Missbrauch der IPThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
09.01.2005, 00:29
Member
Themenstarter Beiträge: 22 |
||
 
|
|
|
|
10.01.2005, 12:16
Member
Themenstarter Beiträge: 22 |
#17
Gibt es eigentlich auch Programme bzw. ist die Manipulation von Programmen möglich, welche bewirken, dass man sich eine "Wunsch-IP" "nehmen" kann?
Also eine IP herauszubekommen und wann jemand online ist, ist ja kein Problem (da reicht schon ICQ). Das, was ich nur nicht weiß ist, wie da jemand einen IP-Fake machen konnte. |
|
|
|
|
|
|
10.01.2005, 14:40
Member
Beiträge: 546 |
#18
Mahlzeit Mr.Evil3000!
Zitat Wie kann es sein, dass irgendjemand anderes, die Selbstmordankündigung unter meiner IP verfasst hat?Zum einen durch die Möglichkeiten, die Rherder schon erwähnte, zum anderen bleiben noch... a) offener Proxy auf deinem Rechner (gewollt oder ungewollt duch Virus/Wurm usw.) b) Datei-/Druckerfreigabe nicht von 'Welt' entbunden[1] c) Kompromittierung einer (Server)Software auf deinem PC durch Exploits etc. zwecks Erlangung von Systemrechten[2] [1]Dadurch u.U. möglich, deine Einwahldaten für T-Online in Erfahrung zu bringen [2] Jedoch bei 56K eher unwahrscheinlich, dass du irgendeinen Serverdienst bewusst laufen lässt. Die wahrscheinlichste Ursache wird wohl gewesen sein, dass du entweder einen Trojaner/RAT auf deinem PC hattest oder das der Übeltäter irgendwie an die Provider-Zugangsdaten gekommen ist. Zitat Vor Trojanern müsste ich eigentlich sicher sein, weil ich den Norton AntiVirus habe.Es gibt brauchbare und weniger brauchbare AV-Software...  Trotzdem würde ich Joschis Tipp hier beherzigen, mal ein HJT-Logzu erstellen und zu posten. Die Frage aller Fragen: Ist nach dem Providerwechsel *und* dem Formatieren Ruhe oder sind neue Aktionen vorgefallen? Wie dem auch sei: Sofern dein System nicht intern kompromittiert ist (war) und du keine Schwachstellen anbietest, die von extern ausgenutzt werden könnten, darf die ganze Welt deine IP wissen. Gruß, Sepia Dieser Beitrag wurde am 10.01.2005 um 14:41 Uhr von Sepia editiert.
|
|
|
|
|
|
|
10.01.2005, 16:12
Member
Themenstarter Beiträge: 22 |
#19
Ok, wissen ist ja in Ordnung, aber diese dann zu verwenden um Müll zu machen...
Ich habe einen ziemlich üblen "Feind" der was von meiner Freundin will und so wie es aussieht hat er Drohungen über meine IP geschrieben damit ich Ärger bekomme. Er hat zum Beispiel riesenlange Faxe verschickt, zu Zeiten, in denen ich nicht mal in der Nähe eines I-Net-Anschlusses war. Aber trotzdem wurde ermittelt, dass "ich" die Drohungen geschrieben habe. Das Problem ist nämlich, dass ich ne Bewährung laufen habe und das verleiht der ganzen Sache nämlich einen ganz anderen Charakter (der Kerl wusste davon). |
|
|
|
|
|
|
11.01.2005, 11:01
Member
Themenstarter Beiträge: 22 |
#20
Ich poste hier jetzt trotzdem mal nen Hijack-Log. Müsste zwar alles clean sein durch format aber sicher ist sicher:
Logfile of HijackThis v1.99.0 Scan saved at 10:58:48, on 11.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe E:\Programme\Norton AntiVirus\navapsvc.exe E:\Programme\Norton AntiVirus\SAVScan.exe E:\WINDOWS\system32\sdpasvc.exe E:\WINDOWS\system32\SLEE503.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE E:\Programme\Logitech\iTouch\iTouch.exe E:\WINDOWS\system32\devldr32.exe E:\WINDOWS\Dit.exe E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\Programme\Steganos Security Suite 6\spm.exe E:\Programme\WinZip\WZQKPICK.EXE E:\Programme\Microsoft Office\Office\OSA.EXE E:\Programme\OnlineCounter 2004\OnlineCounter.exe E:\Programme\Lexmark X125\LEX125SU.exe E:\WINDOWS\hpbtbqab.exe E:\Programme\Internet Explorer\iexplore.exe E:\PROGRA~1\WINZIP\winzip32.exe E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\RunServices: [WinLoader] hpbtbqab.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
|
|
|
11.01.2005, 21:22
Member
 Beiträge: 451 |
#21
na endlich
 - hat er es doch endlich geschafft also ich bitte nochmal die anderen den Log zu überfliegen... habe bisher nur: E:\WINDOWS\hpbtbqab.exe gefunden, die mir nicht bekannt ist. bitte lade die Datei: E:\WINDOWS\hpbtbqab.exe einmal hier hoch: http://virusscan.jotti.dhs.org/ und gucke ob dies ein Virus ist! falls das ein Trojaner ist, würde ich ihn eventuell nicht gleich löschen, sondern gemeinsam mit einem Experten / der Polizei "deinem Freund" eine Falle stellen! Gruß Tille __________ Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich. |
|
|
|
|
|
|
11.01.2005, 21:56
Member
Themenstarter Beiträge: 22 |
#22
F***!!!
