Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2008, 15:44   #1
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hallo,

gestern ist mir aufgefallen, dass der Leerlauprozess mit dem Internet verbunden zu sein scheint. Herausgefunden habe ich das, als ich in Ausführen cmd eintippte und dort dann netstat -o eingab. Dort erschien dann:
Proto Lokale Adresse Remoteadresse Status PID
TCP Computername 65.55.192.93:http WARTEND 0
TCP Computername 65.55.184.125:http WARTEND 0

Pid 0= Leerlaufprozess (mit dem Taskmanager nachgeprüft)

Ich ging dann mit dem Firefox ins Internet und gab den netstat -o Befehl wieder in die Eingabeaufforderung ein. Die Liste wurde länger:
Proto Lokale Adresse Remoteadresse Status PID
TCP Computername:2277 localhost:2278 HERGESTELLT 868
TCP Computername:2278 localhost:2277 HERGESTELLT 868
TCP Computername:2279 localhost:2280 HERGESTELLT 868
TCP Computername:2280 localhost:2279 HERGESTELLT 868
TCP Computername:2285 localhost:32324 HERGESTELLT 868
TCP Computername:2290 localhost:32324 WARTEND 0
TCP Computername:2292 localhost:32324 WARTEND 0
TCP Computername:2301 localhost:32324 WARTEND 0
TCP Computername:2303 localhost:32324 WARTEND 0
TCP Computername:2304 localhost:32324 WARTEND 0
TCP Computername:2305 localhost:32324 WARTEND 0
TCP Computername:2309 localhost:32324 WARTEND 0
TCP Computername:2310 localhost:32324 WARTEND 0
TCP Computername:2311 localhost:32324 WARTEND 0
TCP Computername:2312 localhost:32324 WARTEND 0
TCP Computername:2313 localhost:32324 WARTEND 0
TCP Computername:2314 localhost:32324 WARTEND 0
TCP Computername:2318 localhost:32324 WARTEND 0
TCP Computername:2320 localhost:32324 WARTEND 0
TCP Computername:2322 localhost:32324 WARTEND 0
TCP Computername:2324 localhost:32324 WARTEND 0
TCP Computername:2326 localhost:32324 WARTEND 0
TCP Computername:2328 localhost:32324 WARTEND 0
TCP Computername:2330 localhost:32324 WARTEND 0
TCP Computername:2332 localhost:32324 WARTEND 0
TCP Computername:2334 localhost:32324 WARTEND 0
TCP Computername:2336 localhost:32324 WARTEND 0
TCP Computername:2338 localhost:32324 WARTEND 0
TCP Computername:2340 localhost:32324 WARTEND 0
TCP Computername:2344 localhost:32324 WARTEND 0
TCP Computername:2345 localhost:32324 WARTEND 0
TCP Computername:2349 localhost:32324 WARTEND 0
TCP Computername:2351 localhost:32324 WARTEND 0
TCP Computername:32324 localhost:2281 WARTEND 0
TCP Computername:32324 localhost:2285 HERGESTELLT 1632
TCP Computername:32324 localhost:2287 WARTEND 0
TCP Computername:32324 localhost:2289 WARTEND 0
TCP Computername:32324 localhost:2293 WARTEND 0
TCP Computername:32324 localhost:2297 WARTEND 0
TCP Computername:32324 localhost:2298 WARTEND 0
TCP Computername:2286 195.50.169.74:http HERGESTELLT 1632
TCP Computername:2316 wxw.ambiweb.de:http WARTEND 0


Der Leerlaufprozess ist nun öfters aufegeführt. Hinzu kommen noch die beiden fett geschriebenen Einträge. ich weis nicht warum dahin eine Verbindung steht.

Nach 10 Minuten hab ich nochmal Netstat -o einegegben und das erschien:

Proto Lokale Adresse Remoteadresse Status PID
TCP Computername:2278 localhost:2277 WARTEND 0
TCP Computername:2359 localhost:32324 WARTEND 0
TCP Computername:2361 localhost:32324 WARTEND 0
TCP Computername:2363 localhost:32324 WARTEND 0
TCP Computername:2365 localhost:32324 WARTEND 0
TCP Computername:2367 localhost:32324 WARTEND 0
TCP Computername:2369 localhost:32324 WARTEND 0
TCP Computername:2371 localhost:32324 WARTEND 0
TCP Computername:2375 localhost:32324 WARTEND 0
TCP Computername:2376 localhost:32324 WARTEND 0
TCP Computername:2379 localhost:32324 WARTEND 0
TCP Computername:2380 localhost:32324 WARTEND 0
TCP Computername:2381 localhost:32324 WARTEND 0
TCP Computername:2382 localhost:32324 WARTEND 0
TCP Computername:2384 localhost:32324 WARTEND 0
TCP Computername:2389 localhost:32324 WARTEND 0
TCP Computername:2391 localhost:32324 WARTEND 0
TCP Computername:2393 localhost:32324 WARTEND 0
TCP Computername:32324 localhost:2355 WARTEND 0
TCP Computername:32324 localhost:2357 WARTEND 0
TCP Computername:32324 localhost:2372 WARTEND 0
TCP Computername:32324 localhost:2395 WARTEND 0
TCP Computername:32324 localhost:2396 WARTEND 0
TCP Computername:32324 localhost:2397 WARTEND 0
TCP Computername:32324 localhost:2398 WARTEND 0
TCP Computername:32324 localhost:2399 WARTEND 0
TCP Computername:2370 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2373 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2377 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2378 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2383 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2385 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2386 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2387 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2388 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2390 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2392 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2394 dd17134.kasserver.com:http WARTEND 0[/B]

Der Leerlaufprozess ist wieder aufgelistet. Die fett geschriebenen Einträge finde ich auch etwas komisch.

Jetzt meine Frage:
Warum ist der Leerlaufprozess mit dem Internet verbunden?
Könnte daran ein Trojaner schuld sein oder hat sich vielleicht jemand in mein System eingehackt?

Mein Betriebssystem ist Windows Xp.
Habe mal einen Portscan mit dem Local Port Scanner gemacht und der zeigt mir an das die Ports: 25, 80, 110, 135, 143, 445, 1025 geöffnet sind. Könnten die zum Hacken verwendet werden oder kann es sein das ein Trojaner sich über einen mit dem Internet verbindet und dazu als Tarnung den Leerlaufprozess verwendet?

Für Hilfe wäre ich sehr dankbar.

