eventuell trojaner ?
 

Windows versucht sich seit kurzem ständig selber ins netz einzuwählen

was kann das sein ?
hier der log



Logfile of HijackThis v1.99.0

Scan saved at 13:52:51, on 05.01.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Norton Internet Security\ISSVC.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Programme\MBS5\DB\dbntsrv.EXE

C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\rvs_cent.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\PROGRA~1\TCMMOU~1\MouseDrv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

C:\WINDOWS\System32\svchost.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe

C:\Programme\Outlook Express\msimn.exe

C:\Dokumente und Einstellungen\Max\Eigene Dateien\HijackThis.exe



O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [slvchost] slvchost32.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMMOU~1\PS2USBKBDDrv.exe

O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe

O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD61BFAB-0DCB-40E0-8968-0FA071203500}: NameServer = 62.104.191.241 62.104.196.134

O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Centura SQLBase - Centura Software Corporation - C:\Programme\MBS5\DB\dbntsrv.EXE

O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe

O23 - Service: MBS5 Dienst - Herrlich & Ramuschkat GmbH - C:\PROGRA~1\MBS5\SHARED\MBSSER~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: RVS CAPI - RVS Datentechnik GmbH, Munich - C:\WINDOWS\system32\rvs_cent.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


:(

hi,
Dein Problem ist ein Backdoortrojaner, nämlich der da.
außerdem auch noch der hier.
Solltest Du Dein System nicht neu aufsetzen, dann käme in Bälde einiges auf dich zu.
Also, die bittere Pille schlucken und los! Halte Dich an die Anweisungen im Link.
Grüße
cacatoa

Fixen und manuell löschen:
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe

Fixen:
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe

Dann empfehle ich dir DIESEN ARTIKEL zu lesen.

@ chris47803:
Wegen mir kannst Du Werbung für Deine Seite machen -> aber die Empfehlung Backdoor-Trojaner mit AdAware und Spybot zu entfernen und dann das System als sicher hinzustellen, ist ja wohl mehr als blauäugig, oder?
Ebenso genügt meist das "Fixen" alleine nicht, oder bist Du Dir sicher, was der Backdoor gemacht hat oder nicht?
cacatoa

Wieso empfiehlst du das Fixen??

cacatoa hat doch bereits geschrieben,was zu machen ist,bei einem Bot der Art macht das Fixen keinen Sinn....

In meinem Artikel steht aber doch alles drin.

Damit fahre ich bisher sicher. :bussi:

Siehe dazu: 2 posts weiter unten.

Das ist deine Meinung!

Wir empfehlen den Usern bei einer solchen Durchseuchung das System neu zu machen,dass hat auch seine Gründe!

Dazu auch http://oschad.de/wiki/index.php/Kompromittierung

Ihr habt ja recht, ist meine Meinung.

Bevor ich aber ein System neu aufsetze, versuche ich den Schädling zu entfernen.

Klappt das nicht, kann ich immer noch formatieren.

Meine Empfehlung

Jedem seine eigene Meinung, das ist legetim.

@ chris47803

Aber empfiehlst du allen Ernstes bei einer Kompromittierung durch Backdoor Trojaner oder Würmer mit Backdoor Funktionalität Ad-Aware und Spybot S&D.:confused:
Du weisst hoffentlich, dass diese Programme nur Spy-, Ad- und Foistware ( mit einigen Aussnahmen) entfernen.

Bei deinem Link steht doch bereits alles, oder?

(c) Bibliographisches Institut & F. A. Brockhaus AG, 2003

Sorry Chris

aber du verrennst dich hier!

Mit einem Backdoor ist es möglich ein komplettes System zu verändern,das lässt sich nicht einfach feststellen.

Du meinst es ja gut, chris,
aber auch das von dir verwendete Zitat sagt doch nichts aus
,
außer daß derjenige, der die Antivirensoftware von Sophos benutzt, seit diesem Datum davor geschützt ist.
Ich meine halt, es ist falsch, wenn man den Leuten vorspiegelt, daß mit ein bißchen rumfixen und ein bißche dies und das alles wieder o.k. sei.
In diesem Sinne
cacatoa

Was ist denn daran nicht okay, wenn der Trojaner, Wurm, Virus etc runter ist?

Verstehe dich irgendwie nicht.

Es liegt daran, dass durch Backdoors uneingeschränkter Fremdzugriff möglich ist=> man weiß nicht in welcher Weise das System verändert wurde=> alle Dateien können manipuliert sein=> einfaches Löschen bringt keine Gewissheit.

