Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: distributed DENIAL OF SERVICE

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.01.2006, 17:43   #1
eram
 
distributed DENIAL OF SERVICE - Standard

distributed DENIAL OF SERVICE



Hallo...hoffentlich kann mir jemand weiterhelfen..ich bin mir ziemlich sicher das ich ein server für dos attack bin..hab ausversehen eine SEHR verdächtige datei ausgefüht..tja kommt anscheinend echt vor..und bekam jedes mal wenn ich das progamm für welches die exe bestimmt war ausgeführt hab dos attaks..daraufhin entfernte ich
-black box
-verifier bug
-beyond
von meinem computer..
in der zwischenzeit konnte ich nicht mit msn messenger ins netz, konnte bei google nichts suchen und meine mails nicht abrufen...
jetzt kann ich wieder mit diesen verbinden aber nur über proxy..
zusätzlich bekomme ich diverse andere attaks wie land und helkern...ständig..ich habe gelesen das virenprogramme die progs für dos attaks nicht erkennen oder nur bei standart ports..
meine hijack log :

Logfile of HijackThis v1.99.1
Scan saved at 18:08:19, on 17.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hide IP Platinum\hideippla.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\winrar\WinRAR.exe
C:\DOKUME~1\max\LOKALE~1\Temp\Rar$EX00.964\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 62.216.253.101:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A4C79A76-4D83-C87E-D90C-AA0BFA7B29BD} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hide IP Platinum] C:\Programme\Hide IP Platinum\hideippla.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136219850591
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


danke fü hilfe im voraus ...greetz eram

Alt 18.01.2006, 06:23   #2
stupormundi
 
distributed DENIAL OF SERVICE - Standard

distributed DENIAL OF SERVICE



Servus!
Auch wenn ich Deinen Erläuterungen möglicherweise nicht bis ins Letzte folgen konnte, hört es sich in der Summe reichlich suspekt an!
Zuerst noch zu HJT allgemein: Entpacke HJT in ein eigenes Verzeichnis - im Temporärordner wie derzeit bei Dir funktionieren die Backups nicht!
Im Logfile kann ich auf die Schnelle nichts entdecken - bis auf den eingetragenen Proxy in GB
Zitat:
netname: INTERHOUSEL3-ACORNSOFTWARE-UK
descr: Acorn Software LTD IP range at Redbus Interhouse
country: GB
admin-c: JS5049-RIPE
tech-c: JS5049-RIPE
status: ASSIGNED PA
mnt-by: REDBUS-MNT
source: RIPE # Filtered
person: Jonathan Selves
address: 43 Collingwood
address: FARNBOROUGH
address: Hants
address: GU14 6LX
phone: +44 1252 641078
e-mail: jselves@acornsoftware.co.uk
nic-hdl: JS5049-RIPE
mnt-by: REDBUS-MNT
source: RIPE # Filtered
% Information related to '62.216.248.0/21AS31155'
route: 62.216.248.0/21
descr: REDBUS-INTERHOUSE-UK-62.216.248.0-21
origin: AS31155
member-of: RS-INTERHOUSEL3
mnt-by: REDBUS-MNT
source: RIPE # Filtered
Diese Einträge
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 62.216.253.101:8080
...
O2 - BHO: (no name) - {A4C79A76-4D83-C87E-D90C-AA0BFA7B29BD} - (no file)
mit HJT im abgesicherten Modus fixen (<-- siehe Anleitung zu HJT: 'fix checked' anhaken)
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi
__________________

__________________

Antwort

Themen zu distributed DENIAL OF SERVICE
.com, acroiehelper.dll, adobe, bho, denial of service, exe, explorer, google, hijack, hijackthis, iexplore.exe, internet, internet explorer, kaspersky, log, logon.exe, nicht erkennen, nt.exe, programme, server, services.exe, software, suche, svchost.exe, system, temp, tuneup utilities, windows, windows xp, winlogon.exe



Ähnliche Themen: distributed DENIAL OF SERVICE


  1. Super service
    Lob, Kritik und Wünsche - 08.06.2014 (0)
  2. 28C3: Denial-of-Service-Attacken auf Web-Applikationen leicht gemacht
    Nachrichten - 29.12.2011 (0)
  3. Neues Denial-of-Service-Tool legt verschlüsselnde Server lahm
    Nachrichten - 25.10.2011 (0)
  4. SP1-Download: Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1
    Nachrichten - 25.02.2011 (0)
  5. service.exe Auslastung
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (12)
  6. Super Service!!!!
    Mülltonne - 04.08.2008 (2)
  7. service.exe probleme
    Plagegeister aller Art und deren Bekämpfung - 29.06.2008 (6)
  8. DDOS - Distributed Denial of Service für zu Internetabsturz
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (20)
  9. DDoS (Distributed Denial of Service)+Log File
    Log-Analyse und Auswertung - 30.10.2006 (5)
  10. Die service.exe
    Alles rund um Windows - 27.08.2006 (1)
  11. service.exe / Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 29.04.2006 (3)
  12. DDoS (Distributed Denial of Service)
    Plagegeister aller Art und deren Bekämpfung - 06.12.2005 (2)
  13. Distributed Denial of Service Attacken, Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 06.12.2005 (9)
  14. Outacya-Service!?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2005 (2)
  15. Statuscode 128/service.exe
    Log-Analyse und Auswertung - 19.09.2005 (2)
  16. service pack 1 und 2
    Alles rund um Windows - 04.05.2005 (2)
  17. kav-service
    Antiviren-, Firewall- und andere Schutzprogramme - 07.03.2003 (1)

Zum Thema distributed DENIAL OF SERVICE - Hallo...hoffentlich kann mir jemand weiterhelfen..ich bin mir ziemlich sicher das ich ein server für dos attack bin..hab ausversehen eine SEHR verdächtige datei ausgefüht..tja kommt anscheinend echt vor..und bekam jedes mal - distributed DENIAL OF SERVICE...
Archiv
Du betrachtest: distributed DENIAL OF SERVICE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.