Mit freundlichen Grüßen
Damnek

Alt 16.08.2008, 18:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Cool

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hallo

Für weitere Analysen:

1.) Poste ein HijackThis Logfile

2.) Backlight und Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 16.08.2008, 18:38   #3
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hallo,

hier der HijackThis Log. Einmal vom Konto mit den Administartorrechten und von meinem Eingeschränkten Konto (weis nicht ob das eine unterschied macht, darum)

Admin Konto Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:08, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://windowsupdate.microsoft.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 6792 bytes
         
Eingeschränktes Konto Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:01, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "e:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 5958 bytes
         
Der Rest folgt später!!!
__________________

Alt 16.08.2008, 18:44   #4
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Blacklight Log:
Code:
ATTFilter
08/16/08 18:39:58 [Info]: BlackLight Engine 1.0.70 initialized
08/16/08 18:39:58 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/16/08 18:39:58 [Note]: 7019 4
08/16/08 18:39:58 [Note]: 7005 0
08/16/08 18:40:06 [Note]: 7006 0
08/16/08 18:40:06 [Note]: 7011 2632
08/16/08 18:40:06 [Note]: 7035 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:08 [Note]: FSRAW library version 1.7.1024
08/16/08 18:40:50 [Note]: 2000 1012
08/16/08 18:41:29 [Note]: 7007 0
         

Alt 16.08.2008, 20:11   #5
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hallo,

ahh

Hab Malware Bytes laufen lassen. hat auch eine Infektion gefunden. fake.beep.sys oder so steht im log. Dann wolt ich das entfernen lassen es ging aber nicht. Da kam dann es konnte nicht alles volständig entfernt werden oder so dann konnte man auf ja oder nein klicken ich hab aus gewohnheit auf ja gedrückt (blöde angewohnheit ) und dann hat der Pc rebootet. Jetzt hab ich keine Verbindung ins internet mehr und beim treiber meiner Wlan Karte steht: no card installed. oder so. Ich muss jetzt das Malware Bytes logfile Abschreiben. Sitz gerade am anderen pc und will das logfile nicht rüberkopieren da ich angst habe den auch noch zu infizieren.

Mit freundlichen Grüßen
Damnek


Alt 16.08.2008, 20:23   #6
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hier ist das logfeile. ich hab es abgeschreiben möglicherweise hat es schreibfehler die infizierte datei hab ich aber ganz bestimmt rictig geschrieben:Malwarebytes Antimalware
datenbank Version: 1058
Windows 5.1.2600 Service Pack 3

19:46:21 16.08.2008
mbam-log-8-16-208 (19-56-20).txt

Scan Methode: Vollständiger Scan (C:\|E:\)
Dursuchte Objekte: 141138
Laufzeit: 57 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte registrierungschlüssel: 0
Infizierte registrierungswerte: 0
Infizierte dateiobjekte der registrierung. 0
Infizierte Verzeicnisse: 0
Infizierte dateien : 1

Infizierte Speicherprozesse
(Keine bösartigen objekte gefunden)

Infizierte Speichermodule
(Keine bösartigen objekte gefunden)

Infizierte registrierungschlüssel
(Keine bösartigen objekte gefunden)

Infizierte registrierungswerte
(Keine bösartigen objekte gefunden

Infizierte dateiobjekte der registrierung
(Keine bösartigen objekte gefunden

Infizierte Verzeicnisse
(Keine bösartigen objekte gefunden

Infizierte dateien
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> No action taken.

Alt 16.08.2008, 20:58   #7
KarlKarl
/// Helfer-Team
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hi,

auch auf die Gefahr hin, eine Abmahnung zu kassieren, möchte ich dir empfehlen, von Programmen wie netstat und Portscannern die Finger zu lassen, wenn du die dahinter stehenden Techniken nicht studiert hast und die Ergebnisse nicht deuten kannst. Z.B. hast Du dir einen Teil deiner offenen Ports selber in dein System "gehackt", als Du Skype installiert hast Und wenn du anshceined was gegen Leute hast, die hacken, wieso fragst Du dann in einem Forum nach, in dem Support zu leisten, ebenfalls eine Art von hacken ist?

Karl

Alt 16.08.2008, 22:37   #8
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



hallo KarlKarl,

Dein Posting passt jetzt irgendwie gar nicht. Entweder du schreibst was, was mir in meiner misslichen lage hilft oder gar nichts.
1. ist netstat kein programm sondern ein Befehl für die Eingabeaufforderung
2. den Portscanner hab ich heute installiert weil ich den verdacht hab das sich jemand bei mir einhackt oder ich einen trojaner hab. ich wollte sehen ob es irgendwelche geöffneten Ports hat die ein Hacker/trojaner nutzen kann.

Zitat:
Und wenn du anshceined was gegen Leute hast, die hacken, wieso fragst Du dann in einem Forum nach, in dem Support zu leisten, ebenfalls eine Art von hacken ist?
Das kapier ich jetzt nicht. Köntest du das für mich erläutern/begründen?



BTT: Werd jetzt mal versuchen mein Internet wieder zum laufen zu bringen.

EDIT: So Internet geht plötzlich wieder. Jetzt ist auch wieder wenn ich auf Start drücke "Verbinden mit" angezeigt. Komisch. Ist es eigentlich normal das der Zugriff auf den Ordner C:\Windows\System32\dllcache verweigert wird?

EDIT2: Oh seh grad das ich mic am Konto mit den Eingeschränkten Recdhten angemeldet hab. Ich versuchs mal mit dem Konto das Admi Rechte hat.

EDIT3: Hab die Beep.sys aus dem dllcache bei Virustotal hochgeladen. Ergebnis:0/36 Hier die MD5: da1f27d85e0d1525f6621372e7b685e9
Achja von meiner Festplatte wird in letzter Zeit immer öfters einfach so zugegriffen. Also mitten drin wenn ich eigentlich gar nichts mach fängt die an los zu rattern (also richtig laut). Das geht ne Minute dann is wieder ruhe. manchmal kommt ein paar Minuten später das selbe wieder. Werd jetzt mal Combofix laufen lassen. Noch ne frage: ich hab nach der beep.sys datei über die Windows Suche gesucht. Hat aber nur die im system32\drivers Ordner gefunden. nicht die im dllcache. hat das was zu bedeuten?

Mit freundlichen Grüßen
Damnek

Geändert von Damnek (16.08.2008 um 23:01 Uhr)

Alt 17.08.2008, 00:35   #9
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



guten Abend,

So Combofix hab ich ausgeführt. Es hat mir die Datei _desktop.ini gelöscht. Als ich dann das Logfile gesucht hab ist mir der Ordner QooBox aufgefallen. Scheint von Combofx zu sein. Hab dann mal reingeschaut. Da ist ein Ordner Quarantine oder so darin ist ein Ordner C und darin ein Ordner Windows darin widerrum ist ein Ordner Options und in diesem ist der Ordner Cags enthalten. Darin liegt die _desktop.ini.vir. Aber warum hat die Datei eine doppelte dateiendung?

Hier mal der Combofix Log:
Code:
ATTFilter
ComboFix 08-08-15.04 - Admin 2008-08-17  0:11:55.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\OPTIONS\CABS\_desktop.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-16 bis 2008-08-16  ))))))))))))))))))))))))))))))
.

