Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sowas habe ich noch nicht erlebt !

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.05.2005, 19:36   #1
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Hallo, habe folgendes Problem:

Hatte mir vor einer Weile einen fiesen Trojaner eingefangen "heuristik/trojan.keylogger" meldete AniVir. Habe dann an verschiedenen Orten Dateien ala "fna1040.bin" oder "fna1256.cab" usw. gefunden. Habe alles versucht, aber der Trojaner kam immer wieder. AntiVir fand den Trojaner an sich zwar nicht mehr wieder, aber diese "fna sonstwas"-Dateien tauchten immer wieder auf. Auch ein Neuaufsetzen hat nix gebracht. Da ich sowieso vorhatte mir eine neue Festplatte zu kaufen, habe ich das dann auch getan.

Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte. Ich habe auch in meiner FireWall (ZoneAlarm) komische "Attacken" beobachten können, von absolut kuriosen und teilweise ellenlangen Absenderadressen, hauptsächlich an die Ports 135-139, 445 und 1026-1027. Habe online einige Tests auf einschlägigen Seiten gemacht, die mir jedoch bestätigten, dass meine Ports "stealth" seien bzw. keine Gefahr besteht. Die Datein sind 100% Teil eines Trojaners, da ich sie vom ersten Auftauchen von eben diesem her noch kenne. Im Internet habe ich auch viele Infos gefunden, die bestätigen, dass diese "fna..."-Dateien zu Trojanern gehören. Daher habe ich jetzt 2 Fragen:

1. Wie kann irgendein Mensch (Hacker?) immer wieder diese Dateien auf meinen Rechner bringen, obwohl alles gelöscht wurde, eine neue Festplatte gekauft und keine unseriösen Seiten besucht wurden ?

2. Wie schließe ich die oben genannten Ports unter Windows 2000 ? Welche sollten sonst noch geschlossen werden ?

Wäre für jede Hilfe dankbar !

Alt 27.05.2005, 19:58   #2
felix1
/// Helfer-Team
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Mache mal das:
http://www.trojaner-board.de/showthread.php?t=17493


Zitat:
Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte.
Vielleicht hast Du sie beim Kopieren Deiner alten Daten mit überspielt
__________________


Geändert von felix1 (27.05.2005 um 20:09 Uhr)

Alt 27.05.2005, 20:03   #3
Yopie
Moderator, a.D.
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Waren vor der ersten Online-Verbindung sämtliche Patches installiert?

Bzgl. Ports schließen: http://ntsvcfg.de

Gruß
Yopie
__________________

Alt 27.05.2005, 20:11   #4
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Danke für die Antworten.

HijackThis habe ich benutzt, da wird aber nix gefunden.

Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.

Ich habe gerade gesehen, dass diese "fna..."-Datei auch vorhin erst erstellt wurde.

Wie kann sowas sein ? Kann mir jemand sowas nur anhand meiner IP auf meinen PC packen ?

Alt 27.05.2005, 20:15   #5
Yopie
Moderator, a.D.
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Zitat:
Zitat von hanseman
Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.
Zonealarm hätte eine Infektion eigentlich verhindern müssen. Aber das Programm taugt anscheinend noch weniger, als ich gedacht habe.

Du musst vor der ersten Verbindung die Patches und Service-Packs installieren. Also mit einem sauberen Rechner vorher runterladen und auf CD brennen, z.B. die Update-Packs von Winboard.org .

Ich vermute einen stinknormalen Netzwerkwurm. Poste mal das HJT-Logfile, und führe außerdem http://www.trojaner-board.com/showthread.php?t=17492 durch, und poste die Funde.

Gruß
Yopie


Alt 27.05.2005, 20:29   #6
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der Installation von Windows schon mit drauf ist. Ansonsten nur 2 Error von PhotoshopElements. Das war's, nix besonderes. Unten das Logfile von HijackThis. Danke für die Mühe !

P.S.: Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ?



