Missbrauch der IP

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.01.2005, 00:29
Member

Themenstarter

Beiträge: 22
#16 Bei T-Online.

Das Hijack-Log macht keinen Sinn, weil ich vor kurzem formatiert habe.
Seitenanfang Seitenende
10.01.2005, 12:16
Member

Themenstarter

Beiträge: 22
#17 Gibt es eigentlich auch Programme bzw. ist die Manipulation von Programmen möglich, welche bewirken, dass man sich eine "Wunsch-IP" "nehmen" kann?
Also eine IP herauszubekommen und wann jemand online ist, ist ja kein Problem (da reicht schon ICQ). Das, was ich nur nicht weiß ist, wie da jemand einen IP-Fake machen konnte.
Seitenanfang Seitenende
10.01.2005, 14:40
Member

Beiträge: 546
#18 Mahlzeit Mr.Evil3000!

Zitat

Wie kann es sein, dass irgendjemand anderes, die Selbstmordankündigung unter meiner IP verfasst hat?
Zum einen durch die Möglichkeiten, die Rherder schon erwähnte, zum anderen bleiben noch...
a) offener Proxy auf deinem Rechner (gewollt oder ungewollt duch Virus/Wurm usw.)
b) Datei-/Druckerfreigabe nicht von 'Welt' entbunden[1]
c) Kompromittierung einer (Server)Software auf deinem PC durch Exploits etc. zwecks Erlangung von Systemrechten[2]

[1]Dadurch u.U. möglich, deine Einwahldaten für T-Online in Erfahrung zu bringen
[2] Jedoch bei 56K eher unwahrscheinlich, dass du irgendeinen Serverdienst bewusst laufen lässt.

Die wahrscheinlichste Ursache wird wohl gewesen sein, dass du entweder einen Trojaner/RAT auf deinem PC hattest oder das
der Übeltäter irgendwie an die Provider-Zugangsdaten gekommen ist.

Zitat

Vor Trojanern müsste ich eigentlich sicher sein, weil ich den Norton AntiVirus habe.
Es gibt brauchbare und weniger brauchbare AV-Software...;) Trotzdem würde ich Joschis Tipp hier beherzigen, mal ein HJT-Log
zu erstellen und zu posten.

Die Frage aller Fragen: Ist nach dem Providerwechsel *und* dem Formatieren Ruhe oder sind neue Aktionen vorgefallen?

Wie dem auch sei: Sofern dein System nicht intern kompromittiert ist (war) und du keine Schwachstellen anbietest, die von extern
ausgenutzt werden könnten, darf die ganze Welt deine IP wissen.

Gruß,

Sepia
Dieser Beitrag wurde am 10.01.2005 um 14:41 Uhr von Sepia editiert.
Seitenanfang Seitenende
10.01.2005, 16:12
Member

Themenstarter

Beiträge: 22
#19 Ok, wissen ist ja in Ordnung, aber diese dann zu verwenden um Müll zu machen...

Ich habe einen ziemlich üblen "Feind" der was von meiner Freundin will und so wie es aussieht hat er Drohungen über meine IP geschrieben damit ich Ärger bekomme.
Er hat zum Beispiel riesenlange Faxe verschickt, zu Zeiten, in denen ich nicht mal in der Nähe eines I-Net-Anschlusses war. Aber trotzdem wurde ermittelt, dass "ich" die Drohungen geschrieben habe.

Das Problem ist nämlich, dass ich ne Bewährung laufen habe und das verleiht der ganzen Sache nämlich einen ganz anderen Charakter (der Kerl wusste davon).
Seitenanfang Seitenende
11.01.2005, 11:01
Member

Themenstarter

Beiträge: 22
#20 Ich poste hier jetzt trotzdem mal nen Hijack-Log. Müsste zwar alles clean sein durch format aber sicher ist sicher:

Logfile of HijackThis v1.99.0
Scan saved at 10:58:48, on 11.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\SAVScan.exe
E:\WINDOWS\system32\sdpasvc.exe
E:\WINDOWS\system32\SLEE503.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\Programme\Logitech\iTouch\iTouch.exe
E:\WINDOWS\system32\devldr32.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Steganos Security Suite 6\spm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\Programme\OnlineCounter 2004\OnlineCounter.exe
E:\Programme\Lexmark X125\LEX125SU.exe
E:\WINDOWS\hpbtbqab.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\RunServices: [WinLoader] hpbtbqab.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
11.01.2005, 21:22
Member
Avatar Tille

Beiträge: 451
#21 na endlich ;) - hat er es doch endlich geschafft ;)

also ich bitte nochmal die anderen den Log zu überfliegen...
habe bisher nur: E:\WINDOWS\hpbtbqab.exe gefunden, die mir nicht bekannt ist.

bitte lade die Datei: E:\WINDOWS\hpbtbqab.exe
einmal hier hoch: http://virusscan.jotti.dhs.org/ und gucke ob dies ein Virus ist!

falls das ein Trojaner ist, würde ich ihn eventuell nicht gleich löschen, sondern gemeinsam mit einem Experten / der Polizei "deinem Freund" eine Falle stellen!

