Trojaner-Board - Conficker?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Conficker? (https://www.trojaner-board.de/71967-conficker.html)

ich habe heute festgestellt dass wenn ich "netstat -an" ausführe einen haufen udp verbindungen hab die vor wenigen wochen noch nicht da waren. ich poste hier mal den hijackthis-log. hoffe ihr könnt mir helfen

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:13:54, on 13.04.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPStart.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe

C:\Program Files\ICQ6.5\ICQ.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Users\GSUZFR~1\AppData\Local\Temp\RtkBtMnt.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\conime.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ISUSPM] "C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe

O13 - Gopher Prefix: 

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
 

--

End of file - 7173 bytes

hey und :hallo:

fix bitte dieses hier;

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/

Und lass dein system von Malwarebytes 'Antimalware überprüfen.

mfg Nehat86

ok habs gefixed :D malwarebytes hat nichts gefunden. ich poste hier mal den netstattext mit den auffälligen verbindungen:

Code:

Aktive Verbindungen
 

  Proto  Lokale Adresse         Remoteadresse          Status

  TCP    0.0.0.0:135            0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:445            0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:2869           0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:5357           0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:49152          0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:49153          0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:49154          0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:49155          0.0.0.0:0              ABH™REN

  TCP    0.0.0.0:49156          0.0.0.0:0              ABH™REN

  TCP    127.0.0.1:49183        127.0.0.1:49184        WARTEND

  TCP    127.0.0.1:49184        127.0.0.1:49183        WARTEND

  TCP    127.0.0.1:50273        127.0.0.1:50274        HERGESTELLT

  TCP    127.0.0.1:50274        127.0.0.1:50273        HERGESTELLT

  TCP    127.0.0.1:50275        127.0.0.1:50276        HERGESTELLT

  TCP    127.0.0.1:50276        127.0.0.1:50275        HERGESTELLT

  TCP    192.168.178.22:139     0.0.0.0:0              ABH™REN

  TCP    192.168.178.22:50183   195.50.164.146:80      WARTEND

  TCP    192.168.178.22:50189   195.50.164.160:80      WARTEND

  TCP    192.168.178.22:50190   195.50.164.160:80      WARTEND

  TCP    192.168.178.22:50204   195.50.164.139:80      WARTEND

  TCP    192.168.178.22:50210   195.50.164.160:80      WARTEND

  TCP    192.168.178.22:50215   209.85.135.102:80      WARTEND

  TCP    192.168.178.22:50218   74.125.43.156:80       WARTEND

  TCP    192.168.178.22:50219   74.125.43.156:80       WARTEND

  TCP    192.168.178.22:50221   74.125.43.156:80       WARTEND

  TCP    192.168.178.22:50230   64.12.28.185:5190      HERGESTELLT

  TCP    192.168.178.22:50231   64.12.164.55:80        WARTEND

  TCP    192.168.178.22:50234   64.12.30.92:5190       HERGESTELLT

  TCP    192.168.178.22:50277   63.245.209.58:80       WARTEND

  TCP    192.168.178.22:50287   217.110.110.231:80     WARTEND

  TCP    192.168.178.22:50290   195.50.164.155:80      HERGESTELLT

  TCP    192.168.178.22:50291   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50292   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50293   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50294   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50295   74.125.43.99:80        SCHLIESSEN_WARTEN

  TCP    192.168.178.22:50297   209.85.135.102:80      SCHLIESSEN_WARTEN

  TCP    192.168.178.22:50300   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50301   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50302   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50303   74.125.43.164:80       HERGESTELLT

  TCP    192.168.178.22:50304   74.125.43.156:80       HERGESTELLT

  TCP    192.168.178.22:50305   74.125.43.156:80       HERGESTELLT

  TCP    192.168.178.22:50306   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50307   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50308   74.125.43.156:80       HERGESTELLT