Wie kommt denn ein Backdoor auf das System?

Wenn ich die Hintertüre schliesse und alle Prgramme, die dagegen angehen, auf dem neusten Stand halte, was könnte dann noch passieren?

Ausserdem kann ich den betroffenen Port schliessen.
Und dann ist eigentlich Ruhe.

Backdoors dienen doch dazu, das der Angreifer z.B. Mails in meinem Namen verschicken kann.
Der Empfänger denkt dann, die Mail wäre von mir.
Fazit: Keine Mail-Adressen speichern.

Mein Artikel dient ja mehr dem Vorbeugen.

@chris47803
unter dem
link
versteckt sich einen schönen backdoor, schau doch mal seine eigenschaften an, würdest du dein system nach einen befall nicht neu aufsetzen??

Backdoors dienen doch dazu, das der Angreifer z.B. Mails in meinem Namen verschicken kann.
Der Empfänger denkt dann, die Mail wäre von mir.
Fazit: Keine Mail-Adressen speichern.
das ist wohl nicht sinn der sache, das ist höchstens eine der arten wie er sich verbreiten kann, es gibt aber noch einige andere arten der verbreitung.
dein fazit würde spätestens an der praxis scheitern.

Wenn ich die Hintertüre schliesse und alle Prgramme, die dagegen angehen, auf dem neusten Stand halte, was könnte dann noch passieren?
lese mal diese geschichte
http://oschad.de/wiki/index.php/Kompromittierung


chaosman

durch ungeschützte Netzwerke, Sicherheitslücken im System, ausführbare Dateien, eben alles was so möglich ist.

Es gibt soviel Malware die von keinem Scanner erkannt wird und die eben durch eine Hintertür aufs System gelangen kann.
Weißt du was am System verändert wurde, welche Systemdateien ausgetauscht wurden, wie die "Scanner" beeinträchtigt werden? Sicher nicht!

Nein, Backdoors dienen noch zu viel mehr:
-ermöglichen Dritten den Zugriff auf den Computer.
-stehlen Daten.
-verwenden ihre eigene E-Mail-Engine.
-laden schädlichen Code herunter.
-es besteht die Möglichkeit Videos von Webcams aufzuzeichnen.
-Missbrauch des Computers als Server zur Verteilung illegalen Materials.

Mehrere Artikel dazu (sind übrigens nicht von mir):
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.heise.de/newsticker/meldung/51689
http://de.wikipedia.org/wiki/Backdoor

Oh je, da hat das eine nichts mit dem anderen zu tun.

a) keine AV Anwendung erkennt überhaupt eine sogenannte Backdoor
b) natürlich kannst du einen Port schliessen, der im nachhinein wieder von der Malware geöffnet wird, Vorrausetzung: Wenn dies überhaupt zugelassen wird!
c) du meinst sicherlich Würmer die mit ihrer eigenen SMTP Engine eMails im Auftrag der gespeicherten eMail Adressen verschicken
d) das System ist und bleibt nicht mehr vertrauenswürdig!
usw.

Ich empfehle dir, mal gründlich dich in den weiten des Netz zu informieren, nachzudenken und deine Vorbeugungsmassnahmen zu ändern.

Quelle: http://www.pc-hilfe-christian.de/inc...p&contentid=65

@chaosman:
Hinter dem Link ist mein Nick. Und?

@Cidre
Welche Vorbeugung empfiehlst du?

http://www.mainzelahr.de/smile/schilder/peinlich.gif
Sorry, chris, aber merkst Du nicht, daß das hier ein bißchen kindisch wird?
Du glaubst doch nicht wirklich (hab ich Dir ja weiter unten schon geschrieben), daß Du mit AdAware und Spybot einen ordentlichen Backdoor-Troj wegbringst?!
Sieh es einfach ein; mehr brauchts nicht. Ich bestreite nicht, daß Du Dich mit Computern gut auskennst; aber das ist doch kein Grund, um Schmarrn zu verbreiten, oder?
Und wenn du mal die Boardsuche verwenden würdest, dann würdest Du lesen, was cidre so empfiehlt.
Also, auch mal nachgeben; das entspannt die Atmosphäre deutlich.
cacatoa

Edit: und an den armen "tester", der diesen thread eröffnet hat und nur einmal aufgetaucht ist, denkt keiner mehr...

Okay, back to Topic.