Probleme mit Angriffen eines Wurms namens Lovesan,Logfile anbei! |
||
---|---|---|
#0
| ||
22.05.2005, 00:46
Member
Beiträge: 18 |
||
|
||
22.05.2005, 13:08
Moderator
Beiträge: 7805 |
#2
Du solltst die "Firewall" von KAV 5.0 ausschalten. Sie scheint sich mit der Outpost Firewall ins Gehege zu kommen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2005, 14:48
Ehrenmitglied
Beiträge: 29434 |
#3
da ist ein FTP-Server aktiv (wahrscheinlich....)
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 15:09
Member
Themenstarter Beiträge: 18 |
#4
Hallo Sabina,
ich danke dir erstmal für deine Antwort. Wenn ich Start--> Ausfuehren--> cmd eingebe dann soll ich cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit eingeben? Danach öffnet sich ein system32 editor und dort soll ich die einträge der letzten 15 tage rauskopieren? Wo soll ich die kopien hinpacken? Und das mache ich dann mit jedem dieser Einträge?---> cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit __________ Gruß Binary |
|
|
||
22.05.2005, 18:32
Ehrenmitglied
Beiträge: 29434 |
#5
alles, was im Editor erscheint, sollst du hier ins Forum kopieren ...die letzten 15/16 Tage natuerlich nur, so kann ich sehen, was in diesen Tagen auf deinem PC erschienen ist
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 19:54
Member
Themenstarter Beiträge: 18 |
#6
Danke, OK ;-)
15.05.2005 11:47 2.957 jupdate-1.5.0_01-b08.log 10.05.2005 11:40 2.206 wpa.dbl 10.05.2005 01:07 16.832 amcompat.tlb 10.05.2005 01:07 23.392 nscompat.tlb 07.05.2005 20:54 21.961 nvapps.xml 07.05.2005 10:51 1.051.992 MRT.exe 30.04.2005 19:36 552 d3d8caps.dat 30.04.2005 14:46 664 d3d9caps.dat 28.04.2005 18:51 380.486 perfh009.dat 28.04.2005 18:51 52.900 perfc009.dat 28.04.2005 18:51 391.330 perfh007.dat 28.04.2005 18:51 63.778 perfc007.dat 28.04.2005 18:51 897.954 PerfStringBackup.INI 25.04.2005 18:39 4.150 lvcoinst.log 12.04.2005 23:03 110.192 FNTCACHE.DAT 12.04.2005 00:35 0 h323log.txt 12.04.2005 00:32 249 spupdwxp.log 11.04.2005 23:49 25.065 wmpscheme.xml 11.04.2005 23:45 249 $winnt$.inf 11.04.2005 23:42 2.951 CONFIG.NT 11.04.2005 23:40 488 WindowsLogon.manifest 11.04.2005 23:40 488 logonui.exe.manifest 11.04.2005 23:40 749 cdplayer.exe.manifest 11.04.2005 23:40 749 ncpa.cpl.manifest 11.04.2005 23:40 749 sapi.cpl.manifest 11.04.2005 23:40 749 wuaucpl.cpl.manifest 11.04.2005 23:40 749 nwc.cpl.manifest 11.04.2005 23:39 21.740 emptyregdb.dat 01.04.2005 16:16 81.920 nvwddi.dll 01.04.2005 16:16 1.662.976 nvwdmcpl.dll 01.04.2005 16:16 1.019.904 nvwimg.dll 01.04.2005 16:16 1.339.392 nvdspsch.exe 01.04.2005 16:16 1.495.040 