Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Habe den Wurm/Trojaner? (https://www.trojaner-board.de/36414-habe-wurm-trojaner.html)

adf 18.02.2007 21:36
Habe den Wurm/Trojaner?
 
Hallo brauche mal seid längerer zeit wiedermal Hilfe.
Habe irgendwie durch nero7 (natürlich trial), vielleicht
unter umständen nen wurm oder ähnliches aufm system.
aufgefallen ist es mir dass sich die netzangriffe um einiges vermehrt haben
und ständig habe ich freigegebene ordner im meinem system. wo hauptsächlich nur bilder drin sind und musik habe absout keine download "helfer" wie (kaz***,emu**,bitre***** u. o. ä.).
würde gerne mal fragen ob es da was verdächtiges ist.
Blacklight findet nichts.

VVVVVVVVVVVVVVHijackThisVVVVVVVVVVVV

Logfile of HijackThis v1.99.1
Scan saved at 21:31:41, on 18.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ahnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O15 - Trusted Zone: http://*.63.219.181.7
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe










Danke im Vorraus
Mfg ADF

magiccat071 18.02.2007 22:03
Ich habe zwar nicht Nero 7 aber Nero 6. Darunter gibt es ein Programm Nero MediaHome, und genau dieses legt Freigaben fuer Musik und Video Ordner im lokalen Netzwerk an. Deine Freigaben koennen also durchaus von Nero verursacht sein. Ueberpruefe mal die Einstellungen im Nero.
Zu deinem Logfile kann ich leider nichts sagen, da bin ich kein Experte, aber da werden sich vermutlich noch andere zu Wort melden.

adf 18.02.2007 22:30
jup danke
werde gleich mal nachschauen.


Mfg adf

adf 19.02.2007 12:34
hmm
habe die MediaHome erweiterung nicht drin.
das problem ist das, dass die dateien die in dem freigegebenen ordner sind.
zusammengestellt wurden d.h. es sind immer ein paar aus dem ordner (bsp1)
dann ausm ordner (bilder2) einige musikdateien von meiner zweiten festplatte.
und eine datei ohne endung (bild1psp). diesen ordner haben zwei kontakte aus meiner msn liste bekommen.

habe laut spybot dsoexploit drin den ich ned wegkrieg
Mfg ADF

undoreal 19.02.2007 12:39
Hallo.
Um dir helfen zu koennen musst du mehr Infos rausruecken.

-Welche Netzwerkangriffe? Welche Firewall meldet dir das? Vorhandene LogFiles oder Berichte bitte posten.

-Was fuer ein AntiiViren Proggi nutzt du? Hast du mit diesem schon einen Scan gemacht?

usw usf.

Dein logfile sieht uebrigens gut aus.

Allerdings wirst du wenig Leute finden die dir bei dieser System Kruecke helfen.
UPDATE WINDOWS UND DEN M-I-E und sichere dein System ab! ComSafe - Webseite für Computersicherheit (IT-Security)

Gruss Undoreal

adf 20.02.2007 00:04
hallo.
ähm hab die sygate personal firewall pro. fritzbox (HW)firewall
ausschnitt ausm logfile:
02/19/2007 12:49:46 3 Outgoing TCP ad.doubleclick.net [216.73.87.181] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1688 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 1 02/19/2007 12:48:42 02/19/2007 12:48:42 Ask all running apps

01/19/2007 12:49:46 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1691 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 6 02/19/2007 12:48:41 02/19/2007 12:48:45 Ask all running apps

02/11/2007 12:41:02 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1572 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 2 02/19/2007 12:40:00 02/19/2007 12:40:00 Ask all running apps

01/28/2007 12:38:34 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1497 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 2 02/19/2007 12:37:30 02/19/2007 12:37:30 Ask all running apps

02/19/2007 11:56:50 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.181] 00-15-0C-65-FB-BC 443 192.168.178.20 00-14-6C-2D-A6-DF 1346 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 11 02/19/2007 11:54:03 02/19/2007 11:55:49 Ask all running apps


als antivirus habe ich:
mwav(escan). escan meldet nichts
hijack: hat nichts
spybot: außer dsoexploit nichts
security task manager: nicht wirklich was verdächtiges ausser das wlan programm.

habe mit meiner frau gesprochen sie hat gemeint sie hat ne meldung von msn
gekriegt hat, irgendwelche software runterzuladen für (weiss sie nicht mehr) und das hat sie auch getan. obs irgendwas damit vll zu tun hat?

ich war letzte woche auf montage d.h ich kann nicht nachvollziehen obs damit was zutun hat.
mfg adf


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:10 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129