Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wird mein PC von außen kontrolliert?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2008, 14:41   #1
SonicSun
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Hallo zusammen!

Vorab: 85.255.112.166 ist in meiner LAN-Verbindung unter TCP/IP als DNS-Server eingetragen und lässt sich nicht entfernen (wenn ich auf "Automatisch" umstelle, springt es von selbst zurück).

Entsprechend lässt sich der Protokollpunkt 017 nicht fixen.

Was kann ich machen?

Dank für Eure Hilfe!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:05, on 20.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
E:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
E:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
E:\Programme\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
E:\Programme\1&1\Stcenter.exe
E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\Programme\1&1\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.1und1.de/links/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] e:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdchr.exe] C:\WINDOWS\system32\kdchr.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "e:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: 1&1 FRITZ!Box starter.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFDAD56-09FE-43E4-9D1F-44FC945B94E5}: NameServer = 85.255.112.166;85.255.112.185
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Programme\1&1\IGDCTRL.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NMSAccessU - Unknown owner - e:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 7348 bytes

Alt 20.12.2008, 22:01   #2
john.doe
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Hallo und

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\kdchr.exe
         
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________


Alt 21.12.2008, 10:15   #3
SonicSun
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Ich habe alles so eingestellt, dass alles Dateien sichtbar sind. Trotzdem kann ich

Code:
ATTFilter
C:\WINDOWS\system32\kdchr.exe
         
nicht finden. Die Datei wird nicht im Windows-Explorer angezeigt, sie wird im Task-Manager nicht unter laufende Prozesse angezeigt und wenn ich danach suche, stürzt der Suchvorgang ab.

Was mache ich jetzt... ?
__________________

Alt 21.12.2008, 10:21   #4
Franz1968
/// Helfer-Team
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Eine Möglichkeit wäre evtl., diesen Pfad
Code:
ATTFilter
C:\WINDOWS\system32\kdchr.exe
         
direkt in das Eingabefeld auf Virustotal hinein zu kopieren.
Hilft das?
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 21.12.2008, 10:22   #5
john.doe
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Überspringe den Punkt und mache weiter. Mir schwant Böses.

ciao, andreas


Alt 21.12.2008, 10:27   #6
SonicSun
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Den Pfad hineinzukopieren habe ich schon probiert - klappt nicht.

Macht es überhaupt noch Sinn, weiter zu machen oder sollte ich direkt C neu formatieren?

Mein Online-Banking, PayPal und Ebay- weisen keine seltsamen Vorgänge auf. Bisher jedenfalls. Gibt es Dinge, die ich da überprüfen oder unternehmen sollte?

Alt 21.12.2008, 10:31   #7
john.doe
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Das ist die sicherste Alternative. Halte dich an diese Anleitung:
http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:
Mein Online-Banking, PayPal und Ebay- weisen keine seltsamen Vorgänge auf. Bisher jedenfalls. Gibt es Dinge, die ich da überprüfen oder unternehmen sollte?
Ändere alle Kennwörter nachdem du neu aufgesetzt hast.

Frohe Weihnachten,
andreas

Alt 21.12.2008, 10:40   #8
SonicSun
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Besteht die Möglichkeit, dass der "Schädling" auf einer anderen Partition (außer C) überlebt?

Vielen Dank schon mal!

Alt 21.12.2008, 10:48   #9
john.doe
 
Wird mein PC von außen kontrolliert? - Standard

Wird mein PC von außen kontrolliert?



Dazu müsste ich wissen, um wen es geht. Als ungefährlich gilt alles, was nicht ausführbar ist: Computersicherheit - Dateiendungen

Es ist nicht falsch einmal alles zu lesen: Computersicherheit - Home Page

Auch ein Besuch hier ist empfehlenswert: Homepage von Malte J. Wetz

Gegen irgendeine Regel hast du verstossen. Finde heraus gegen welche, damit du in Zukunft "sicher" im Netz bist.

Frohe Weihnachten,
andreas

Antwort

Themen zu Wird mein PC von außen kontrolliert?
adobe, antivir, antivirus, avg, avira, bho, browser, cdburnerxp, dns-server, downloader, entfernen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, lan-verbindung, lässt sich nicht entfernen, monitor, mozilla, photoshop, rundll, software, system, tcp/ip, von selbst, windows, windows internet, windows internet explorer, windows xp



Ähnliche Themen: Wird mein PC von außen kontrolliert?


  1. Zugriff von außen auf meinen Rechner
    Log-Analyse und Auswertung - 12.08.2015 (25)
  2. Internetverbindung wird kontrolliert
    Plagegeister aller Art und deren Bekämpfung - 11.08.2015 (9)
  3. internet wird kontrolliert-Chrome
    Plagegeister aller Art und deren Bekämpfung - 31.05.2015 (11)
  4. Internetverbindung wird kontrolliert
    Plagegeister aller Art und deren Bekämpfung - 02.05.2015 (11)
  5. Internetverbindung wird kontrolliert
    Plagegeister aller Art und deren Bekämpfung - 18.10.2014 (1)
  6. Kontrolliert mein Arbeitgeber Vorgänge auf PC durch Spyware? WIN7
    Überwachung, Datenschutz und Spam - 26.08.2013 (5)
  7. Hacker kontrolliert meinen PC
    Plagegeister aller Art und deren Bekämpfung - 24.11.2012 (26)
  8. Rechner versucht über Port 137 nach außen zu verbinden
    Log-Analyse und Auswertung - 05.09.2012 (1)
  9. Malwarebytes und hijackthis - mein System wird immer langsamer + mein ESET mag nicht mehr
    Log-Analyse und Auswertung - 07.06.2012 (8)
  10. Vermute Zugriff von außen durch einen Dritten!!!
    Log-Analyse und Auswertung - 13.08.2009 (21)
  11. Wer kontrolliert meinen Computer?
    Mülltonne - 20.12.2008 (0)
  12. BiFrost-Infizierung von außen (wahrscheinlich)
    Log-Analyse und Auswertung - 15.01.2008 (5)
  13. Bitte kontrolliert den login
    Log-Analyse und Auswertung - 17.12.2007 (6)
  14. Hatte VIREN, wer kontrolliert mein HJT Logfile? BITTE!
    Log-Analyse und Auswertung - 03.10.2006 (3)
  15. Fremdzugriff auf PC von außen? --> Hijack angriff?? Brauche Hilfe!!!
    Log-Analyse und Auswertung - 20.09.2006 (2)
  16. Zugriff von außen und Pop ups pur hilfe
    Log-Analyse und Auswertung - 14.01.2006 (4)
  17. Portscan von außen?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2004 (3)

Zum Thema Wird mein PC von außen kontrolliert? - Hallo zusammen! Vorab: 85.255.112.166 ist in meiner LAN-Verbindung unter TCP/IP als DNS-Server eingetragen und lässt sich nicht entfernen (wenn ich auf "Automatisch" umstelle, springt es von selbst zurück). Entsprechend lässt - Wird mein PC von außen kontrolliert?...
Archiv
Du betrachtest: Wird mein PC von außen kontrolliert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.