilter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\cmds.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\cmds.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\cmds.exe
C:\WINNT\system32\cmds.exe
C:\WINNT\system32\cmds.exe
C:\WINNT\system32\cmds.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as.../info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ukraina.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as...om/search?p=%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\pdf\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\spyware\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\applequicktimeplayer\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows WKS] wsass.exe
O4 - HKLM\..\Run: [Googlefilter] C:\googlefilter\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Manager] cips.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Commands Support] cmds.exe
O4 - HKLM\..\RunServices: [Windows WKS] wsass.exe
O4 - HKLM\..\RunServices: [Microsoft Manager] cips.exe
O4 - HKLM\..\RunServices: [Windows Commands Support] cmds.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Googlefilter] C:\googlefilter\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKCU\..\Run: [Microsoft Manager] cips.exe
O4 - HKCU\..\Run: [Windows Commands Support] cmds.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09de1526...dxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.pro-support.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7436ABC9-E1BB-4D97-8396-5166B96F756A}: NameServer = 213.240.67.106 193.81.83.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B87705-AD48-40A9-A9D1-6D0371772E73}: NameServer = 213.240.67.102,106.240.67.102
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe


Alt 03.05.2005, 14:10   #6
Haui45
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



Du hast vollkommen Recht, das System ist total verseucht.
Allein dieser Schädling (ist bei weitem nicht der Einzige...) ist Grund genug, dir das zu raten.

Alt 03.05.2005, 17:02   #7
mmk
 
Kompromittierung - Datenfluss - Standard

Kompromittierung - Datenfluss



@senato:

Dein System ist mit sogenannten Netzwerkwürmern, die über Backdoorfunktionalität verfügen, verseucht. Beachte dazu diese Hinweise:

http://sicher-ins-netz.info/wuermer/nw-wuermer.html
__________________
Grüße, Markus

Antwort

Themen zu Kompromittierung - Datenfluss
abstellen, antworten, danke, daten, datenfluss, download, eingabe, einzige, erfolg, kollege, kompromittierung, probleme, rechts, server, status, system, wahrscheinlich, werte, worte



Ähnliche Themen: Kompromittierung - Datenfluss


  1. SIM-Karten-Hack: Die Kompromittierung der Mobilfunknetze durch NSA/GCHQ
    Nachrichten - 20.02.2015 (0)
  2. Kompromittierung! ...oder Paranoia?
    Log-Analyse und Auswertung - 23.10.2010 (1)
  3. AZFPJND.exe (file missing) ...vermutete Kompromittierung
    Log-Analyse und Auswertung - 17.04.2010 (15)
  4. Definition: Technische Kompromittierung
    Anleitungen, FAQs & Links - 22.07.2009 (0)
  5. Technische Kompromittierung - Definition und entspr. Handlung
    Diskussionsforum - 24.11.2008 (18)
  6. Verdacht auf Kompromittierung. Kann Dateien nicht checken!
    Log-Analyse und Auswertung - 26.12.2007 (1)
  7. Backdoor = Kompromittierung???
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (7)
  8. Überwachung Datenfluss unter ISDN u. Win98
    Überwachung, Datenschutz und Spam - 23.06.2006 (2)
  9. Kompromittierung=keine Datensicherung
    Antiviren-, Firewall- und andere Schutzprogramme - 19.12.2005 (1)
  10. bitte nochmal draufschauen nach neuaufsetzen des systems nach kompromittierung
    Log-Analyse und Auswertung - 20.10.2005 (1)

Zum Thema Kompromittierung - Datenfluss - Werte Kollegen ! Mein System ist offensichtlich kompromitiert. Daten werden ausgetauscht, obwohl keine Eingabe oder Download etc. erfolgt. (siehe bei mir "Status" - rechts unten) Mal eine ganz bescheidene Frage. - Kompromittierung - Datenfluss...
Archiv
Du betrachtest: Kompromittierung - Datenfluss auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.