nwiz.exe 01.04.2005 16:16 14.435 nvdisp.nvu 01.04.2005 16:16 540.672 nvhwvid.dll 01.04.2005 16:16 5.562.368 nvcpl.dll 01.04.2005 16:16 147.456 nvcolor.exe 01.04.2005 16:16 32.256 nvcodins.dll 01.04.2005 16:16 32.256 nvcod.dll 01.04.2005 16:16 176.128 nvudisp.exe 01.04.2005 16:16 393.216 keystone.exe 01.04.2005 16:16 127.043 nvsvc32.exe 01.04.2005 16:16 442.368 nvappbar.exe 01.04.2005 16:16 3.980.288 nv4_disp.dll 01.04.2005 16:16 466.944 nvshell.dll 01.04.2005 16:16 1.458.176 nview.dll 01.04.2005 16:16 5.332.992 nvoglnt.dll 01.04.2005 16:16 286.720 nvnt4cpl.dll 01.04.2005 16:16 86.016 nvmctray.dll 01.04.2005 16:16 73.728 nvtuicpl.cpl 21.03.2005 15:00 15.360 msisip.dll 21.03.2005 15:00 884.736 msimsg.dll 21.03.2005 15:00 271.360 msihnd.dll 21.03.2005 15:00 78.848 msiexec.exe 21.03.2005 15:00 2.890.240 msi.dll 10.03.2005 10:04 605.696 urlmon.dll 10.03.2005 10:04 1.483.776 shdocvw.dll 10.03.2005 10:04 662.528 wininet.dll 10.03.2005 10:04 474.112 shlwapi.dll 10.03.2005 10:04 3.010.560 mshtml.dll 10.03.2005 10:04 146.432 msrating.dll 10.03.2005 10:04 96.768 inseng.dll 10.03.2005 10:04 152.064 cdfview.dll 10.03.2005 10:04 1.016.832 browseui.dll 10.03.2005 10:04 250.880 iepeers.dll 22.05.2005 11:10 5.470 jusched.log 21.05.2005 16:36 0 jupdate1.5.0.xml 21.05.2005 13:38 49.152 ~DF8C15.tmp 20.05.2005 20:35 670 hpzcoi19.log 20.05.2005 20:35 1.452 hpzcoi18.log 20.05.2005 20:35 555 hpzcon01.log 20.05.2005 20:35 596 hpzcoi17.log 20.05.2005 20:35 596 hpzcoi16.log 20.05.2005 20:35 596 hpzcoi15.log 20.05.2005 20:35 596 hpzcoi14.log 20.05.2005 20:35 596 hpzcoi13.log 20.05.2005 20:35 596 hpzcoi12.log 20.05.2005 20:35 596 hpzcoi11.log 18.05.2005 19:02 3.666 HPZset002.log 18.05.2005 19:02 965 hpzrcv002.log 18.05.2005 19:02 758 hpzrei001.log 18.05.2005 19:02 625 hpzdui001.log 18.05.2005 18:59 827 hpzpsc008.log 18.05.2005 18:59 3.471 hpzpnp004.log 18.05.2005 18:50 6.863 TWAIN.LOG 18.05.2005 18:47 3 Twain001.Mtx 18.05.2005 18:47 156 Twunk001.MTX 18.05.2005 01:55 1.240 java_install_reg.log 15.05.2005 11:47 23.568 java_install.log 15.05.2005 11:43 6.022 jinstall.cfg 15.05.2005 11:42 80.554 tmp-7.xpi 14.05.2005 10:11 65.536 ~DF7EEB.tmp 13.05.2005 10:49 65.536 ~DFFC0F.tmp 12.05.2005 15:20 0 6lr49.tmp 12.05.2005 10:39 65.536 ~DF180D.tmp 11.05.2005 11:54 65.536 ~DF2874.tmp 11.05.2005 01:38 49.152 ~DFBF72.tmp 10.05.2005 23:03 65.536 ~DF2DB5.tmp 10.05.2005 22:33 2.796 Install_Log.txt 10.05.2005 22:00 0 ~1.tmp 10.05.2005 12:37 0 ~2.tmp 10.05.2005 12:36 388 MSI9207d.LOG 10.05.2005 11:06 272.170 SNDUpdater54U.log 10.05.2005 11:06 162 SNDunin.log 10.05.2005 11:05 4.275 