2008-08-16 18:55 . 2008-08-16 18:55	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-16 18:55 . 2008-08-16 18:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-08-16 18:55	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-16 18:55 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-16 14:31 . 2008-08-16 14:49	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\.zenmap
2008-08-16 14:30 . 2008-08-16 14:30	<DIR>	d--------	C:\Programme\Nmap
2008-08-16 14:27 . 2008-08-16 14:27	<DIR>	d--------	C:\nmap-4.68
2008-08-16 13:37 . 2008-08-16 13:37	<DIR>	d--------	C:\Programme\LPS
2008-08-16 13:22 . 2008-08-16 13:22	<DIR>	d--------	C:\Programme\Wireshark
2008-08-16 13:22 . 2008-08-16 13:22	<DIR>	d--------	C:\Programme\WinPcap
2008-08-16 13:21 . 2008-08-16 13:21	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Wireshark
2008-08-14 21:49 . 2008-08-14 21:49	<DIR>	d--------	C:\WINDOWS\Logs
2008-08-14 21:45 . 2008-08-14 21:45	<DIR>	d--------	C:\WINDOWS\F579118563414E21A47F41B57AC749B5.TMP
2008-08-14 21:29 . 2008-08-14 21:29	<DIR>	d--------	C:\Programme\NVIDIA Corporation
2008-08-14 21:21 . 2008-08-17 00:08	199,523	--a------	C:\WINDOWS\system32\nvapps.xml
2008-08-14 21:20 . 2008-08-14 21:20	<DIR>	d--------	C:\WINDOWS\nview
2008-08-14 21:20 . 2008-07-29 18:05	453,152	--a------	C:\WINDOWS\system32\NVUNINST.EXE
2008-08-14 21:20 . 2008-08-02 12:20	453,152	--a------	C:\WINDOWS\system32\nvudisp.exe
2008-08-14 21:20 . 2008-08-02 12:20	18,335	--a------	C:\WINDOWS\system32\nvdisp.nvu
2008-08-13 18:01 . 2008-08-13 18:01	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-08-13 17:51 . 2008-08-13 17:51	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs
2008-08-13 15:22 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 15:21 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-11 08:35 . 2008-08-17 00:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-10 15:05 . 2008-08-10 15:05	58	--a------	C:\WINDOWS\nfsc_patch.ini
2008-08-07 16:02 . 2008-08-07 16:02	46,536	--a------	C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-08-07 16:02 . 2008-08-07 16:02	32,200	--a------	C:\WINDOWS\system32\drivers\HookCentre.sys
2008-08-07 16:01 . 2008-08-07 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-08-07 16:01 . 2008-08-07 16:01	41,928	--a------	C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2008-08-07 16:01 . 2008-08-07 16:01	19,328	--a------	C:\WINDOWS\system32\drivers\GDNdisIc.sys
2008-08-07 16:00 . 2008-08-07 16:01	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\G DATA
2008-08-07 16:00 . 2008-08-07 16:02	<DIR>	d--------	C:\Programme\G DATA InternetSecurity
2008-08-07 16:00 . 2008-08-07 16:00	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InstallShield
2008-08-07 15:54 . 2008-08-07 15:54	<DIR>	d--------	C:\Programme\CCleaner
2008-08-01 11:05 . 2008-08-01 11:05	70,936	--a------	C:\WINDOWS\system32\PhysXLoader.dll
2008-07-31 10:15 . 2008-06-26 17:15	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Admin\Vorlagen
2008-07-31 10:15 . 2008-06-26 18:11	<DIR>	dr-------	C:\Dokumente und Einstellungen\Admin\Startmenü
2008-07-31 10:15 . 2008-06-26 18:11	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Admin\Netzwerkumgebung
2008-07-31 10:15 . 2008-08-17 00:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen
2008-07-31 10:15 . 2008-07-31 10:15	<DIR>	dr-------	C:\Dokumente und Einstellungen\Admin\Favoriten
2008-07-31 10:15 . 2008-08-17 00:06	<DIR>	dr-------	C:\Dokumente und Einstellungen\Admin\Eigene Dateien
2008-07-31 10:15 . 2008-06-26 18:11	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Admin\Druckumgebung
2008-07-31 10:15 . 2008-08-07 15:39	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Comodo
2008-07-31 10:15 . 2008-08-16 18:55	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten
2008-07-31 10:15 . 2008-08-17 00:07	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin
2008-07-31 10:15 . 2008-04-14 07:52	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-07-30 14:13 . 2008-07-30 14:13	<DIR>	d--------	C:\WINDOWS\Sun
2008-07-30 14:13 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-07-30 14:12 . 2008-07-30 14:13	<DIR>	d--------	C:\Programme\Java
2008-07-30 14:11 . 2008-07-30 14:11	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-07-29 21:33 . 2008-08-05 17:17	250	--a------	C:\WINDOWS\gmer.ini
2008-07-29 20:36 . 2008-08-07 15:39	<DIR>	d--------	C:\Programme\COMODO
2008-07-29 19:58 . 2008-08-04 22:28	<DIR>	d--------	C:\Sandbox
2008-07-29 15:20 . 2008-07-29 15:20	<DIR>	d--------	C:\Programme\Sandboxie
2008-07-29 15:20 . 2008-08-13 17:50	2,384	--a------	C:\WINDOWS\Sandboxie.ini
2008-07-28 20:25 . 2008-07-28 20:25	0	--a------	C:\WINDOWS\msicpl.ini
2008-07-27 19:52 . 2008-07-27 19:52	<DIR>	d--------	C:\Programme\Audacity
2008-07-24 09:05 . 2008-07-24 09:05	304,408	--a------	C:\WINDOWS\system32\PhysX.cpl
2008-07-23 22:51 . 2008-07-23 22:51	<DIR>	d--------	C:\Programme\Trend Micro
2008-07-22 15:51 . 2008-07-22 16:39	1,333,280	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-22 15:51 . 2008-07-22 16:39	17,744	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-22 15:32 . 2008-07-22 15:50	4,212	---h-----	C:\WINDOWS\system32\zllictbl.dat
2008-07-22 15:31 . 2008-07-24 15:02	<DIR>	d--------	C:\WINDOWS\Internet Logs
2008-07-22 15:18 . 2008-08-07 15:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-07-20 13:33 . 2008-07-24 15:02	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe(2)
2008-07-17 23:09 . 2008-07-17 23:09	<DIR>	d--------	C:\Programme\Windows Defender
2008-07-17 16:47 . 2008-07-17 16:47	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Tobit
2008-07-17 16:47 . 2008-07-09 15:43	1,553,160	--a------	C:\WINDOWS\CICUnins.exe
2008-07-17 16:47 . 2008-01-10 12:49	554,496	--a------	C:\WINDOWS\system32\dvmsg.dll
2008-07-17 16:44 . 2007-04-17 11:32	2,455,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-07-17 16:44 . 2007-03-08 07:09	1,040,384	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-07-17 16:44 . 2008-06-23 18:14	383,488	-----c---	C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-07-17 16:44 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-17 16:44 . 2008-06-23 18:14	267,776	-----c---	C:\WINDOWS\system32\dllcache\iertutil.dll
2008-07-17 16:44 . 2008-06-23 11:20	13,824	-----c---	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-07-17 16:43 . 2008-06-23 18:14	6,066,176	-----c---	C:\WINDOWS\system32\dllcache\ieframe.dll
2008-07-17 16:43 . 2008-06-23 18:14	459,264	-----c---	C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-07-17 16:43 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-07-17 16:43 . 2008-06-23 18:14	63,488	-----c---	C:\WINDOWS\system32\dllcache\icardie.dll
2008-07-17 16:43 . 2008-06-23 18:14	52,224	-----c---	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-07-17 16:41 . 2008-07-17 16:41	0	--a------	C:\WINDOWS\nsreg.dat
2008-07-17 16:37 . 2008-07-17 16:37	32	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-07-17 16:34 . 2008-07-17 16:34	<DIR>	d--------	C:\Programme\Skype
2008-07-17 16:34 . 2008-07-17 16:34	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-07-17 16:33 . 2008-07-17 16:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-17 16:29 . 2008-08-07 15:45	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-17 16:08 . 2008-07-17 16:08	<DIR>	d--------	C:\Programme\abit
2008-07-17 16:07 . 2006-12-18 11:30	556,832	--a------	C:\WINDOWS\system32\drivers\aw5006.sys
2008-07-17 16:07 . 2006-12-18 11:30	556,832	--a------	C:\WINDOWS\system32\aw5006.sys
2008-07-17 16:07 . 2006-12-18 14:24	10,397	--a------	C:\WINDOWS\system32\net2425.inf
2008-07-17 16:07 . 2006-06-05 00:01	26	--a------	C:\WINDOWS\system32\net2425.cat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 08:15	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-14 19:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-14 19:22	---------	d-----w	C:\Programme\AGEIA Technologies
2008-08-13 15:41	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-07 14:01	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-31 08:41	68,616	----a-w	C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41	238,088	----a-w	C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40	509,448	----a-w	C:\WINDOWS\system32\XAudio2_2.dll
2008-07-28 18:22	614,400	----a-w	C:\WINDOWS\system32\msvcr80.dll
2008-07-14 20:51	74,752	----a-w	C:\WINDOWS\ST6UNST.EXE
2008-07-14 20:51	253,952	------w	C:\WINDOWS\Setup1.exe
2008-07-14 20:51	---------	d-----w	C:\Programme\PCGH Oblivion-Tuner
2008-07-12 16:15	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-07-12 06:18	467,984	----a-w	C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18	3,851,784	----a-w	C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18	1,493,528	----a-w	C:\WINDOWS\system32\D3DCompiler_39.dll
2008-07-08 17:28	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-06 12:41	278,728	----a-w	C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-06 12:41	25,416	----a-w	C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-05 10:08	107,888	----a-w	C:\WINDOWS\system32\CmdLineExt.dll
2008-07-01 18:46	---------	d-----w	C:\Programme\Microsoft Works
2008-07-01 18:36	---------	d-----w	C:\Programme\Microsoft Works Suite 2001
2008-07-01 11:30	---------	d-----w	C:\Dokumente und Einstellungen\Ann-Kathrin\Anwendungsdaten\Logitech
2008-06-29 13:22	---------	d-----w	C:\Programme\7-Zip
2008-06-28 12:54	15,600	----a-w	C:\WINDOWS\gdrv.sys
2008-06-28 12:52	---------	d-----w	C:\Programme\Gigabyte
2008-06-28 12:52	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-26 17:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-06-26 17:30	---------	d-----w	C:\Programme\Logitech
2008-06-26 17:17	315,392	----a-w	C:\WINDOWS\HideWin.exe
2008-06-26 17:17	---------	d-----w	C:\Programme\Realtek
2008-06-26 17:15	---------	d-----w	C:\Programme\Intel
2008-06-26 15:17	---------	d-----w	C:\Programme\Online-Dienste
2008-06-26 15:17	---------	d-----w	C:\Programme\microsoft frontpage
2008-06-26 15:16	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51	361,600	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40	138,496	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08	225,856	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelTraditionalChinese.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelSwedish.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelSpanish.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelSimplifiedChinese.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelPortugese.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelKorean.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelJapanese.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelGerman.dll
2008-06-11 07:02	58,648	----a-w	C:\WINDOWS\system32\AgCPanelFrench.dll
2008-06-05 06:58	197,912	----a-w	C:\WINDOWS\system32\physxcudart_20.dll
2008-05-30 12:19	507,400	----a-w	C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18	238,088	----a-w	C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17	65,032	----a-w	C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17	25,608	----a-w	C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11	467,984	----a-w	C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11	3,850,760	----a-w	C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11	1,491,992	----a-w	C:\WINDOWS\system32\D3DCompiler_38.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtrl.exe" [2008-04-27 15:22 512512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08 1953792]
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 12:03 94208]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2000-07-12 21:15 24576]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [2000-07-22 00:55 28739]
"AirPaceWifi"="C:\Programme\abit\abit uGuru\AirPaceWifi.exe" [2006-12-18 10:40 2236416]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 12:59 1193648]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 13:28 603720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-08-02 12:20 13570048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-08-02 12:20 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 11:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 94208 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-08-02 12:20 1657376 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneV]
--a------ 2007-04-26 15:50 24576 C:\Programme\Gigabyte\ET5\ETcall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-08-03 09:44 529968 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\Win32\\RpcDataSrv.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP2\\RpcSandraSrv.exe"=
"E:\\Programme\\ICQ 6\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=