  TCP    192.168.178.22:50309   85.13.137.249:80       WARTEND

  TCP    192.168.178.22:50310   74.125.43.164:80       HERGESTELLT

  TCP    [::]:135               [::]:0                 ABH™REN

  TCP    [::]:445               [::]:0                 ABH™REN

  TCP    [::]:2869              [::]:0                 ABH™REN

  TCP    [::]:5357              [::]:0                 ABH™REN

  TCP    [::]:49152             [::]:0                 ABH™REN

  TCP    [::]:49153             [::]:0                 ABH™REN

  TCP    [::]:49154             [::]:0                 ABH™REN

  TCP    [::]:49155             [::]:0                 ABH™REN

  TCP    [::]:49156             [::]:0                 ABH™REN

  UDP    0.0.0.0:123            *:*                    

  UDP    0.0.0.0:500            *:*                    

  UDP    0.0.0.0:3702           *:*                    

  UDP    0.0.0.0:3702           *:*                    

  UDP    0.0.0.0:4500           *:*                    

  UDP    0.0.0.0:5355           *:*                    

  UDP    0.0.0.0:60018          *:*                    

  UDP    127.0.0.1:1900         *:*                    

  UDP    127.0.0.1:44301        *:*                    

  UDP    127.0.0.1:49291        *:*                    

  UDP    127.0.0.1:50275        *:*                    

  UDP    127.0.0.1:53662        *:*                    

  UDP    192.168.178.22:137     *:*                    

  UDP    192.168.178.22:138     *:*                    

  UDP    192.168.178.22:1900    *:*                    

  UDP    192.168.178.22:49290   *:*                    

  UDP    [::]:123               *:*                    

  UDP    [::]:500               *:*                    

  UDP    [::]:3702              *:*                    

  UDP    [::]:3702              *:*                    

  UDP    [::]:5355              *:*                    

  UDP    [::]:60019             *:*                    

  UDP    [::1]:1900             *:*                    

  UDP    [::1]:49288            *:*                    

  UDP    [fe80::3cd0:83a:3f57:4de9%13]:1900  *:*                    

  UDP    [fe80::3cd0:83a:3f57:4de9%13]:49289  *:*                    

  UDP    [fe80::b4d0:e05e:73b7:aedc%9]:1900  *:*                    

  UDP    [fe80::b4d0:e05e:73b7:aedc%9]:49286  *:*                    

  UDP    [fe80::f035:1b2f:52d5:f38a%8]:1900  *:*                    

  UDP    [fe80::f035:1b2f:52d5:f38a%8]:49287  *:*

heise Security - c't-Browsercheck Conficker-Test
laut diesem link hab ich möglicherweise conficker b bzw c :/
hatte mir ein removaltool runtergeladen aber das hat nichts gefunden
aber laut dem neueren test heise Security - c't-Browsercheck Conficker Test gibt es keine anzeichen für conficker :headbang:

mein laptop verhält sich auch irgendwie komisch in letzter zeit. wenn ich den bildschirm runterklappe ist das aktive benutzerkonto normalerweise gesperrt. inzwischen ist das aber nicht mehr so. wenn ich den firefox starte passiert es auch das er sich öffnet das fenster dann aber sofort für kurze zeit verschwindet und dann wieder erscheint. das war sonst nie so.

Kann es sein, dass du zwei Hintergrundwächter benutzt?
Antivir und Norten?

Es ist sinnvoll nur einen Hintergrundwächter zu haben.

Btw: "UDP Verbindungen" ist ein Widerspruch in sich, Das UDP-Protokoll ist ein verbindungsloses. Du meinst vielleicht TCP Verbindungen. Ich habe sie nicht alle geprüft, aber der Hauptteil der von netstat bei dir aufgeführten sind dieses Forum (oder jedenfalls seine IP, so langsam wie das läuft, dürfte es da noch eine Menge Foren und Webseiten mehr geben) und Google.