IDSinst.LOG 10.05.2005 10:59 316 GLBF1.ini 10.05.2005 10:56 81 outpost.ini 10.05.2005 10:56 81 GLJF3.ini 10.05.2005 10:51 49.152 ~DF101B.tmp 10.05.2005 10:47 0 ~A2.tmp 10.05.2005 10:47 388 MSIbf037.LOG 10.05.2005 10:41 2.800.696 Norton Personal Firewall 5-10-2005 10h39m58s.log 10.05.2005 10:41 2.628 LSInstall.log 08.05.2005 20:26 65.536 ~DF4632.tmp 08.05.2005 11:31 65.536 ~DF5EAB.tmp 07.05.2005 22:58 65.536 ~DFB81E.tmp 07.05.2005 20:31 65.536 ~DF13CC.tmp 07.05.2005 16:23 65.536 ~DF9A71.tmp 07.05.2005 14:44 65.536 ~DF3E6B.tmp 07.05.2005 14:36 1.458.176 ~DF4CB0.tmp 07.05.2005 14:25 65.536 ~DF2D4C.tmp 07.05.2005 13:53 0 3jj5.tmp 07.05.2005 13:48 0 syt4.tmp 07.05.2005 13:43 65.536 ~DF9167.tmp 07.05.2005 09:08 65.536 ~DFF15.tmp 07.05.2005 00:24 65.536 ~DFF6FB.tmp 06.05.2005 23:58 245.760 1a3c.rra 06.05.2005 21:06 65.536 ~DF7360.tmp 06.05.2005 20:15 65.536 ~DFA534.tmp 06.05.2005 13:57 65.536 ~DF318B.tmp 03.05.2005 17:02 512 ~DFF6B4.tmp 03.05.2005 16:08 512 ~DF267F.tmp 03.05.2005 16:08 512 ~DF2663.tmp 03.05.2005 15:48 5.029 ~WRD1578.doc 03.05.2005 14:09 512 ~DFCC04.tmp 03.05.2005 13:19 525.824 ~WRS0003.tmp 03.05.2005 13:15 16.384 ~WRF0002.tmp 03.05.2005 13:15 512 ~DFA014.tmp 03.05.2005 13:15 512 ~DF9E1A.tmp 03.05.2005 07:12 50.180 825e_appcompat.txt 30.04.2005 14:38 797.676 IMT5.xml 30.04.2005 14:38 426 IMT4.xml 30.04.2005 14:38 2.036 IMT3.xml 30.04.2005 14:38 512 ~DF5224.tmp 30.04.2005 14:38 16.384 ~DF5217.tmp 29.04.2005 22:23 1.509 ~WRD0002.doc 29.04.2005 22:00 16.384 ~WRF0001.tmp 29.04.2005 22:00 512 ~DFAC30.tmp 29.04.2005 22:00 512 ~DF98D3.tmp 29.04.2005 21:55 4.605 ~WRD0001.doc 29.04.2005 21:55 16.384 ~WRF0000.tmp 29.04.2005 21:55 512 ~DF3731.tmp 29.04.2005 21:55 512 ~DF3428.tmp 29.04.2005 20:24 252 kb.log 29.04.2005 20:17 135.680 g32m522g.com 29.04.2005 20:08 16.384 ~DFA617.tmp 29.04.2005 13:02 65.536 ~DF5A51.tmp 29.04.2005 09:44 65.536 ~DF27D1.tmp 28.04.2005 22:36 80.554 tmp-6.xpi 28.04.2005 22:20 12.835.679 MWAV.LOG 28.04.2005 22:20 1.741 mwXface.log 22.05.2005 11:28 6.085 KB884020.log 22.05.2005 11:27 1.040 xpsp1hfm.log 22.05.2005 11:27 660 KB823980.log 22.05.2005 11:10 475.540 WindowsUpdate.log 22.05.2005 10:38 0 0.log 22.05.2005 10:37 159 wiadebug.log 22.05.2005 10:37 522 ODBC.INI 22.05.2005 10:37 49 transp.gif 22.05.2005 10:37 50 wiaservc.log 22.05.2005 10:36 2.048 bootstat.dat 22.05.2005 03:05 32.540 SchedLgU.Txt 22.05.2005 00:25 945.162 setupapi.log 21.05.2005 13:25 638 win.ini 21.05.2005 13:25 227 system.ini 21.05.2005 10:56 155 winamp.ini 21.05.2005 10:55 116 NeroDigital.ini 19.05.2005 15:26 75.809 wmsetup.log 16.05.2005 21:54 