R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2008-08-07 16:01]
S2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 11:45]
S2 AVKService;G DATA Scheduler;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2008-02-07 05:26]
S2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-02-05 12:26]
S2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-08-07 16:01]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
S3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\aw5006.sys [2006-12-18 11:30]
S3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-12-12 12:28]
S3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-08-07 16:02]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-08-07 16:02]
S3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-04-27 15:22]


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-16 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\fatp6ef4.default\
FF -: plugin - E:\Programme\Mozilla Firefox\plugins\npnul32.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 00:13:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17  0:14:08
ComboFix-quarantined-files.txt  2008-08-16 22:14:06

Pre-Run: 13 Verzeichnis(se), 25,090,809,856 Bytes frei
Post-Run: 15 Verzeichnis(se), 25,130,340,352 Bytes frei

252	--- E O F ---	2008-08-16 10:06:24
         
Hab Combofix vom Konto mit den Administratorrechten gestartet. Soll ich, falls es geht, Combofix vom Konto mit den Eingeschränkten Benutzerechten nochmal starten?

Achja die Datei die von Malware Bytes erkannt wurde (beep.sys), kann ich immernoch nicht löschen. Zumindest nicht über Malware Bytes. Hab aber mal versucht die Datei manuell zu löschen, dass ging. Hab sie aber wiederhergestellt (könnte ja irgend etwas beeinträchtigen). Was ist mit der _desktop.ini warum wurde die von Combofix gelöscht?

Mit freundlichen Grüßen
Damnek

Alt 17.08.2008, 02:26   #10
KarlKarl
/// Helfer-Team
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Ich finde ihn schon passend. Ok vielleicht auch etwas provokant, aber das liegt ab und wann in meiner Art. Mich empören Leute immer mehr, die mit Portscannern und ähnlichem rumspielen ohne einen Schimmer technischen Background zu haben.

