|
Fragwürdige Netzwerkaktivitäten Guten Tag Trojaner-Board Community Ich würde euch gerne um eine Analyse meines Systems bitten. Es gibt eigentlich keine Probleme mit meinem PC (langsames Internet oder sonstiges), trotzdem möchte ich gerne eine Vorsorgeuntersuchung machen. Der Grund hierfür ist mein ziemlich ausgepägter Kontrollzwang. In meiner Wunschvorstellung sollte mein PC nur dann mit dem Internet kommunizieren, wenn ich ihn zum Beispiel dazu auffordere eine Internetseite zu öffen. Dies ist leider in keinster Weise der Fall. Ich habe mir (nachdem ich im Netz im Zusammenhang mit der Anwendung von rootkits in neuen PC-Spielen als Kopierschutz, einiges über hijacking durchgelesen habe und diverse Systemscans gemacht habe) einen Netzwerk Manager zugelegt. Dieser zeigt bei mir immer wieder Verbindungen von meinem PC zu anscheinend willkürlichen IP Addressen auf der ganzen Welt an. Code: 94.213.105.3(Ich weiss nicht ob man das hier posten darf, wenn nicht bitte darauf hinweisen oder editieren) Code: IP address: 94.213.105.3Der Microsoft Network Monitor gibt als Trafficbezeichnung "unknown" an. Sind euch solche Aktivitäten irgendwie bekannt? Meine Internetverbindung geht über das Speedport700v, zu einem Router, zu mir. Provider ist die Telekom (DSL 16000) Hier meine Logfiles aus den Systemscans: Code: Malwarebytes' Anti-Malware 1.34Außerdem sollte, so habe ich jedenfalls gelesen, das Programm Securom, obwohl es ja nicht schädlich ist, als rootkit angezeit werden. Dieses Befindet sich schonmal sicher auf meinem System, da ich ein EA Spiel installiert habe, wo dieses enthalten war. Und Hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2Das Problem, das ich mit diesem Programm habe ist, dass es bei diesem eigentlich einen "Safe Mode" Button geben sollte, dieser aber bei mir nicht vorhanden ist. http://img207.imageshack.us/img207/3185/gmer.jpg Infolgedessen habe ich mich über intensives "safebutton missing"-googeln schon einmal informiert, und bin auf einen Forenbeitrag gestoßen, indem ein User davon berichtete, dass er erst nach Entfernung eines Schädlings wieder einen "safe button" im Programm GMER auffinden konnte. Leider habe ich den Link zu dem Post nichtmehr, da ich diesen vor einem halben Jahr gelesen habe. Es kann aber eigentlich nur mit einer Veränderung des Programms GMER selber zusammenhängen (oder der von dem Programm erstellten gmer.sys Datei, die sich übrigens nicht, wie eigentlich vorgesehen in system32 auffinden lässt) Eigentlich hatte ich schon länger vor hier zu posten, da ich wie gesagt vor einem halben Jahr schonmal alles durchgecheckt hatte (nachdem nach einer Neuaufsetztung des Systems und exzessiver Anwendung von anderen Schädlingsbekämpfungs-BootCDs ect. der GMER-Button immer noch nicht auffindbar war und ich es dann mit einem "ach lass endlich gut sein"-"ist warscheinlich ein Gmer+Vista Bug" hinschmiss), aber diese Sache lässt mir keine Ruhe, solang ich nicht von einem Profi bestätigt bekomme, dass alles clean ist. |
Gerade eben hat, nachdem ich nach langer Zeit wieder ein Windows Update gemacht habe das "Windows-Tool zum Entfernen bösartiger Software", einen Fund von "Trojan.W32.Alureon!inf" gemeldet. Dieser wurde vom Programm sogleich entfernt. Anscheinend handelt es sich hierbei wieder um einen DNS-Changer. Ausserdem wollte ich zu meinem ersten Post noch anmerken, dass diese Verbindungen, von denen ich gesprochen habe nur eingehend sind. der Network-Manager zeigt als Source diese willkürlichen IPs und als Destination meinen PC, Andersherum (so wie es zum beispiel beim surfen der Fall ist) kommt keine Verbindung zu stande. Auch wenn keiner eine Antwort auf mein Problem hat. Könnt ihr mir vielleicht bestätigen, dass dieses Button-Problem im Gmer nicht normal ist, oder ist das bei einem von euch schon einmal vorgekommen oder kennt ihr so einen Fall? |
Mach bitte nochmal einen Gmer Scan. Benenne dieses Tool vorher in Hups.exe um. Mach deinen Suchlauf und beantworte alle Fragen mit Nein. Gehe auf den Reiter rootkit und poste das Ergebnis.... Danach nochmal einen neuen Hijack this |