Das ist n Backdoor Sub7. Habe versucht ihn zu löschen, jetzt steht da: Logfile of HijackThis v1.99.0 Scan saved at 21:56:23, on 11.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe E:\Programme\Norton AntiVirus\navapsvc.exe E:\Programme\Norton AntiVirus\SAVScan.exe E:\WINDOWS\system32\sdpasvc.exe E:\WINDOWS\system32\SLEE503.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE E:\Programme\Logitech\iTouch\iTouch.exe E:\WINDOWS\Dit.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\Programme\Steganos Security Suite 6\spm.exe E:\Programme\WinZip\WZQKPICK.EXE E:\Programme\iHCOPY\iHCOPY.exe E:\Programme\Microsoft Office\Office\OSA.EXE E:\Programme\OnlineCounter 2004\OnlineCounter.exe E:\WINDOWS\system32\devldr32.exe E:\Programme\Outlook Express\msimn.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Norton AntiVirus\OPScan.exe E:\PROGRA~1\WINZIP\winzip32.exe E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\RunServices: [WinLoader] tjwcywrjwl.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: iHCOPY 1.4.lnk = E:\Programme\iHCOPY\iHCOPY.exe O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7B7322FB-F234-40E1-8D1D-ED0F8BB51501}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
|
|
|
11.01.2005, 21:57
Member
Themenstarter Beiträge: 22 |
#23
Und wenn ich den mit Norton entferne, dann kommt der gleich wieder nur unter neuem Namen.
|
|
|
|
|
|
|
11.01.2005, 23:21
...neu hier
Beiträge: 2 |
#24
ich würde ihn nicht entfernen! Fahre den PC runter! Der Trojaner wird garantiert deine IP irgendwo hinschicken, sonst wäre er nutzlos. Das könnte die Polizei durchaus zum Täter führen. Also Inet weg und Anruf bei der Polizei.
|
|
|
|
|
|
|
12.01.2005, 17:48
Moderator
Beiträge: 7805 |
#25
Was du jetzt machen musst, haengt ein wenig von dem ab, was du willst.
Entweder Rechner von einem Profi untersuchen lassen, der feststellt, wie und wohin der Backdoor deine IP hinschickt( z.B. IRC/ICQ/EMAIL). Wenn dir das nun im endefekt egal ist, musst du "nur" den Rechner komplett neu aufsetzten und entsprechend absichern. Infos unter anderem hier: http://www.rokop-security.de/board/index.php?showtopic=3867 Selber wirst du den "Verursacher" auf jeden Fall nicht finden koennen. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
12.01.2005, 17:53
Moderator
Beiträge: 7805 |
#26
Wenn du den Backdoor noch hast, schicke ihn mal an virus@protecus.de
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
12.01.2005, 21:24
Member
Themenstarter Beiträge: 22 |
#27
Das Ding ist nicht wegzukriegen!
Hab es im abgesicherten Modus gelöscht (normal hab ich keine Zugriffsrechte), da war es weg, und als ich wieder normal hochgefahren habe, da war das Mistvieh wieder drin, nur unter anderem Namen. Es hat sich auch ein neuer Eintrag hinzugesellt, seht euch das mal an, ich weiß nicht, was ich davon halten soll. Logfile of HijackThis v1.99.0 Scan saved at 18:50:15, on 12.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe E:\Programme\Norton AntiVirus\navapsvc.exe E:\Programme\Norton AntiVirus\SAVScan.exe E:\WINDOWS\system32\sdpasvc.exe E:\WINDOWS\system32\SLEE503.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE E:\Programme\Logitech\iTouch\iTouch.exe E:\WINDOWS\Dit.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\Programme\Steganos Security Suite 6\spm.exe E:\Programme\WinZip\WZQKPICK.EXE E:\Programme\iHCOPY\iHCOPY.exe E:\WINDOWS\system32\devldr32.exe E:\Programme\Microsoft Office\Office\OSA.EXE E:\Programme\OnlineCounter 2004\OnlineCounter.exe E:\WINDOWS\krxvhnsiaruv.exe E:\PROGRA~1\WINZIP\winzip32.exe E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\RunServices: [WinLoader] mduqvsoiap.exe O4 - HKLM\..\RunServices: [Fax] krxvhnsiaruv.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: iHCOPY 1.4.lnk = E:\Programme\iHCOPY\iHCOPY.exe O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
|
|
|
12.01.2005, 22:27
Moderator
Beiträge: 7805 |
#28
Wie gesagt, schoicke mal diese Datei:
E:\WINDOWS\krxvhnsiaruv.exe und setz den Rechner neu auf. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
12.01.2005, 22:44
Member
Themenstarter Beiträge: 22 |
#29
Also wenn die Polizei nachverfolgen können an welchen ICQ die Dinger gehen, dann renn ich damit morgen hin und zeig den D*** an!
Wie kann man denn als Otto-Normal-User durch irgendwelche Programme feststellen mit welcher Mail-Adresse/ICQ/IRC der Trojaner gekoppelt ist? |
|
|
|
|
|
|
13.01.2005, 14:33
Moderator
Beiträge: 7805 |
#30
Meistens ist das "versteckt" in der Datei. Ich kenne so kein Programm, das das so immer auslesen kann.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Das Hijack-Log macht keinen Sinn, weil ich vor kurzem formatiert habe.