Auf meinem System liegt in system32 die Datei netstat.exe und das ist bestimmt ein Programm. Vermutlich ist das auf deinem System ebenso. Um ein Programm zu sein, muss man nicht mehrere GByte auf der Platte belegen und ein Fenster mit 1000 Stellen zum klicken haben. Gib in der Eingabeaufforderung mal "C:\Programme\Mozilla Firefox\firefox.exe" (mit den "", ich hoffe er ist bei dir auch in diesem Ordner installiert, sonst bitte anpassen) ein. Kein Programm, nur ein Befehl für die Eingabeaufforderung. Sag mir wo dein fettestes Programm installiert ist und ich führe dir vor, dass es nur ein Befehl für die Eingabeaufforderung ist.

Einen Teil der Löcher hast Du dir mit Skype gerissen. Port 80 z.B. Dann habe ich den Verdacht, dass dein Portscanner wohl auch ein paar Sachen übersehen hat. Jedenfalls habe ich noch kein Skype-belastetes System gescannt, auf dem außer dem 80 nicht auch der 443 offen gewesen wäre. Plus irgendwelche weiteren Ports an zufälliger Stelle. Dann habe ich deinem Portscanner etwas hinterher gegoogelt, aber spätestens bei "Scan your computer for open/listening ports used by hackers" die Schnauze voll bekommen. Kompletter Blödsinn an der Wahl eines bestimmten Ports die Nutzung, ob gut/böse zu erkennen (Du verbindest mit "Hacker" ja offensichtlich "böse", zugestanden, damit bewegst Du dich im Bild-Mainstream).

Zitat:
Entweder du schreibst was, was mir in meiner misslichen lage hilft oder gar nichts.
Ich sehe aber gar nicht, dass Du in einer misslichen Lage wärst.

eine beep.sys mit einem MD5 von da1f27d85e0d1525f6621372e7b685e9 ist ok. Die im system32\dllcache ist sowieso nur eine Art Backup, entscheidend ist die in system32\drivers, die solltest Du auch noch mal prüfen. Dass aber Malwarebytes die in system32\dllcache angemeckert hat, ist schon mal eine Falscherkennung.

Benutzerkonten mit eingeschränkten Rechten haben keinen Zugriff auf system32\dllcache, das ist normal.

Die Festplattenzugriffe finde ich auch nicht beunruhigend. Da gibt es eine Menge Möglichkeiten. Auch wenn Du gerade nichts an deinem Computer machst, läuft da eine Menge Software, die immer aktiv ist. Virenscanner, das Betriebssystem, usw. Und da Du Skype laufen hast, möchte ich nur mal so am Rande darauf hinweisen, dass niemand so genau weiß was das Programm eigentlich macht. Es wird auch darüber diskutiert ob es nicht genutzt werden kann deine Festplatte zu durchsuchen.

Ich gehe auch davon aus, dass dein System ziemlich zugemüllt ist. Im Laufe von nicht mal einem Monat durch mindestens drei Firewalls gegangen, diverse Systemwiederherstellungen, die Probleme häufen sich (siehe deine bisherigen Threads). Vielleicht einfach mal wieder richtig neu installieren, erfahrungsgemäß rennt es dann wieder wie ein junger Gott.

Alt 17.08.2008, 14:17   #11
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Ich finde ihn schon passend. Ok vielleicht auch etwas provokant, aber das liegt ab und wann in meiner Art. Mich empören Leute immer mehr, die mit Portscannern und ähnlichem rumspielen ohne einen Schimmer technischen Background zu haben.
Ich spiel nicht mit Portscannern sondern hab nur die Ports an meinenm Pc scannen lassen. Wofür braucht man da einen einen technischen Background? Für sowas hab ich google. Und auserdem hatte ich ja den Verdacht das sich jemand eingehackt hatte ja schon bevor ich die Portscanns machte. Nämlich da als bei netstat -o stand das pid 0 wartend ist oder so. Das kam mir komisch vor weil pid 0 ja laut taskmanager der leerlaufprozess ist

Zitat:
Auf meinem System liegt in system32 die Datei netstat.exe und das ist bestimmt ein Programm. Vermutlich ist das auf deinem System ebenso. Um ein Programm zu sein, muss man nicht mehrere GByte auf der Platte belegen und ein Fenster mit 1000 Stellen zum klicken haben. Gib in der Eingabeaufforderung mal "C:\Programme\Mozilla Firefox\firefox.exe" (mit den "", ich hoffe er ist bei dir auch in diesem Ordner installiert, sonst bitte anpassen) ein. Kein Programm, nur ein Befehl für die Eingabeaufforderung. Sag mir wo dein fettestes Programm installiert ist und ich führe dir vor, dass es nur ein Befehl für die Eingabeaufforderung ist.
Ok da lag ich halt falsch.

Zitat:
Einen Teil der Löcher hast Du dir mit Skype gerissen. Port 80 z.B. Dann habe ich den Verdacht, dass dein Portscanner wohl auch ein paar Sachen übersehen hat. Jedenfalls habe ich noch kein Skype-belastetes System gescannt, auf dem außer dem 80 nicht auch der 443 offen gewesen wäre. Plus irgendwelche weiteren Ports an zufälliger Stelle. Dann habe ich deinem Portscanner etwas hinterher gegoogelt, aber spätestens bei "Scan your computer for open/listening ports used by hackers" die Schnauze voll bekommen. Kompletter Blödsinn an der Wahl eines bestimmten Ports die Nutzung, ob gut/böse zu erkennen (Du verbindest mit "Hacker" ja offensichtlich "böse", zugestanden, damit bewegst Du dich im Bild-Mainstream).
Ich hab auser den Local PortScanner auch noch Nmap ausprobiert. Und ich verbinde mit Hacker nicht unbedingt böse. Die Antiviren Firmen haben ja auch Hacker angestellt um ihre Programme zu prüfen also sind sie gut.
Das Skype zeugs kommt runter. Wollt ich eh schon machen seit das mit der Backdoor darin bekannt wurde.

Zitat:
Ich sehe aber gar nicht, dass Du in einer misslichen Lage wärst.

eine beep.sys mit einem MD5 von da1f27d85e0d1525f6621372e7b685e9 ist ok. Die im system32\dllcache ist sowieso nur eine Art Backup, entscheidend ist die in system32\drivers, die solltest Du auch noch mal prüfen. Dass aber Malwarebytes die in system32\dllcache angemeckert hat, ist schon mal eine Falscherkennung.
Hab ich alle beide überprüfen lassen. Alle beide die gleiche md5.

Zitat:
Benutzerkonten mit eingeschränkten Rechten haben keinen Zugriff auf system32\dllcache, das ist normal.
Hab ich auch gemerkt ich hab doch auch geschrieben das ich aufs Konto mit den Administratoren Rechten wechsle.