weiss halt nicht jeder über udp bescheid^^
nein ich meine trotzdem das udp-zeug, nich die tcp-verbindungen.
ich hab norten auf der festplatte ja, aber ich benutze es nicht und es ist mir gar nicht aufgefallen deswegen kommts nachher gleich runter von der hd :D

Zitat:

Zitat von gsuzfreak (Beitrag 430389)

Siehe aber zu, das du es komplett runter bekommst ->CCleaner

Die UDP-Angaben sagen erst mal nur, dass dien System auf den benannten Ports bereit ist, Daten zu empfangen. Ich kann die Nummern zwar nicht alle zuordnen, finde das aber für ein Windows erstmal nicht besonders viel, Windows macht einfach auf Verdacht alles auf, was eventuell mal jemand brauchen täte. Solange die dort lauschende Software auch aktuell ist, sollte das kaum ein Problem sein.

Die 192.168-er IPs verraten, dass Du einen Router benutzt. Damit sind die Ports so aus dem Internet auch erstmal nicht erreichbar. Beispiel Port 123: NTP, das Protokoll das zur Zeitsynchronisation benutzt wird. Wenn dein Rechner meint, seine Zeit nachstelle nzu wollen, dann sendet er dort eine Anfrage an einen Zeitserver ins Internet. Da UDP ein verbindungsloses Protokoll ist, handhaben das Router dann üblicherweise so, dass sie eine gewisse Zeit lang eine von dem Server zurückkommende Antwort dann an den Rechner weiter geben. Ohne die einleitende Anfrage aber nicht.

Der letzte Teil der UDP-Zeilen (die mit eckigen Klammern) entspricht dem Teil davor (ohne eckige Klammern), nur dass die für das kommende Protokoll IPv6 sind. Unwahrscheinlich dass Du das bereits brauchst, die Einführung gestaltet sich doch wesentlich zäher als geplant. das lässt sich in den Eigenschaften der Netzwerkverbindung (dort Eigenschaften des TCP/IP-Protokolls oder so ähnlich) erstmal deaktivieren.

Schließlich ist diese Ausgabe von netstat auch etwas karg an Informationen. Es fehlt vor allen Dingen die Info, welche Prozesse da was geöffnet haben. Besser wird das durch Benutzung von "netstat -abov" (dauert aber länger) oder von TcpView.

Ach ja: CCleaner kann ja einige überflüssige Dinge vom Computer entfernen, Norton aber leider noch nicht.

danke schon mal für die ganze hilfe :) das udp-zeug hatte mir schon angst gemacht weil wie gesagt vor paar wochen war das halt noch nicht da.
norton war von anfang vor installiert und irgendwann sollt ichs kaufen oder so^^ dann hab ich das zeug aus der registry gelöscht damit es beim start nicht mehr ausgeführt wird. allen anschein nach ist es nicht aktiv sondern nur antivir. bei dem anti malware proggy gibts doch auch die fileassasin vielleicht bekomm ichs damit runter mal schauen. aber wenns nur auf der festplatte ist kanns ja nicht so schlimm sein oder? außer dass es halt speicherplatz weg nimmt.

was ist denn nun mit den confickertests? welchen soll ich trauen? weil die älteren meinen conficker b und c. der neuere test jedoch sagt alles in ordnung^^

hatte bis vor kurzer zeit auch noch gar kein antivirusprogramm *g* halt nur 2 benutzerkonten. ein admin- und ein benutzerkonto wobei ich immer letzteres zum zocken und bischen surfen genutzt hab :/

Je nach installierter Version sollte Norton durch einen dieser beiden entfernt werden (ich hoffe jedenfalls, dass diese beiden Links noch aktuell sind):
Symantec
Symantec

Avira behauptet von seinem Virenscanner, dass er Conficker erkennen täte. Welche der Bilder auf der Testseite sind denn nicht vorhanden? Laden die folgenden Seiten?
http://www.f-secure.com
http://www.secureworks.com
http://us.trendmicro.com

nee die seiten laden alle normal und bilder sind auch alle da. ok dann bin ich beruhigt :D
danke :)