Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HILFE! Unbekannte zugriffe (https://www.trojaner-board.de/25533-hilfe-unbekannte-zugriffe.html)

bela_centauri 07.01.2006 18:58
HILFE! Unbekannte zugriffe
 
Hallo zusammen,

seit ein paar Tagen sendet mein Rechner kontinuierlich größere Datenmengen - und ich weiß nicht wohin. ZoneAlarm, AntiVir und Spybot haben nichts gefunden, allerdings kann ich diese Programme seither auch nicht mehr updaten!

Wer kann mir helfen?

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:36:16, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack this\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot (Antitrojaner)\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank!
Daniel

Exciter 07.01.2006 19:09
Hallo bela_centauri,

Kann in deinem Logfile nichts ungewöhnliches entdecken. Wenn wirklich jemand von deimen PC aus ohne dein Wissen was versendet, könnte sich die Anwendung jedoch mit einem Rootkit verstecken. Lade dir deshalb mal die Beta Version von F-Secure Blacklight auf http://www.f-secure.de/blacklight/ runter,führe die Suche nach Rootkits durch und poste das Ergebnis

bela_centauri 08.01.2006 13:26
Hallo Exciter,

vielen Dank für Deinen Tipp.
Ich habe die Beta-Version von F-Secure Flashlight runtergeladen und ausgeführt: "no hidden items found". Die Ergebnisse lassen sich leider nicht posten. Das Programm hat 34 Prozesse gefunden, aber alle einer vertrauenswürdigen Quelle zuordnen können.
Dabei sendet mein Rechner weiter fleißig Daten. Hochgerechnet ca. 60 MB pro Stunde!
Ich weiß wirklich nicht, was ich dagegen tun kann.

hoerni26 08.01.2006 13:30
hallo,

arbeite mal bitte Dieses punkt für punkt ab.
les es dir aber vorher bitte in ruhe durch.
halte dich genau an die anleitung und teile zum schluss das ergebniss der find.bat hier mit.

Wildone 08.01.2006 13:35
Hallo,
weitere Anregung wäre mal mit TCPView zu schauen was für Verbindungen erstellt werden, und ev. ein Log zu posten.


Grüße Wildone

bela_centauri 08.01.2006 19:52
Hallo hoerni26, hallo Wildone,

erstmal vielen Dank für Eure Tipps!

Ich brauche wohl noch ein wenig Zeit, um das Ergebnis der find.bat-Datei zu posten, aber das Logfile von TCPView liegt schon vor (kann das denn aussagekräftig sein, wenn doch immer wieder Prozesse geöffnet und geschlossen werden?):

AVGNT.EXE:1244 TCP Panzerfaust:1025 localhost:18350 ESTABLISHED
AVGUARD.EXE:1640 TCP Panzerfaust:18350 localhost:1025 ESTABLISHED
firefox.exe:3144 TCP Panzerfaust:1037 localhost:1043 ESTABLISHED
firefox.exe:3144 TCP Panzerfaust:1043 localhost:1037 ESTABLISHED
firefox.exe:3144 TCP panzerfaust:1259 80.239.144.15:http ESTABLISHED
firefox.exe:3144 TCP panzerfaust:1468 a193-45-3-40.deploy.akamaitechnologies.com:http ESTABLISHED
lsass.exe:804 UDP Panzerfaust:isakmp *:*
lsass.exe:804 UDP Panzerfaust:4500 *:*
svchost.exe:1160 UDP Panzerfaust:1293 *:*
svchost.exe:1284 UDP Panzerfaust:1052 *:*
svchost.exe:1284 UDP Panzerfaust:1036 *:*
svchost.exe:1324 TCP Panzerfaust:2869 Panzerfaust:0 LISTENING
svchost.exe:1324 TCP panzerfaust:2869 fritz.box:3172 ESTABLISHED
svchost.exe:1324 UDP Panzerfaust:1900 *:*
svchost.exe:1324 UDP panzerfaust:1900 *:*
System:4 TCP Panzerfaust:microsoft-ds Panzerfaust:0 LISTENING
System:4 TCP panzerfaust:netbios-ssn Panzerfaust:0 LISTENING
System:4 UDP Panzerfaust:microsoft-ds *:*
System:4 UDP panzerfaust:netbios-dgm *:*
System:4 UDP panzerfaust:netbios-ns *:*


Freue mich auf Feedback!

Bestes
Daniel

P.S. Der Name "Panzerfaust" ist ein Überbleibsel gelegentlicher Netzwerk-Ballerei in der Verganenheit.

bela_centauri 10.01.2006 21:07
Hallo Hoerni,

habe bei der Anleitung zwar gleich beim ersten Punkt etwas falsch gemacht, nämlich escan runtergeladen und nicht MWAV, aber das habe ich durchlaufen lassen. Da Logfile offenbarte dies:

Tue Jan 10 20:57:15 2006 => Total Objects Scanned: 22062
Tue Jan 10 20:57:15 2006 => Total Virus(es) Found: 6
Tue Jan 10 20:57:15 2006 => Total Disinfected Files: 0
Tue Jan 10 20:57:15 2006 => Total Files Renamed: 0
Tue Jan 10 20:57:15 2006 => Total Deleted Objects: 0
Tue Jan 10 20:57:15 2006 => Total Errors: 541
Tue Jan 10 20:57:15 2006 => Time Elapsed: 00:00:53
Tue Jan 10 20:57:15 2006 => Virus Database Date: 2006/01/10
Tue Jan 10 20:57:15 2006 => Virus Database Count: 162227

Tue Jan 10 20:56:49 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jan 10 20:56:49 2006 => Loading Spyware Signatures from new External Database (Size: 146571).
Tue Jan 10 20:56:49 2006 => Indexed Spyware Databases Successfully Created...

Tue Jan 10 20:56:50 2006 => Offending Key found: HKCU\Software\gnu !!!
Tue Jan 10 20:56:50 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 10 20:56:51 2006 => Offending file found: C:\WINDOWS\toolbar.exe
Tue Jan 10 20:56:51 2006 => System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: No Action Taken.

Tue Jan 10 20:56:55 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\fifa 2005\user\config.dat
Tue Jan 10 20:56:55 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.

Tue Jan 10 20:56:56 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\sonstiges\fifa 2004\user\config.dat
Tue Jan 10 20:56:56 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.

Tue Jan 10 20:57:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\fifa 2005\user\config.dat
Tue Jan 10 20:57:03 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.

Tue Jan 10 20:57:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\sonstiges\fifa 2004\user\config.dat
Tue Jan 10 20:57:03 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.

Das hört sich nicht gut an. Was soll ich am besten tun?

Grüße
bela centauri


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131