Zitat:
Die Festplattenzugriffe finde ich auch nicht beunruhigend. Da gibt es eine Menge Möglichkeiten. Auch wenn Du gerade nichts an deinem Computer machst, läuft da eine Menge Software, die immer aktiv ist. Virenscanner, das Betriebssystem, usw. Und da Du Skype laufen hast, möchte ich nur mal so am Rande darauf hinweisen, dass niemand so genau weiß was das Programm eigentlich macht. Es wird auch darüber diskutiert ob es nicht genutzt werden kann deine Festplatte zu durchsuchen.
1. Die Festplatte äuft immer. Aber nur leise und im Sekunden Takt. Wenn ich mich aber am Konto mit den Administratorrechten angemeldet hab, dann ist die alle paar Minuten ziemlich laut. Das ist nur im Konto mit den Administratorrechten der Fall.
2. Skype läuft bei mir nicht. Es ist immer aus. Und wie schon gesagt kommt das runter.

Zitat:
Ich gehe auch davon aus, dass dein System ziemlich zugemüllt ist. Im Laufe von nicht mal einem Monat durch mindestens drei Firewalls gegangen, diverse Systemwiederherstellungen, die Probleme häufen sich (siehe deine bisherigen Threads). Vielleicht einfach mal wieder richtig neu installieren, erfahrungsgemäß rennt es dann wieder wie ein junger Gott.
Ja gut zugemüllt ist es. wenn man bedenkt das ich das System grad mal vor 1 1/2 Monaten neuaufgesetzt habe.
Die vielen Firewalls hatte ich als ich noch kein Gdata hatte. Weil die Windows Firewall nicht reicht, hab ich halt Zonealarm ausprobiert. Hat mich dannn aber vom Internet ausgesperrt (hat auch seine guten seiten)
und wollte mir als Lösung dann ein Update einspielen. Das war aber kein Update sondern eher ein Downdate. Das wollte mir nämlich eine Uralte version aufspielen. Nach der Deinstallation von Za war halt dann in Programmmzugriff und -Standards ter Programme ändern oder entfernen nur noch die Programme die auf der Partition C installiert waren zu sehen. Alle auf E waren nicht mehr da. Dann hab ich halt die Systemwiederherstellung angewandt. Dann hab ich die Comodo Firewall ausprobiert. Hatte mir mit dem integrierten Malware Scanner Viren in der Systemwiederherstellung angezeigt. Ein paar Wochen später hab ich mir GDatat gekauft. Da ist ja alle schon mit dabei. Musste halt das andere Zeug runter machen. Als ich den Hjt Log machte hab ich auch gemerkt das noch die Hälfte von Spybot S&D und von der Comodo Firewall auch noch etwas übrig ist.
Neuinstallieren hatte ich sowieso vor, bloß geht das jetzt nicht (lange Geschichte). Kann ich erster in 4 Wochen machen. Normalerweise hätte ich das schon da gemacht als ich die Probleme mit Za hatte.

Nun, eine Frage bleibt mir immernoch: Warum hat Combofix die _desktop.ini gelöscht und warum heist die im Backup Ordner von Combofix _desktop.ini.vir?
und noch was: warum steht bei netstat ein Eintrag mit der Pid 0?

Mit freundlichen Grüßen
Damnek

Alt 17.08.2008, 16:22   #12
KarlKarl
/// Helfer-Team
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Was deine Festplatte angeht, könntest Du mal mit FileMon schauen, ob da was ersichtlich wird, wer sie so arbeiten lässt. Das funktioniert aber auch nur mit Administratorrechten da es einen eigenen Treiber braucht. vom eingeschränkten Konto also über "Ausführen als".

-----

Portscanner sind eine tolle Möglichkeit sehr nervös zu werden, um mit Netzwerk/Internet was anzufangen muss ein System Ports öffnen. Wenn schon, dann würde ich sagen nmap, der ermittelt jedenfalls Informationen und versucht sich nicht in der Interpretation was es damit auf sich hat.

-----

Bei Zonelabs programmieren sie in den letzten Jahren ziemlich viel Mist. Selbst die sogenannten "Gurus" im Zonelabs Forum benutzen teilweise sehr alte Versionen, Versionen als das eben noch eine Desktopfirewall war, die Netzwerkpakete/Verbindungen anhand eines Katalogs von Regeln prüft und dann zulässt oder wegwirft. Die grundsätzliche Kritik an dieser Programmgruppe, dass es nicht möglich ist, komplette Kontrolle zu behalten (bösartige Anwendungen haben Techniken zur Verfügung, das zu umgehen) bleibt bestehen.

Grundsätzlich sehe ich aber das Springen von Programm zu Programm als problematisch an, denn so sauber, wie man das gerne hätte, arbeitet die Deinstallation oft nicht. Da werden z.B. schon gerne mal Treiber vergessen und es ist nicht ausgeschlossen, dass die sich mit den Treibern der nächsten Firewalls "beißen". Für Virenscanner gilt das entsprechend. Wobei sogar Freeware-Zonealarm, also die reine Firewall, in einigen Versionen bereits Treiber für den Kasperskyvirenscanner installiert.

Irgendwo in deiner Threadgeschichte hier bin ich der Frage wegen explorer.exe und explorer(2).exe begegnet. Eine Folge der Systemwiederherstellung. Muss nicht passieren, kann aber passieren, dass von Dateien Duplikate angelegt werden mit diesem "(2)" im Namen. Manchmal zu sehr vielen Dateien (ich habe es einmal gesehen, da wurde sogar eine Sammlung MP3-Dateien so verdoppelt). Und wenn man die Systemwiederherstellung oft benutzt und dann Haufen Dateien mit "(3)", ..., "(23)" auf der Platte hat, dann ist jedenfalls klar, warum sie so voll ist.

-----

Combofix kommentiere ich nicht gerne, ich fass das Tool nicht an, seitdem es mir mein eigenes System zerschossen hat. Um aber anderen Leuten was empfehlen zu können muss man es vorher selber benutzt haben. Die Informationen in dem Log sind gut, aber die Flut von automatischen Löschungen (plus sonstige Systemveränderungen) stören mich. Der Ordner "QooBox" nimmt die gelöschten Dateien auf, die darunter angelegten Ordner geben wieder, von wo gelöscht wurde. Es gab/gibt eine Infektion, die Dateien mit dem Namen "_desktop.ini" anlegt, deshalb löscht Combofix Dateien, die diesen Namen haben. Ich hab auf die Schnelle diese beiden Beschreibungen aufgetrieben:
Antivir
Sophos
Ich denke nicht, dass das auf dein System zutrifft. Ich habe mir gerade diverse Threads im Internet angesehen, in denen Combofix diese Datei gelöscht hat und sie sahen mir alle nicht nach diesem Virus aus. Es gibt aber Hinweise, dass es für Dateien dieses Namens auch andere Erklärungen gibt:
z.B. hier
Das ist eben der Nachteil wenn man alles löscht, was einen Namen hat, der mal im Zusammenhang mit Malware aufgetreten ist. Selbst wenn man 99% Treffer mit der Technik erzielt, bleibt eben 1% übrig. Das Prozent wegen dem am Anfang von Combofix ja auch eine Warnung ausgegeben wird.

Die zusätzlich hinzugefügte Endung ".vir" ist eine Eigenart von Combofix.