Logfile of HijackThis v1.99.1
Scan saved at 20:30:05, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1493855B-988E-4EDC-80EC-9FA8EF0B57A9}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Alt 27.05.2005, 20:37   #7
Yopie
Moderator, a.D.
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Zitat:
Zitat von hanseman
Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der
Wenn escan jetzt schon fertig ist, dann hast du dich nicht an die Anleitung gehalten!

Zitat:
Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ?
http://ntsvcfg.de/easy/index.html
http://dingens.org

Gruß
Yopie

Alt 27.05.2005, 20:38   #8
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Heftige Attacken auf Ports wie 135, 445 oder 1026/27 kommen übrigens hauptsächlich von den vier Adressen:

1. 80.119.244.125 (Sent from TCP port 4316; Source DNS
127.244.119-80.rev.gaoland.net

2. 222.208.168.158 (Sent from UDP port 46351Source DNS unknown)

3. 61.152.198.79 (Sent from UDP port 48481; Source DNS unknown)

4. 80.118.247.52 (Sent from TCP port 2391, Source DNS
52-247-118-80.kaptech.net)

Alt 27.05.2005, 20:40   #9
Yopie
Moderator, a.D.
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Zitat:
Zitat von hanseman
Heftige Attacken auf Ports wie 135, 445 oder 1026/27 kommen übrigens hauptsächlich von den vier Adressen:
Das ist uninteressant, wenn alle Ports geschlossen sind und alle Updates aufgespielt sind.

Gruß
Yopie

Alt 27.05.2005, 20:43   #10
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



@ Yopie,

escan habe ich sofort nach dem Entdecken der kuriosen Datei durchgeführt (im abgesicherten Modus). Hat rund 1 Stunde gedauert, aber halt nix Besonderes gefunden.

Was sagst du zum oberen Logfile ? Sieht eigentlich ok aus, oder ?

Das Problem ist halt, dass diese "fna..." eine .bin Datei war und von keinem Virenprogramm erkannt wird. Auf meiner alten Festplatte war auch noch ne größere .cab-Datei, in der AntiVir den Trojaner dann erkannt hat. Diese fette .cab-Datei scheint man mir aber wohl anscheinend nicht einfach so "schicken" zu können (bis jetzt jedenfalls nicht, toi, toi, toi), trotzdem hat mich diese komische Datei und die ständigen "Attacken", die ich über ZoneAlarm von diesen komischen Adressen beobachte, beunruhigt.

Alt 27.05.2005, 20:46   #11
Yopie
Moderator, a.D.
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Wie siehts denn aus mit der genauen Meldung von Antivir?

Antivir neigt übrigens auch so hin- und wieder zu Fehlalarmen.

Gruß
Yopie

Alt 28.05.2005, 00:31   #12
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



AntiVir hat ja in diesem Fall nichts gemeldet, weil es sich um eine .bin-Datei handelte. Ich kannte die Datei jedoch von dem Trojaner, den ich auf der alten Festplatte hatte. Nur war auf dieser halt zusätzlich noch eine ca. 6,5 MB große .cab-Datei, diese war auf meiner neuen Festplatte jedoch nicht drauf. Deshalb auch keine Meldung von AntiVir. Habe die .bin-Datei einfach gelöscht und seitdem ist sie weg, aber wie gesagt, weiß ich nicht, wann die wiederkommt, da ich bei ZoneAlarm teils kuriose "Anfragen" an meine Ports beobachte.

Die Ports habe ich nun jedoch alle geschlossen. Was ich noch wissen müsste:

Wie beende ich den Client für Microsoft-Netzwerke, die Systemwiederherstellung und die Datei- und Druckerfreigabe in Windows 2000?

Danke !

P.S.: Ist das Logfile ok ?

Alt 28.05.2005, 02:23   #13
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Habe jetzt gerade erst den Ereignisdienst von Windows entdeckt und Beunruhigendes gefunden. Immer nach meiner Einwahl (bevor ich alle Ports geschlossen habe) steht folgende Meldung:

"Warnung! Die IP der Netzwerkkarte wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist ... ... ... ..."