178.271 setupact.log 11.05.2005 00:50 100.482 UninstallThunderbird.exe 11.05.2005 00:50 7.153 mozver.dat 10.05.2005 01:11 236 wmsetup10.log 10.05.2005 01:06 316.640 WMSysPr9.prx 09.05.2005 15:39 99.970 UninstallFirefox.exe 28.04.2005 18:58 214.746 ntbtlog.txt 27.04.2005 09:37 544 _delis32.ini 26.04.2005 12:40 3.424 ModemLog_Smart Link 56K Voice Modem.txt 25.04.2005 18:33 159 Directx.log 25.04.2005 15:54 203.658 Digital Museum.jpg 25.04.2005 15:50 233.298 Deep Blue See.jpg 25.04.2005 15:50 615.895 Ice Planet - Mercury.jpg 25.04.2005 15:36 141.476 Clear Water.jpg 25.04.2005 14:09 151 PhotoSnapViewer.INI 23.04.2005 01:26 532 eReg.dat 19.04.2005 18:33 316 Clony2.ini 19.04.2005 18:31 91 ClonyDrives.ini 14.04.2005 23:57 103 ringtonemaker.INI 12.04.2005 23:38 0 nsreg.dat 12.04.2005 23:28 24.506 iis6.log 12.04.2005 23:28 42.942 ntdtcsetup.log 12.04.2005 23:28 69.202 comsetup.log 12.04.2005 23:28 76.797 tsoc.log 12.04.2005 23:28 4.566 imsins.log 12.04.2005 23:28 11.472 ocmsn.log 12.04.2005 23:28 120.035 ocgen.log 12.04.2005 23:28 9.941 msgsocm.log 12.04.2005 23:28 174.453 FaxSetup.log 12.04.2005 23:09 1.374 imsins.BAK 12.04.2005 23:09 22.876 KB893066.log 12.04.2005 23:02 2.908 COM+.log 12.04.2005 23:01 24.808 KB885835.log 12.04.2005 23:01 17.513 KB893803.log 12.04.2005 23:00 26.198 KB890859.log 12.04.2005 23:00 4.384 updspapi.log 12.04.2005 23:00 23.216 KB890923.log 12.04.2005 22:59 19.227 KB893086.log 12.04.2005 22:59 17.872 KB887742.log 12.04.2005 22:59 18.088 KB885250.log 12.04.2005 22:59 17.972 KB873333.log 12.04.2005 22:58 15.578 KB888113.log 12.04.2005 22:58 15.557 KB891781.log 12.04.2005 22:58 15.585 KB887472.log 12.04.2005 22:58 15.540 KB888302.log 12.04.2005 22:58 15.152 KB890175.log 12.04.2005 22:57 15.155 KB885836.log 12.04.2005 22:57 10.906 KB886185.log 12.04.2005 22:57 15.148 KB873339.log 12.04.2005 22:57 8.483 KB885884.log 12.04.2005 22:37 2.123 vminst.log 12.04.2005 21:33 3.941 SYMEVENT.LOG 12.04.2005 01:04 104.249 hpoins04.dat 12.04.2005 01:04 104.249 hpoins04.dat.temp 12.04.2005 00:33 28.991 spupdsvc.log 12.04.2005 00:33 360 DtcInstall.log 12.04.2005 00:33 1.174 OEWABLog.txt 12.04.2005 00:32 688.277 setuplog.txt 12.04.2005 00:31 0 Sti_Trace.log 12.04.2005 00:29 406.051 svcpack.log 12.04.2005 00:29 1.348 regopt.log 12.04.2005 00:28 0 setuperr.log 12.04.2005 00:05 200 cmsetacl.log 12.04.2005 00:04 1.330 sessmgr.setup.log 11.04.2005 23:54 557 medctroc.Log 11.04.2005 23:45 8.192 REGLOCS.OLD 11.04.2005 23:42 0 control.ini 11.04.2005 23:42 299.552 WMSysPrx.prx 11.04.2005 23:42 4.161 ODBCINST.INI 11.04.2005 23:41 280 Windows Update.log 