Gruß
Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Seitenanfang Seitenende
11.01.2005, 21:56
Member

Themenstarter

Beiträge: 22
#22 F***!!!

Das ist n Backdoor Sub7.

Habe versucht ihn zu löschen, jetzt steht da:


Logfile of HijackThis v1.99.0
Scan saved at 21:56:23, on 11.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\SAVScan.exe
E:\WINDOWS\system32\sdpasvc.exe
E:\WINDOWS\system32\SLEE503.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\Programme\Logitech\iTouch\iTouch.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Steganos Security Suite 6\spm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\iHCOPY\iHCOPY.exe
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\Programme\OnlineCounter 2004\OnlineCounter.exe
E:\WINDOWS\system32\devldr32.exe
E:\Programme\Outlook Express\msimn.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Norton AntiVirus\OPScan.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\RunServices: [WinLoader] tjwcywrjwl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: iHCOPY 1.4.lnk = E:\Programme\iHCOPY\iHCOPY.exe
O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B7322FB-F234-40E1-8D1D-ED0F8BB51501}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
11.01.2005, 21:57
Member

Themenstarter

Beiträge: 22
#23 Und wenn ich den mit Norton entferne, dann kommt der gleich wieder nur unter neuem Namen.
Seitenanfang Seitenende
11.01.2005, 23:21
...neu hier

Beiträge: 2
#24 ich würde ihn nicht entfernen! Fahre den PC runter! Der Trojaner wird garantiert deine IP irgendwo hinschicken, sonst wäre er nutzlos. Das könnte die Polizei durchaus zum Täter führen. Also Inet weg und Anruf bei der Polizei.
Seitenanfang Seitenende
12.01.2005, 17:48
Moderator

Beiträge: 7795
#25 Was du jetzt machen musst, haengt ein wenig von dem ab, was du willst.

Entweder Rechner von einem Profi untersuchen lassen, der feststellt, wie und wohin der Backdoor deine IP hinschickt( z.B. IRC/ICQ/EMAIL). Wenn dir das nun im endefekt egal ist, musst du "nur" den Rechner komplett neu aufsetzten und entsprechend absichern. Infos unter anderem hier:
http://www.rokop-security.de/board/index.php?showtopic=3867

Selber wirst du den "Verursacher" auf jeden Fall nicht finden koennen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.01.2005, 17:53
Moderator

Beiträge: 7795
#26 Wenn du den Backdoor noch hast, schicke ihn mal an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.01.2005, 21:24
Member

Themenstarter

Beiträge: 22
#27 Das Ding ist nicht wegzukriegen!
Hab es im abgesicherten Modus gelöscht (normal hab ich keine Zugriffsrechte), da war es weg, und als ich wieder normal hochgefahren habe, da war das Mistvieh wieder drin, nur unter anderem Namen.
Es hat sich auch ein neuer Eintrag hinzugesellt, seht euch das mal an, ich weiß nicht, was ich davon halten soll.



Logfile of HijackThis v1.99.0
Scan saved at 18:50:15, on 12.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\SAVScan.exe
E:\WINDOWS\system32\sdpasvc.exe
E:\WINDOWS\system32\SLEE503.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\Programme\Logitech\iTouch\iTouch.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Steganos Security Suite 6\spm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\iHCOPY\iHCOPY.exe
E:\WINDOWS\system32\devldr32.exe
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\Programme\OnlineCounter 2004\OnlineCounter.exe
E:\WINDOWS\krxvhnsiaruv.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\RunServices: [WinLoader] mduqvsoiap.exe
O4 - HKLM\..\RunServices: [Fax] krxvhnsiaruv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: iHCOPY 1.4.lnk = E:\Programme\iHCOPY\iHCOPY.exe
O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
12.01.2005, 22:27
Moderator

Beiträge: 7795
#28 Wie gesagt, schoicke mal diese Datei:

E:\WINDOWS\krxvhnsiaruv.exe

und setz den Rechner neu auf.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.01.2005, 22:44
Member

Themenstarter

Beiträge: 22
#29 Also wenn die Polizei nachverfolgen können an welchen ICQ die Dinger gehen, dann renn ich damit morgen hin und zeig den D*** an!

Wie kann man denn als Otto-Normal-User durch irgendwelche Programme feststellen mit welcher Mail-Adresse/ICQ/IRC der Trojaner gekoppelt ist?
Seitenanfang Seitenende
13.01.2005, 14:33
Moderator

Beiträge: 7795
#30 Meistens ist das "versteckt" in der Datei. Ich kenne so kein Programm, das das so immer auslesen kann.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: