|
Ungeklärte Angriffe aufs System! Hallöchen, ich habe da seit einiger Zeit so einige Probleme mit meinem Windows. Habe endlich wieder Internet und in der Zeit meine Rechner schon das 1. mal neu machen müssen, an und für sich nichts neues bei Windows, allerdings hat es mich eher stutzig gemacht das mein Internet immer geharkt hat... Nachdem ich den Rechner neu gemacht habe, und alles schön neu installiert habe lief es wie geschmiert, bis es dann wieder anfing... sobald ich meine Software Firewall ausschalte spinnt mein Internet, es funktioniert nicht mehr, reagiert nicht, ich kann es weder ausschalten, geschweige denn (da es ja eigentlich eingeschaltet ist) irgendwie Online gehen. Das ganze Prolem lässt sich dann erst wieder mit einem neustart des Sytems bereinigen. :killpc: Meine Firewall ist in den letzten Tagen einige male angesprungen und hat mir meldungen rausgegeben von IP's die sie gerade gesperrt hat... Ich finde weder mit AntiVir etwas, noch mit meiner ZoneAlarm Firewall die integrierten Spy, Malware und Antivirenschutz hat, und auch SpyBot S&D liefert mir kein Ergebnis. Hinzu kommt noch eine sache die mich stutzig macht, ich kann meine registry mit den üblichen Programmen nicht bereinigen... Der reinigungsprozess stoppt bei 5%, was aber evtl. an dem DualCoreProzessor liegen könnte, doch habe ich schon andere Progs ausprobiert, mit denen das auch nicht läuft... Wenn ihr irgendwie nähere Infos braucht um mir helfen zu können, dann will ich euch die gerne liefern, sagt mir was, und ich schau ob ich es finde... Schonmal recht herzlichen Dank im vorraus. gomesch |
Hi, bitte ein HJ-Log gemäß dem Link in der Signatur und Silentrunner: SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
[edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Hi Gomesch Entschuldige @Chris Aber bei dem Schrott, was da drauf ist muss ich mich schon mal reinhängen. Zohnealarm und keine Ahnung wie diese einzustellen ist und dann noch Spybot - Search & Destroy Da muss der Rechner ja den Geist aufgeben. Schmeiße diese beiden Sachen runter und dein Rechner funktioniert wieder. Ein kostenloses AVP und die Windowseigene Firewall reichen aus. Natürlich auch den SP3 und alle noch anstehenden Updates und IExplorer v.7.0 |
Die Sache ist das das Internet nicht funktioniert wenn ich ZoneAlarm ausschalte oder deinstalliere... Auch wenn SpyBot runter ist gehts nicht...! Und wie ich meine Firewall einzustellen habe weiß ich sehr wohl, ansonsten würde sie die Angriffe ja nicht blocken...! |
Du hast nicht in deinem HJT-Log waas schädlich aussieht. Das das Internet nicht mehr gehen soll, wenn Zohnelabs abgeschalten ist, kannste auch stecken lassen. Viel wichtiger ist ein AVP mit Hintergrundwächter. |
Die "Angriffe" kamen aus dem guten, alten Russland: Zitat:
|
@blow-in: -kein Problem- :o) Angriffe sind Ok (solange sie nicht "durchkommen ;o)... Außerdem muss eine Firewall ja ab- und an was anzeigen, um ihre Daseinsberechtigung zu zeigen... Spybot ist immer für eine "Überraschung" gut genauso wie auch Zonealarm, da klappt selbst das deinstallieren nicht vollständig (guckst Du hier: http://www.trojaner-board.de/18889-ich-verzweifel-langsam-zone-alarm-problem.html). Also erst mal Avira oder was ähnliches installieren und dann für Silentrunner: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat und wenn wir schon dabei sind, Onlinescan mit Kapi: http://www.kaspersky.com/de/virusscanner chris |
Danke an Chris... hier der SilentRunner log "Silent Runners.vbs", revision 58, http://w*w.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub" -> {HKLM...CLSID} = "Adobe PDF Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java(tm) Plug-In SSV Helper" \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."] {DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper" \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."] {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl" -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class" \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoRecentDocsNetHood" = (REG_DWORD) dword:0x00000001 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\anjasascha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ WinampMTPHandler\ "Provider" = "Winamp" "ProgID" = "Shell.HWEventHandlerShellExecute" "InitCmdLine" = "C:\Programme\Winamp\winamp.exe" HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" -> {HKLM...CLSID} = "ShellExecute