11.04.2005 23:40 749 WindowsShell.Manifest 11.04.2005 23:38 37 vbaddin.ini 11.04.2005 23:38 36 vb.ini 22.05.2005 19:52 0 sys.txt 22.05.2005 19:51 7.532 system.txt 22.05.2005 19:50 24.135 systemtemp.txt 22.05.2005 14:59 94.452 system32.txt 22.05.2005 10:36 805.306.368 pagefile.sys 21.05.2005 13:25 211 boot.ini 25.04.2005 18:26 90 LogiSetup.log 15.04.2005 00:12 211 BOOT.BKK 12.04.2005 01:06 1.159 _Sid.txt 11.04.2005 23:58 47.564 NTDETECT.COM 11.04.2005 23:58 251.184 ntldr 11.04.2005 23:42 0 CONFIG.SYS 11.04.2005 23:42 0 MSDOS.SYS 11.04.2005 23:42 0 IO.SYS 11.04.2005 23:42 0 AUTOEXEC.BAT 06.02.2004 17:17 16.384 hpqimgrc.resources.dll 29.08.2002 14:00 4.952 bootfont.bin C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\uscscsi.dll: UPX! Finished bye danke dir nochmal vielmals! __________ Gruß Binary Dieser Beitrag wurde am 22.05.2005 um 21:25 Uhr von Binary editiert.
|
|
|
||
23.05.2005, 16:56
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Binary
Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten C:\WINDOWS\uscscsi.dll -->loeschen mache bitte Onlinecans+ berichte: http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2005, 21:34
Member
Themenstarter Beiträge: 18 |
#8
* DLLCompare Log version()
Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.259 items found: 1.259 files, 0 directories. Total of file sizes: 285.527.803 bytes 272,30 M Administrator Account = True --------------------End log--------------------- Die uscscsi.dll habe ich unter der Windows suchfunktion gefunden und gelöscht. Was genau war das für eine Datei? __________ Gruß Binary Dieser Beitrag wurde am 23.05.2005 um 21:38 Uhr von Binary editiert.
|
|
|
||
23.05.2005, 23:24
Ehrenmitglied
Beiträge: 29434 |
#9
die dll war nichts, was auf deinem PC sein sollte.....
Mache bitte noch die onlinescans+ berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2005, 20:31
Member
Themenstarter Beiträge: 18 |
#10
Hallo Sabina, der a² Online-Check hat ergeben das 2 Ports offen sind! Ich weiss nicht ob ich die hier nennen soll? Der eine wurde als gefährlich eingestuft.
__________ Gruß Binary |
|
|
||
24.05.2005, 22:57
Ehrenmitglied
Beiträge: 29434 |
||
|
||
24.05.2005, 23:09
Member
Themenstarter Beiträge: 18 |
#12
# Port 135
Folgende Programme oder Dienste verwenden diesen Port standardmäßig: DCE endpoint resolution # Port 4711 Folgende Trojaner oder Malware-Dateien verwenden diesen Port standardmäßig: Olfactor __________ Gruß Binary |
|
|
||
24.05.2005, 23:15
Ehrenmitglied
Beiträge: 29434 |
#13
du hast die XP-Firewall + den Outpost, das muesste eigentlich reichen.
