Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Vermutlich Proxyumleitung oder ähnliches

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.07.2007, 17:06   #1
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Hallo!
Da ich den Verdacht habe, dass sich bei mir irgendein bösartiges Programm eingeklinkt hat, frage ich mal nach euerer Meinung zu dem Hijackthis-Logfile.
Die automatische Auswertung auf hijackthis.de findet ein paar verdächtige Einträge in der Logfile:



O17 - HKLM\System\CCS\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen.
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8
Äußerst schädlich Fuzzy Algorithmusprüfung (1.55 / 5.00), Schädlich
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8 Kennen Sie die IP oder die Domäne '85.255.116.152,85.255.112.8' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8
Äußerst schädlich Fuzzy Algorithmusprüfung (1.6 / 5.00), Schädlich



Anscheinend wird hier irgendwie die Internetverbindung umgeleitet oder so. Kann das sein? Kann mir jemand einen Tipp geben, wie ich das komplett entfernen kann? Vielen Dank.








Logfile of HijackThis v1.99.1
Scan saved at 16:57:35, on 12.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}: NameServer = 85.255.116.152,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}: NameServer = 85.255.116.152,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C2EC657-9D9F-4051-8EB0-FCF3D8106496}: NameServer = 85.255.116.152,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.8
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 12.07.2007, 21:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Dein System ist kompromittiert, der bzw. die Schädlinge haben die TCP/IP-Einstellungen umgebogen, dein "Provider" sitzt nun in der Ukraine!

=> Whois record for 85.255.116.152

Ich würde das System umgehend vom Netz trennen und neu aufsetzen oder ein sauberes Image zurückspielen!

Übrigens ist das schon eine "ältere Masche" mit dem Umbiegen der TCP/IP-Einstellungen, kannst ja mal hier im Board nach "ukraine" suchen.
__________________

__________________

Alt 14.07.2007, 21:32   #3
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



hallo,

dank dir für deine antwort cosinus.

bevor ich das system neu installiere, versuche ich erst mal eine
reparatur, auch wenn das natürlich nicht die theoretisch ideale lösung ist.
habe - wie du vorgeschlagen hast - mal nach ukraine gesucht, und die
anweisungen in den entsprechenden threats durchgeführt:




1) fixwareout benutzt. das liefert folgenden report:
-------------------------------------------------




Username "Admin" - 2007-07-13 16:17:37 [Fixwareout edited 2007/07/05]

»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdklz.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D305A2F2-358C-4536-9A3C-11FBCC5F026B}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
C:\Casino Deleted
....
»»»»» Checking for older varients.
....
»»»»» Other
C:\WINDOWS\Temp\kdklz.ren 65057 04.08.2004

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\ATI-CPanel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Advanced Tools Check"="C:\\PROGRA~1\\NORTON~1\\AdvTools\\ADVCHK.EXE"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»







2) im abgesicherten modus escan durchlaufen lassen. ergebnis:
-------------------------------------------------







~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\044664F7//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\045B77A5.class//CryptFF infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\04A8508C//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\04BE7672//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A3767AF//CryptFF/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A4A6399//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A4E0D95//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

... (hab hier paar einträge rausgelöscht, alles im quarantine-ordner) ...

Datei C:\Programme\Norton AntiVirus\Quarantine\7CC54D04//CryptFF/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7CD61EF2//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7CDC72EB//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7EF74660//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7F0E6C47//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7F1B1439//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP462\A0150092.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150315.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 111281
Gescannte Dateien: 111281
Gefundene Viren: 120
Gefundene Viren: 120
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 218
Anzahl Fehler: 218
Dauer des Scans bisher: 01:19:16
Dauer des Scans bisher: 01:19:16


alle außer zwei gefundene viren befinden sich allerdings im norton-ordner,
und sind daher eher nicht gefährlich vermute ich. was meint ihr zu den infizierten dateistreams? kann die entsprechneden files nicht löschen.
komme an diese files nicht ran, da der ordner "system volume information" den zugriff verweigert.

noch ne frage: wenn nur der dns-server umgeändert war, konnte ja eigentlich nichts ausgespäht werden, oder? d.h. mein system hat auf ne namens-anfrage einfach die falsche ip bekommen - nicht aber der ganze internetverkehr wurde umgeleitet, nehm ich mal an.

vielen dank soweit.

achso, im anschluss hab ich nochmal HijackThis die bemängelten einträge fixen lassen. das neue log (ach nach mehren neustarts) ist jetzt so:


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Geändert von clemensmaurer (14.07.2007 um 22:04 Uhr)

Alt 16.07.2007, 16:14   #4
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



mhm. meint ihr, das ist das jetzt einigermaßen ok so?