-----

Pid 0: Stell dir vor, irgendein Programm hat eine Netzwerkverbindung offen und wird beendet bzw. beendet die Netzwerkverbindung. Eine Netzwerkverbindung soll man nicht im Bruchteil einer Sekunde killen, es kann sein dass der Partner auf der anderen Seite einfach langsamer ist. Wenn die Verbindung weg wäre und dann noch ein Paket kommt, könnte das Verwirrung stiften, manch eine Firewall würde "Gefechtsalarm" rufen. Die Verbindungen werden einfach noch eine Zeit lang am Leben gehalten (im Zustand "WARTEND"). Da es sein kann, dass der sie ursprünglich betreibende Prozess vielleicht gar nicht mehr existiert (wenn z.B. der Browser gecrasht ist) werden sie für PID 0 geführt.

Weiter: "localhost" steht für alle IPs 127.x.x.x, ein reservierte Bereich von IPs für Verbindungen die, nur zwischen Prozessen innerhalb deines Computers existieren. Firefox benutzt sowas intern, deine Security Sweet hat einen Proxy installiert, zu dem ebenfalls solche Verbindungen gemacht werden (erst von dem geht es raus ins Internet). Etwas übersichtlicher als mit netstat kannst Du dir das mit TcpView anschauen (yeah, kein Befehl, ein richtiges Programm ).

http://dd17134.kasserver.com hat dieselbe IP wie das Trojaner-Board was kein Zufall ist. Zu "195.50.169.74" weiß ich gerade nichts, vermutlich aber die IP einer Webseite. Bei www.ambiweb.de schau einfach mal selber nach (ich nehme an Du hast das 'w' durch ein 'x' ersetzt wegen der Forumsregeln), irgendein Anbieter von Dienstleistungen im Internet.

Schließlich sind die netstat-Ausgaben so mit einem Mangel behaftet: Zu der PID am Ende der Zeile fehlt die Information, welcher Prozess die hat, das kann wechseln muss daher immer sofort ermittelt werden. "netstat -b" ist da schon informativer. Bei TcpView lässt sich aber auch abspeichern.

Alt 17.08.2008, 17:41   #13
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Zitat:
QUOTE=KarlKarl;363284]Was deine Festplatte angeht, könntest Du mal mit FileMon schauen, ob da was ersichtlich wird, wer sie so arbeiten lässt. Das funktioniert aber auch nur mit Administratorrechten da es einen eigenen Treiber braucht. vom eingeschränkten Konto also über "Ausführen als".
Argh!! Warum bin ich da nicht früher draufgekommen!!
Vor ein paar Tagen hatte ich das jemandem empfohlen dem seine Festplatte auch die ganze Zeit lief.

Zitat:
Irgendwo in deiner Threadgeschichte hier bin ich der Frage wegen explorer.exe und explorer(2).exe begegnet. Eine Folge der Systemwiederherstellung. Muss nicht passieren, kann aber passieren, dass von Dateien Duplikate angelegt werden mit diesem "(2)" im Namen. Manchmal zu sehr vielen Dateien (ich habe es einmal gesehen, da wurde sogar eine Sammlung MP3-Dateien so verdoppelt). Und wenn man die Systemwiederherstellung oft benutzt und dann Haufen Dateien mit "(3)", ..., "(23)" auf der Platte hat, dann ist jedenfalls klar, warum sie so voll ist.
Die doppelten Dateien hab ich einfach gelöscht. Zwar noch nicht alle, weil ich nicht alle finden konnte (sind sehr viele verdoppelt worden) aber schon ziemlich viele.

Zitat:
Combofix kommentiere ich nicht gerne, ich fass das Tool nicht an, seitdem es mir mein eigenes System zerschossen hat. Um aber anderen Leuten was empfehlen zu können muss man es vorher selber benutzt haben. Die Informationen in dem Log sind gut, aber die Flut von automatischen Löschungen (plus sonstige Systemveränderungen) stören mich. Der Ordner "QooBox" nimmt die gelöschten Dateien auf, die darunter angelegten Ordner geben wieder, von wo gelöscht wurde. Es gab/gibt eine Infektion, die Dateien mit dem Namen "_desktop.ini" anlegt, deshalb löscht Combofix Dateien, die diesen Namen haben. Ich hab auf die Schnelle diese beiden Beschreibungen aufgetrieben:
Antivir
Sophos
Ich denke nicht, dass das auf dein System zutrifft. Ich habe mir gerade diverse Threads im Internet angesehen, in denen Combofix diese Datei gelöscht hat und sie sahen mir alle nicht nach diesem Virus aus. Es gibt aber Hinweise, dass es für Dateien dieses Namens auch andere Erklärungen gibt:
z.B. hier
Das ist eben der Nachteil wenn man alles löscht, was einen Namen hat, der mal im Zusammenhang mit Malware aufgetreten ist. Selbst wenn man 99% Treffer mit der Technik erzielt, bleibt eben 1% übrig. Das Prozent wegen dem am Anfang von Combofix ja auch eine Warnung ausgegeben wird.
Hab mir mal die Informationen zu dem Wurm bei Sophos und Avira angeschaut. da hab ich gesehen, dass der Wurm ein paar registry Einträge vornimmt (und so wie ich halt bin) hab ich gleich mal nachgesehn ob das bei mir zutrifft. Hab die nicht gefunden. Also entweder hab ich falsch geschaut oder sie sind nicht vorhanden. Und laut Sophos soll der ja auch eine Dll.dll erstellen. Danch hab ich auch gesucht (windows suchfunktion). Hat mir sämtliche dlls auf meinem Pc aufgelistet. Darunter war keine dll.dll. Ich schlies jetzt mal daraus das ich den Wurm nicht habe.

Zitat:
Die zusätzlich hinzugefügte Endung ".vir" ist eine Eigenart von Combofix
Blöde Eigenart. Hab gedacht das ist ein Virus wegen Vir.

Zitat:
Pid 0: Stell dir vor, irgendein Programm hat eine Netzwerkverbindung offen und wird beendet bzw. beendet die Netzwerkverbindung. Eine Netzwerkverbindung soll man nicht im Bruchteil einer Sekunde killen, es kann sein dass der Partner auf der anderen Seite einfach langsamer ist. Wenn die Verbindung weg wäre und dann noch ein Paket kommt, könnte das Verwirrung stiften, manch eine Firewall würde "Gefechtsalarm" rufen. Die Verbindungen werden einfach noch eine Zeit lang am Leben gehalten (im Zustand "WARTEND"). Da es sein kann, dass der sie ursprünglich betreibende Prozess vielleicht gar nicht mehr existiert (wenn z.B. der Browser gecrasht ist) werden sie für PID 0 geführt
Klingt logisch.

Zitat:
Weiter: "localhost" steht für alle IPs 127.x.x.x, ein reservierte Bereich von IPs für Verbindungen die, nur zwischen Prozessen innerhalb deines Computers existieren. Firefox benutzt sowas intern, deine Security Sweet hat einen Proxy installiert, zu dem ebenfalls solche Verbindungen gemacht werden (erst von dem geht es raus ins Internet). Etwas übersichtlicher als mit netstat kannst Du dir das mit TcpView anschauen (yeah, kein Befehl, ein richtiges Programm ).
Das mit dem Localhost weis ich (i have hacked 127.0.0.1 ). Danke für den Tipp mit dem TcpView. Werd ich mir mal anschauen.