Hallo Redwulf, Danke für deine Antwort. Wie du mir aufgetragen hast, hab ich hier die logfiles für dich Gmer (ohne safemode): Code: GMER 1.0.15.14966 - h**p://www.gmer.net |
Und hier Hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2Es ändert leider nichts daran, dass der Safemode-Button immernoch nicht auffindbar ist. Edit: Bei mir kamen übrigens keine Fragen nach dem Scan mit Gmer, die ich mit nein beantworten hätte können. Der Scan hört, nachdem alle Dateien durchsucht sind auf, und ich klicke dann auf ">>>" und dann Rootkits/Malware und "Copy". |
Das Gute zuerst: Ein rootkit konnte ich nicht entdecken. Trotzdem machen mich 2 files nervös. Das erste kenne ich und es gilt als unbedenklich, sollten wir jedoch nochmal überprüfen. das zweite file ist mir vollkommen unbekannt und gehört auch nicht zu einer Vista Installation. Bitte lasse beide Files bei Virustotal.com checken und poste bitte das vollständige Ergebnis mit den Prüfsummen. Code: System32\Drivers\anu20wob.SYSAber warten wir erst mal die Überprüfung ab... |
Sehr gut, Vielen Dank Das Programm knl.exe ist von mir installiert worden. Es zeigt die Netzwerkaktivität über die LEDs auf deiner Tastatur an. Trotzdem ist hier noch der Scan von Virustotal: Code: Datei knl.exe empfangen 2009.04.01 17:16:40 (CET)anu20wob.sys kann ich in C:\Windows\system32\drivers\anu20wob.sys nicht finden. Es scheint gelöscht oder umbennant zu sein. Ich hoffe das du diese File mit "...ist mir bekannt und vollkommen unbedenklich" meinst. Kannst du mir auch bitte sagen, was du von dem Problem mit dem Gmer-button hältst? Danke dir nochmal für die Arbeit |
Leider nein, das andere file war das was ich suchte.... Bitte führe mal einen Scan mit SuperAntiSpyware aus und poste das Logfile hier.... Bitte lese dir zuvor diese Hinweise durch Falls etwas gefunden wird lässt du es löschen und nutzt anschließend CCleaner. Poste hiernach ein frisches Hijack this. Führt dies zu keinem Erfolg müssen wir Gmer noch mal scannen lassen. Ich werde dann die Position dieses einen files suchen und eventuell hats sich umbenannt. Stelle dann sicher, das dein Rechner so lange anbleibt, bis das du wieder von mir hörst... |
Hallo Redwulf Hier zuerst einmal das Logfile von SAS: Code: SUPERAntiSpyware Scan LogAber bei dem Dateien-Scan zeigte er keine Funde. Ich habe danach mit ccleaner alles gereinigt. Der Hijackthis-Log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Ich habe mir auch gleich erlaubt nochmal Gmer laufen zu lassen. Code: GMER 1.0.15.14966 - ht**p://www.gmer.netDie anu20wob.sys scheint sich jetzt in aagspjck.sys umbenannt zu haben. Als ich das sah, habe ich sofort im C:\Windows\System32\drivers Verzeichnis nachgesehen ob sie enthalten ist. Ich kann sie aber wieder nicht finden. (Systemdateien einblenden und versteckte Dateien anzeigen hab ich in Ordneroptionen eingestellt) Ich habe auch mit dem Programm totalcommander danach gesucht, doch auch in dessen Explorer ist die Datei nicht zu sehen. Ein neuer Gmer-Check zeigt sie aber während ich schreibe immernoch genau an der selben Stelle an. Eine Frage hierzu: Kann es irgendetwas damit zu tun haben , dass, wie man im Gmer-Log sehen kann, die Datei sich nicht in "drivers" sonder "Drivers" befindet? Eingentlich sollte die Groß- und Kleinschreibung ja keinen einfluss auf den Pfad haben, aber vielleicht nützt dieser Schädling einen Bug im Windows-Explorer aus der damit zu tun hat? Ich lasse meinen PC laufen und warte auf eine Antwort |
Hi, erstmal Daemon Tools deinstallieren, dann neu starten und erneut scannen ;) Gruß, Karl |
Danke auch dir KarlKarl, Wie du mir aufgetragen hast, hab ich Deamon Tools deinstalliert und einen neuen Gmer-Scan und Hijackthis-Log angefertigt. Die benannte Datei ist nichtmehr im Log aufgetaucht. Code: GMER 1.0.15.14966 - h**p://www.gmer.netCode: Logfile of Trend Micro HijackThis v2.0.2Das Problem mit dem Gmer Button besteht aber weiterhin. Hat dazu einer noch ne Erklärung/Lösung? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board