Habe recherchiert und herausgefunden, dass die IP jemandem in den USA gehört.

Was soll ich davon halten ?

Alt 28.05.2005, 12:43   #14
hanseman
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Haaaalllloooooooo ???!!!

Alt 28.05.2005, 12:57   #15
Rene-gad
 
Sowas habe ich noch nicht erlebt ! - Standard

Sowas habe ich noch nicht erlebt !



Zitat:
Zitat von hanseman
Haaaalllloooooooo ???!!!
Kennst du hier jemanden, der dir eine Antowrt geben muss?
Ich könnte mir vorstellen, dass du 'ne unentdeckte Malware noch hast.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
Oder, wenn du nicht viel Zeit hast - Tabula rasa und neu aufsetzen. Ergebnis wird bestimmt besser.

Antwort

Themen zu Sowas habe ich noch nicht erlebt !
100%, alles gelöscht, antivir, dateien, festplatte, fiese, firewall, folge, frage, fragen, gekauft, gelöscht, hacker, hacker?, internet, kaufen, neue, neue festplatte, nicht mehr, online, ports, problem, rechner, seite, seiten, trojaner, trojaner eingefangen, windows, zonealarm



Ähnliche Themen: Sowas habe ich noch nicht erlebt !


  1. Noch jemand wach? Habe unnormale Einträge im Taskmanager und traue meinem PC nicht mehr....
    Log-Analyse und Auswertung - 23.09.2012 (2)
  2. HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung
    Log-Analyse und Auswertung - 11.07.2012 (29)
  3. Bundespolizeitrojaner entfernt aber irgendwie habe ich einige Funktionen immer noch nicht
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (1)
  4. XP REchner: kann nicht erkennen, ob ich immer noch Trojaner auf meinem Rechner habe
    Plagegeister aller Art und deren Bekämpfung - 13.09.2011 (43)
  5. Laptop läuft ständig hoch und 3 updates von Win werden nicht Installiert, hab ich sowas wie Virus?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2011 (36)
  6. Wie schütze ich mich gegen sowas? (bin nicht infiziert)
    Plagegeister aller Art und deren Bekämpfung - 24.04.2011 (2)
  7. Habe ich nun noch einen Trojaner oder nicht ?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (2)
  8. Habe mir das sowas eingefangen TR/PSW.Papras.AB Kann mir jemand sagen wie ich das weg bekomme
    Antiviren-, Firewall- und andere Schutzprogramme - 09.08.2010 (2)
  9. Habe ein Problem mit ICQ Virus oder sowas
    Log-Analyse und Auswertung - 19.04.2010 (4)
  10. habe ich noch viren oder nicht bitte um hilfe
    Mülltonne - 13.01.2008 (0)
  11. Habe viren oder sowas drauf,hilfe
    Log-Analyse und Auswertung - 04.12.2005 (31)
  12. Habe Trojaner oder sowas
    Log-Analyse und Auswertung - 10.07.2005 (1)
  13. Hilfe sowas hab ich noch nicht gesehen!!!
    Plagegeister aller Art und deren Bekämpfung - 13.12.2004 (3)
  14. Noch nie erlebt :-(
    Plagegeister aller Art und deren Bekämpfung - 06.12.2004 (3)
  15. Habe so viel auf einem Haufen noch nicht gesehen!!
    Plagegeister aller Art und deren Bekämpfung - 03.11.2004 (3)
  16. Win 2003 Server - Schon erlebt?
    Alles rund um Windows - 03.05.2003 (1)

Zum Thema Sowas habe ich noch nicht erlebt ! - Hallo, habe folgendes Problem: Hatte mir vor einer Weile einen fiesen Trojaner eingefangen "heuristik/trojan.keylogger" meldete AniVir. Habe dann an verschiedenen Orten Dateien ala "fna1040.bin" oder "fna1256.cab" usw. gefunden. Habe alles - Sowas habe ich noch nicht erlebt !...
Archiv
Du betrachtest: Sowas habe ich noch nicht erlebt ! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.