Zitat:
http://dd17134.kasserver.com hat dieselbe IP wie das Trojaner-Board was kein Zufall ist. Zu "195.50.169.74" weiß ich gerade nichts, vermutlich aber die IP einer Webseite. Bei www.ambiweb.de schau einfach mal selber nach (ich nehme an Du hast das 'w' durch ein 'x' ersetzt wegen der Forumsregeln), irgendein Anbieter von Dienstleistungen im Internet.
Das mit dem Kassserver hatte ich auch bemerkt nach ner weile. Das kam nämlich immer dann wenn ich auf dem Trojaner Board war. Nach wxw.ambiweb.de hab ich schon geschaut. Hab ambiweb.de in Verbindung mit google Gadgets geshen oder so. War aber nie auf der Seite.

Dann für root24´s und deine ausführliche Hilfe. Hoff jetzt mal das ich ne weile von solchen Sachen verschont bleibe (hab ich auch schon letztes mal gehofft. Und davor auch^^ .)

Also nochmals Danke an alle die mir geholfen haben!

EDIT: Noch eine Frage: Warum hat mir Combofix das gelöscht:
2007-03-27 01:11:06 9 C:\Qoobox\Quarantine\C\WINDOWS\OPTIONS\CABS\_desktop.ini.vir
2008-08-16 22:13:25 54 C:\Qoobox\Quarantine\catchme.log
2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-16 22:13:53 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

Also das erste weis ich ja aber die anderen Sachen

Mit freundlichen Grüßen
Damnek

Geändert von Damnek (17.08.2008 um 17:52 Uhr)

Alt 17.08.2008, 18:50   #14
KarlKarl
/// Helfer-Team
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Schaden tun die doppelten Dateien ja auch nicht, sie verschwenden nur Platz, was auf die Dauer natürlich mehr werden kann, je öfter man die Systemwiederherstellung benutzt.

Ich denke auch, dass bei diesem Wurm schon mehr Anzeichen auf deinem System bemerkbar wären, wenn Du ihn hättest. Noch dazu das Teil fast zwei Jahre alt ist, da haben die Virenscanner viel Zeit gehabt ihn in die Erkennung aufzunehmen (was nicht heißen muss dass ihn jetzt jeder erkennt).

Combofix hält die Datei auch für einen Virus bzw. verbunden mit einem Virus.

catchme.log ist das Log von Catchme, einem von GMER geschriebenem Rootkitscanner, der in Combofix integriert ist.

Die nächsten drei sind Registry_backups. Combofix hat irgendwas an deiner Registry herumgeschraubt, zwar Backups angelegt, aber es noch nicht einmal für nötig befunden, in seinem Log auszugeben, was getan wurde. Den Namen nach zu raten hat er ein paar Autostarts gelöscht, zu denen ich per Google wiederum die Vermutung finde, dass es Software für Toshiba-Computer ist, jedenfalls nichts böses.

Alt 17.08.2008, 20:17   #15
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?



Hallo,

Zitat:
Schaden tun die doppelten Dateien ja auch nicht, sie verschwenden nur Platz, was auf die Dauer natürlich mehr werden kann, je öfter man die Systemwiederherstellung benutzt.
Ist aber übersichtlicher wenn nur ein Exemplar davon existiert.

Zitat:
Die nächsten drei sind Registry_backups. Combofix hat irgendwas an deiner Registry herumgeschraubt, zwar Backups angelegt, aber es noch nicht einmal für nötig befunden, in seinem Log auszugeben, was getan wurde. Den Namen nach zu raten hat er ein paar Autostarts gelöscht, zu denen ich per Google wiederum die Vermutung finde, dass es Software für Toshiba-Computer ist, jedenfalls nichts böses.
Toshiba Computer? Den Computer hab ich selbst zusammengebaut. Der hat also keine Marke. Ich habe auch nichts von Toshiba in meinem Computer. Naja ist jetzt auch egal.

Dann nochmal Danke für deine Hilfe.

Mit freundlichen Grüßen
Damnek

Antwort

Themen zu Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?
adresse, betriebssystem, cmd, computer, eingabeaufforderung, firefox, frage, gehackt, hacken, internet, liste, localhost, lokale, netstat, portscan, scan, scanner, schuld, system, taskmanager, trojaner, unter windows xp, verbindung, warum, windows, windows xp, windows xp.



Ähnliche Themen: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


  1. Internet verbindet nicht richtig - Windows 10
    Alles rund um Windows - 22.08.2015 (3)
  2. PC verbindet sich mit einem Cromcast in der Nachbarschaft
    Netzwerk und Hardware - 04.08.2014 (1)
  3. Internet Explorer verbindet mich immer auf eine falsch Seite.
    Plagegeister aller Art und deren Bekämpfung - 19.10.2013 (5)
  4. SvcHost.exe verbindet sich beim Windowsstart mit dem Internet. Ist das normal?
    Alles rund um Windows - 13.09.2013 (1)
  5. Pc verbindet sich nicht ins Internet trotz Zugriff
    Netzwerk und Hardware - 07.01.2013 (8)
  6. Internet verbindet nicht mehr nach malwarebytes anti-malware Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 12.04.2011 (30)
  7. PC verbindet sich bei jeder Verbindung mit dem Internet mit "static-ip-62-41.eurorings.net"
    Mülltonne - 28.01.2011 (1)
  8. Backdoorprogramm in Windows - Wurde gehackt
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (13)
  9. Firefox verbindet nach Upodate auf 3.5.3 nicht mehr mit dem Internet
    Log-Analyse und Auswertung - 14.09.2009 (4)
  10. PC verbindet sich von allein mit mehreren Servern
    Log-Analyse und Auswertung - 05.08.2009 (6)
  11. svhost.exe verbindet sich beim start mit IP
    Log-Analyse und Auswertung - 02.07.2009 (2)
  12. svchost.exe|Verbindet sich zu VIELEN IP´s
    Log-Analyse und Auswertung - 01.06.2009 (29)
  13. Firefox 3 verbindet nicht mehr, IE verbindet
    Log-Analyse und Auswertung - 27.04.2009 (1)
  14. Iexplore.exe verbindet sich (spyware?)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (0)
  15. Leerlaufprozess ist mit dem Internetverbunden!! gehackt?
    Mülltonne - 16.08.2008 (1)
  16. Internet Explorer verbindet nicht mehr
    Log-Analyse und Auswertung - 15.04.2008 (1)
  17. DFÜ verbindet sich von allein!?!
    Plagegeister aller Art und deren Bekämpfung - 03.02.2004 (9)

Zum Thema Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Hallo, gestern ist mir aufgefallen, dass der Leerlauprozess mit dem Internet verbunden zu sein scheint. Herausgefunden habe ich das, als ich in Ausführen cmd eintippte und dort dann netstat -o - Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?...
Archiv
Du betrachtest: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.