Alt 16.07.2007, 18:16   #5
KarlKarl
/// Helfer-Team
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Hi,

da frag doch mal den, der dir empfohlen hat, den hier gegebenen Rat in den Wind zu schießen ob er dir dafür garantieren möchte, dass Du jetzt ein sicheres System hast.

Die meisten Escan-Funde sind zwar schon in Quarantäne gewesen, aber dorthin schließlich nicht aus dem liuftleeren Raum gelangt, sondern aus dienem System.


Alt 17.07.2007, 17:59   #6
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



naja, eine garantie kann man nach ner infektion natürlich nie geben; im grunde ja nicht mal ohne ne infektion gehabt (bemerkt) zu haben. mir gehts erst mal nur darum, die wahrscheinlichkeit zu minimieren, dass da noch was ist. wenn wieder irgendwelche symptome auftreten, installier ich halt neu.

dachte, vielleicht kann mir jemand nochmal einen rat geben zum escan-report. also wie ich mit den gefundenen files umgehe... die infizierten files im system volume information ordner, stören ja im grunde nicht, solange sie nicht ausgeführt werden, oder seh ich das falsch?

Alt 18.07.2007, 01:20   #7
KarlKarl
/// Helfer-Team
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Na wenn das so ist

Die Norton-Quarantäne leeren (warum bewahrst Du den Mist denn auf). Den Norton-Papierkorb ebenfalls leeren. Komplette Datenträgerbereinigung.

Solange Du nicht zurücksetzt, kommen die Dateien aus der Systemwiederherstellung nicht raus, stimmt. Wenn Du sie dennoch loswerden willst: Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst.

Und immer dran denken: Die ersten Symptome, die ein sorgfältig programmiertes Rootkit, Keylogger, usw. zeigen, können darin bestehen, dass das Bankkonto abgeräumt ist oder die Polizei morgens die Türe eintritt, um den Rechner zu beschlagnahmen. Egal, nicht mein Konto, nicht meine Türe und nicht mein Rechner

Alt 18.07.2007, 18:01   #8
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



ok, danke für die tipps, werde den kram dann mal löschen.

ja, vom prinzip her hast du natürlich recht. aber mach mir doch nicht sone angst... :-)

Alt 18.07.2007, 18:07   #9
Black PSP
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Was ist daran so schlimm wenn der Provider in der Ukraine ist? Was soll der Quatsch? Warum machen die das?

Alt 18.07.2007, 19:15   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Zitat:
Zitat von Black PSP Beitrag anzeigen
Was ist daran so schlimm wenn der Provider in der Ukraine ist? Was soll der Quatsch? Warum machen die das?
Da steckt viel kriminelle Energie hinter. Möglich ist, dass durch das Umbiegen der TCP/IP-Einstellungen der gesamte Traffic mitgeschnitten um z.B. Passwörter auszuspähen. Wer weiß was damit noch alles möglich ist
__________________
Logs bitte immer in CODE-Tags posten

Alt 18.07.2007, 19:18   #11
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



ich habe das so verstanden, dass lediglich als dns-server nicht mehr der meines providers, sondern ein fremder eingesetzt wird. dadurch bekommt z.b. mein browser, wenn ich eine url eintippe, eine falsche ip zu dieser url geliefert, und zeigt mir falsche seiten an, z.b. werbung, oder im schlimmsten falls gefälschte onlinebanking-angebote. oder steckt da noch mehr dahinter?

Alt 18.07.2007, 19:19   #12
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



hm der ganze traffic kann auch umgeleitet werden?

