| |
| |||||||
Log-Analyse und Auswertung: vielleicht paranoid ??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
24.10.2007, 19:02
| #1 |
 |  vielleicht paranoid ?? Hallo Liebe Leutz Auf der suche nach einem Ersatz für die jüngst geschlossene Linksammel-Seite tv-links.co.uk hat mich ein "Nochkumpel" auf eine Seite verwiesen. Dort muste ich mir allerdings den sogenannten "Divx web player" als plugin installieren. Laut meinem Kumpel, musste er das auch und sein System läuft ohne Viehzeuchs (monatelang, -->sagte er<--). Nu hatt "irgendwas" grade Firefox abgeschossen und ich fragte mich ob das das plugin war. Wollte also nochmal Bitdefender fix updaten und dann den Ordner "DIVX" scannen. Ging nicht: Beim update hatte ich gleich mehrmals nacheinander nen MD5-Checksummenfehler .<--*fürsuspekthalt* Also ins Adminkonto gewechselt, BD geupdatet (np) und "DIVX" getestet. Ergebnis: nix<--*jetzterstrechtfürsuspekthalt* Rootkitunhooker angeworfen Ergebnis: statt der üblichen BD-Hooks und des EINEM Inline-calls (vermutlich RkU's eigener) hab ich jetzt 12 Inline-calls und -jumps. Außerdem sind jetzt ettliche Ports geöffnet von denen nur bei den üblichen "Firefox-ports" die "Besitzerinformationen" zu bekommen waren. Und beides ist so nie aufgetreten. Hab also mal HJT drüberlaufen lassen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:51:24, on 24.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\Explorer.EXE C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\Programme\Softwin\BitDefender9\bdoesrv.exe C:\Programme\Softwin\BitDefender9\bdnagent.exe C:\Programme\Softwin\BitDefender9\bdswitch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender9\vsserv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\winlogon.exe C:\Programme\Softwin\BitDefender9\bdmcon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ereignisanzeige/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe" O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161783625650 O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFE11CA-3ADC-4D17-ADEB-6012873A331C}: NameServer = 10.10.0.1,192.168.123.1 O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: MySql - Unknown owner - C:\Programme\TYPO3_4.0.2\MySQL\bin\mysqld (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 5006 bytes Ich hoffe ihr findet was oder erklärt mich für paranoid. nen kompletten Vscan mache ich heute nacht auf jeden fall. mfg btw: kennt vllt wer ne Seite, auf der erklärt wird, wie man anhand der unknown_code_page-Hooks von RootkitUnhooker herausfindet zu welcher Datei/prozess/thread...usw gesprungen wird. und Kennt wer nen tool(möglichst mit GUI) in dem man die IP-Verbindungen nen bissle besser und vorallem vollständiger aufgefrimelt bekommt als mit netstat. Geändert von ICH,nicht DU (24.10.2007 um 19:22 Uhr) |
|
25.10.2007, 16:15
| #2 |
| |  vielleicht paranoid ?? schade ich hatte gehofft, dass jemand ne lösung hat
__________________ich hab gestern spasseshalber noch mal nen komplettscan nach versteckten dateien per RkU gemacht, und der hat auch nach langer suche ws gefunden. neben einigen versteckten dateinen in c:\windows\temp auch noch eine merkwürdige bin in c:\windows\softwaredistribution\eventcache. weiss evtl jemand was mit der anzufangen? schon mal thx im vorraus |
|
| Themen zu vielleicht paranoid ?? |
| adobe, antivir, avira, bho, computer, defender, desktop, explorer, fehler, firefox, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, netstat, pdf, programme, scan, server, software, system, trend micro, typo3, virus, windows, windows xp |
Linear-Darstellung