HW Event Handler" \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS] WinampPlayMediaOnArrival\ "Provider" = "Winamp" "InvokeProgID" = "Winamp.File" "InvokeVerb" = "Play" HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"] HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}" -> {HKLM...CLSID} = (no title provided) \LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"] Startup items in "anjasascha" & "All Users" startup folders: ------------------------------------------------------------ C:\Dokumente und Einstellungen\anjasascha\Startmenü\Programme\Autostart "Xfire" -> shortcut to: "C:\Programme\Xfire\xfire.exe" ["Xfire Inc."] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "ZoneAlarm Security" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS] ---------- (launch time: 2008-11-11 21:35:46) + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 35 seconds, including 18 seconds for message boxes) |
Zitat:
Vielleicht sollte ich noch dazu sagen das ich keinen Router habe sondern nur über ein ADSL-Bridge Modem ins Netz gehe, also ist keine Hardware Firewall vorhanden. Jedenfalls ist das ganz merkwürdig, denn ich kann dann nicht mehr auf das Internet zugreifen, obwohl die Verbindung besteht, und wenn ich sie dann trenne kann ich keine neue Verbindung aufbauen. Soll ich es vielleicht mal darauf ankommen lassen es passieren zu lassen und dann wenn ich nicht mehr zugreifen kann jeweils diesen Logs erstellen? Vielleicht würde ja das klarheit schaffen. Fakt ist, ohne Firewall kommen angriffe, (heute waren es insgesamt 3 von vers. IP's und Ports [wie kann ich herausbekommen von wo die Angriffe kommen]) und dann ist mein I-Net auf Eis gelegt. |
Hi, das Log ist sauber... IPs: http://www.iks-jena.de/cgi-bin/whois Dann probieren wir einen Rootkitscan: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Du solltest auf jeden Fall SP3 installieren... Wahrscheinlich ist ein Teil des Angriffs ohne Firewall dazwischen erfolgreich und bringt die Windowsdienste (oder Teile davon) durcheinander, so dass neu gebootet werden muss...(Initialisierung)... chris |
so, also das rootkit ist drauf, der scan läuft... kann ich irgendwie meine cookies aktivieren? also, Firefox sagt zwar das sie an sind, aber sie scheinen nicht zu funktionieren, da ich zum Beispiel auf ebay überhaupt nicht drauf komme, aber von einem "sauberen" rechner schon... :headbang::headbang::headbang: [Edit] Hier die gefunden roots: 1: HKEY_USERS\S-1-5-21-1343024091-746137067-725345543-1003\Software\SecuROM\License information -> datasecu 2: Registry 3: Hidden value 1: 1/2 No more information available 1: HKEY_USERS\S-1-5-21-1343024091-746137067-725345543-1003\Software\SecuROM\License information -> rkeysecu 2: Registry 3: Hidden value 1: 2/2 No more information available |
Hi, das sollte eigentlich nur SecuRom sein (Kopierschutz von Spielen)... Sonst war nichts im Log? Was heißst Du kommst nicht auf EBay? Wirst Du umgeleitet oder sagt EBay, das keine Cookies aktiviert sind? Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... Lassen wir noch den MBR prüfen... MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris |
Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Da passiert überhaupt nichts bei ebay... der lädt nicht weiter... hatte kurz mit meinem Onkel telefoniert der sollte mal nachschauen ob das läuft, oder ob ebay server down sind, und er meinte wahrscheinlich cookies... also ich kann mich anmelden und wenn ich dann irgendwo drauf klicke dann sieht man oben im browser tab das er am laden ist, und das wars... host läuft grade durch... lasse die ganzen "www" 's ersetzen durch w*w sollte noch einige momente dauern... aber da steht ja wirklich alles drinne, hab ich grad gesehen... und da denkt man immer mit chronik löschen ists getan... *gg* könnte peinlich werden... da stehen aber nur internet seiten drinne... brauchst du den log wirklich? ich meine, da steht nix anderes... # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy so, dann folgen hier jetzt so ca. 500 webseiten was anderes ist da net.. oder hab ich den falschen log? |
Liste der Anhänge anzeigen (Anzahl: 1) hier, schau mal ob ich da richtig bin |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:56 Uhr. |
Copyright ©2000-2024, Trojaner-Board