Alt 18.07.2007, 19:44   #13
Mobius07
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Hier ist eine Seite die voll mit threads wo das Problem von DNS-Weiterleitungen beschrieben ist.
http://www.trojaner-board.de/search....archid=1193129

Es ist durchaus möglich das Irgendwer in der Ukraine genau zu diesem Zeitpunkt mitverfolgt, was Du so alles schreibst oder welche Seiten Du besuchst. Als wie wenn jemand hinter Dir stehen würde um alles zu beobachten, um es mal so salopp zu formulieren. Und wie cosinus schon schrieb: Es sind z.T. Kriminelle, die versuchen z.B. an Gamecodes zu kommen, Passwörter herausfiltern, oder Kreditkarten-Nummern ausspähen wollen.

Alt 18.07.2007, 21:09   #14
clemensmaurer
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



der link funktioniert bei mir leider nicht ... könntest du ihn bitte nochmal überprüfen?

Alt 18.07.2007, 22:30   #15
Mobius07
 
Vermutlich Proxyumleitung oder ähnliches - Standard

Vermutlich Proxyumleitung oder ähnliches



Oki, machen wir es anders:

Geh oben auf die schwarze Kopfzeile, klicke auf "Suchen" , gib dieses nette Land zwischen Karpaten,Krim und schwarzen Meer ein: "Ukraine" , klicke auf <Los>

Lese Dir mal einge dieser threads durch und bilde Dir selber Deine Meinung.

Antwort

Themen zu Vermutlich Proxyumleitung oder ähnliches
ad-aware, adobe, antivirus, auswertung, bho, computer, dateien, desktop, drivers, einstellungen, entfernen, explorer, frage, hijack, internet explorer, komplett entfernen, microsoft, opera, programm, programme, security, security center, senden, software, symantec, system, träge, windows, windows xp



Ähnliche Themen: Vermutlich Proxyumleitung oder ähnliches


  1. Adware oder ähnliches
    Alles rund um Windows - 17.02.2015 (1)
  2. Unsicher ob GVU-Trojaner (oder ähnliches) noch auf dem Rechner ist oder ob dieser entfernt wurde.
    Mülltonne - 29.01.2015 (0)
  3. Ein Trojaner oder ähnliches
    Plagegeister aller Art und deren Bekämpfung - 25.12.2014 (7)
  4. GVU oder ähnliches --- Befall
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (15)
  5. Polizeivirus oder ähnliches?
    Log-Analyse und Auswertung - 13.03.2013 (17)
  6. Fehlermeldung oder ähnliches
    Alles rund um Windows - 24.02.2013 (6)
  7. Bios Trojaner oder was Ähnliches?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (20)
  8. Ist das Malware oder ähnliches?
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (21)
  9. Trojaner oder so was ähnliches?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2010 (3)
  10. Keylogger oder Ähnliches
    Plagegeister aller Art und deren Bekämpfung - 09.07.2009 (2)
  11. Verdacht auf Virus oder ähnliches
    Log-Analyse und Auswertung - 12.03.2009 (4)
  12. Zonealarm oder was ähnliches?
    Antiviren-, Firewall- und andere Schutzprogramme - 24.01.2009 (11)
  13. Zlob-Trojaner oder ähnliches?
    Plagegeister aller Art und deren Bekämpfung - 02.11.2008 (1)
  14. Wurm oder ähnliches eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 20.06.2007 (29)
  15. hab ich ein virus oder ähnliches ?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2006 (6)
  16. Hilfe! spyfalcon oder ähnliches
    Plagegeister aller Art und deren Bekämpfung - 12.05.2006 (2)
  17. CWS oder ähnliches?
    Log-Analyse und Auswertung - 14.12.2005 (2)

Zum Thema Vermutlich Proxyumleitung oder ähnliches - Hallo! Da ich den Verdacht habe, dass sich bei mir irgendein bösartiges Programm eingeklinkt hat, frage ich mal nach euerer Meinung zu dem Hijackthis-Logfile. Die automatische Auswertung auf hijackthis.de findet - Vermutlich Proxyumleitung oder ähnliches...
Archiv
Du betrachtest: Vermutlich Proxyumleitung oder ähnliches auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.