Hallo an alle!

Ich habe vor kurzem meinen Logfile zur Auswertung auf trojaner-board gestellt. Mir wurde dann gesagt, dass mein System u. a. kompromittiert ist. Da klingelten nach einer Googlesuche alle Alarmglocken bei mir, verständlicherweise. Wegen Crackern, etc. Aber ich las auch, dass eine Kompromittierung auch eine Manipulation der System-Einstellungen sein kann.(ich habe nur leider keine Quellenangaben, finde die Seite nicht wieder...)

Und jetzt interessiert mich halt, ob diese System-Einstellungen, also die Kompromittierung, durch mich selbst entstanden sein könnte, denn ich habe im BIOS und in der Registry nach Anleitung und auf eigene Gefahr hin vor ner Weile ein paar Dinge geändert, um meinen PC ein bisschen anzuschubsen...Oder ist das wieder was ganz anderes? Das muss ich echt wissen, denn gegen ne Kompromittierung hilft ja nur Neuaufsetzen! Und da ist das Problem, das ich kein Windows hierhab und mir das dann besorgen müsste.

Und wenn man das nicht genau sagen kann, ob die Kompromittierung durch mich oder einen unauthorisierten Benutzer entstanden ist, gibt es da ne Möglichkeit, das zu testen?

Hier jetzt nochmal mein Logfile mit allen Daten, ohne persönliche Infos und Links:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:31, on 07.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int50487.exe -auto
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\*\Desktop\msconfig.exe /auto
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4417 bytes

Ich hoffe, jemand kann meine Fragen beantworten. Denn ich weiss das alles nicht.

LG Helena

Hallo,

Ja, Dein System sieht kompromittiert aus:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [websx] C:\Programme\websx\int50487.exe -auto
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
         

Stammt wohl von Netzwerkwürmern - passiert, wenn man nicht vernünftig absichert.

Zitat:

Das muss ich echt wissen, denn gegen ne Kompromittierung hilft ja nur Neuaufsetzen! Und da ist das Problem, das ich kein Windows hierhab und mir das dann besorgen müsste.

So ist es, dann muss man formatieren, aber warum ist keine Windows-CD da? Wie kam das Windows auf dem Rechner rauf?

Naja, das ist ein "Familienpc". Ich denke, der ist fertig installiert gekauft worden und dann wurd die Sicherungscd verschludert....

Aber ich las halt, das eine Kompromittierung durch Hacker, oder sorry, eher Cracker erstellt wurde, so ist das doch, oder? Wegen Einstellungsmanipulierung und so.... Deshalb kam die Frage, ob ich es vielleicht kompromittiert hab....

Also, vielleicht hab ich irgendwas nicht so richtig verstanden, obwohl ich Stundenlang alles gegoogelt habe. Also, sorry, wenn das was ich hier schreibe total doof ist, aber ich habe noch nicht viel Erfahrung gesammelt.

Zitat:

Zitat von Helena1

Aber ich las halt, das eine Kompromittierung durch Hacker, oder sorry, eher Cracker erstellt wurde, so ist das doch, oder? Wegen Einstellungsmanipulierung und so.... Deshalb kam die Frage, ob ich es vielleicht kompromittiert hab....

Das sieht bei Deinem Logfile nicht danach aus, dass ein Cracker gezielt Dein System angegriffen hat. Eher, wie ich schon schrieb, siehts nach Netzwerkwürmern aus. Das ist Massenware, die Netzwerkwürmer verbreiten sich auch recht rapide, aber eben nur auf ungepatchten Windows-Systemen. Kann aber auch sein, dass jmd. da irgendein Shice angeklickt hat Hast Du den verlinkten Artikel zu den Netzwerkwürmern nicht gelesen?

Jedenfalls wäre wohl bei Dir ein Formatieren angesagt. Bis Du eine Windows-CD hast, könnten wir aber (aufwändig!!) bereinigen, acker dazu diese Punkte ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\websx\int50487.exe
         

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ok, ich gebe mir Mühe. Fange sofort an, aber wird wohl ein Weilchen dauern....

[CODE]1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\websx\int50487.exe
         

Hmmm, ich habe die Anweisungen auf der Freenet-Seite befolgt, trotzdem finde ich in der Suche "C:\Programme\websx\int50487.exe" nicht. (Hab auch selbst mal alles abgesucht...)
Ich habe dann noch nach dem Thema "versteckte Dateien und Systeme" gegoogelt und noch andere Seiten zu diesem Thema gelesen. Habe sogar die Hilfe der Windowssuchfunktion gelesen, aber auch da finde ich nichts...
Ich komme einfach nicht weiter, kann mir jemand einen Tipp geben? Ist der Netzwerkwurm so schwer versteckt?
Wurm

Vllt gibs die Datei auch nicht mehr. Überspring diesen Punkt einfach.