Ist nun nach loeschen der dll Ruhe im Netstat ? Erstmalige Nutzer sollten damit Anfangen Ihre Windows File Sharing- und häufig genutzten Schnittstellen auf Schwachstellen zu prüfen. Nutzen Sie dazu die folgenden Buttons: http://www.grc.com/x/ne.dll?rh1dkyd2 windsdoorcleaner http://virus-protect.org/windsdoorcleaner.html <Sygate-Portscann http://scan.sygatetech.com/ http://virus-protect.org/firewalls.html ------------ Welcher Service/welches Programm öffnet welchen Port? Start<Ausfuehren -->cmd lässt sich dies an der jeweiligen PID feststellen. kopiere rein: tasklist /svc netstat -ano tlist /s | find "PID tasklist /svc | find "PID oben links klicken auf : Bearbeiten--> C:\ (kleines Symbol)-->Bearbeien--> alles markieren-->"enter"-Taste druecken und nun, da es in der Zwischenablage ist, mit rechter Maustaste klicken--> text wird automatisch abkopiert __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.05.2005, 19:34
Member
Themenstarter Beiträge: 18 |
#14
We have determined that your IP address is 84.879.896.722<---(geändert)
This is the public IP address that is visible to the internet. Note: this may not be your IP address if you are connecting through a router, proxy or firewall. Trying to gather information from your web browser... Operating System = Windows XP Browser = Firefox 1.0.3 Trying to find out your computer name... Unable to determine your computer name! Trying to find out what services you are running... Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\Besitzer>tasklist /svc Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer>tasklist/svc Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer> tasklist /svc Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer>netstat -ano Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status PID TCP 0.0.0.0:1110 0.0.0.0:0 ABHÖREN 740 TCP 0.0.0.0:1125 0.0.0.0:0 ABHÖREN 740 TCP 84.875.514.196:1072 195.27.247.202:80 WARTEND 0 TCP 127.0.0.1:1025 0.0.0.0:0 ABHÖREN 2160 TCP 127.0.0.1:1037 127.0.0.1:1038 HERGESTELLT 2456 TCP 127.0.0.1:1038 127.0.0.1:1037 HERGESTELLT 2456 UDP 0.0.0.0:68 *:* 1112 UDP 0.0.0.0:500 *:* 856 UDP 0.0.0.0:1039 *:* 1172 UDP 0.0.0.0:1069 *:* 1172 UDP 0.0.0.0:4500 *:* 856 UDP 84.189.214.172:123 *:* 1112 UDP 84.189.214.172:1900 *:* 1296 UDP 127.0.0.1:123 *:* 1112 UDP 127.0.0.1:1900 *:* 1296 UDP 169.254.181.3:123 *:* 1112 UDP 169.254.181.3:1900 *:* 1296 C:\Dokumente und Einstellungen\Besitzer>tlist /s | find "PID Der Befehl "tlist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer>tasklist /svc | find "PID Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer> C:\Dokumente und Einstellungen\Besitzer>tasklist /svc | find "PID Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Dokumente und Einstellungen\Besitzer>tasklist Der Befehl "tasklist" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Wie du wahrscheinlich schon gesehen hast hat er einige befehle nicht erkannt? Zu deiner frage (Ist nun nach loeschen der dll Ruhe im Netstat ?) Nein es ist keine ruhe, passiert nach wie vor. Ich habe Kaspersky noch mal durchlaufen lassen und es hat drei Viren gefunden. Vieleich sagen dir das was: C:\....Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6699b1e6-4162c174.zip\BlackBox.class das war wohl mit einem virus namens Exploit.Java.ByteVerify dieser Virus wurde 2 mal gefunden. Dann gab es noch diesen Trojan-Downloader.Java.OpenConnection.aa Hier ist nochmal meine Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:32:26, on 27.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.068\HijackThis.exe O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113337233794 O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4494/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe Achso die online scanns hatten nichts ergeben. __________ Gruß Binary |
|
|
||
27.05.2005, 23:37
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@Binary
Hier noch einmal eine genaue Anleitung tasklist /svc http://msmvps.com/kwsupport/archive/2005/02/20/36524.aspx man muss die PID mit eingeben,also den Dienst, den man ueberpruefen will. zum Beispiel: 1112 netstat -aon | find ":1112" tasklist /svc | find "nnn" --------------------------------------------------------------------- Trojan.ByteVerify is a Trojan Horse that exploits the vulnerability described in Microsoft Security Bulletin MS03-011 and could provide a hacker the ability to run arbitrary code on an infected system. ansonsten kann ich nichts weiter sehen, weder im HijackThis, noch in den aufgelisteten Dateien, http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075299 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe probleme mit angriffen, von einem wurm namens LOVESAN. Sobald ich ins netz gehe meldet mir Kaspersky Anti-Virus:
"Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt."
Wenn ich diese meldung wegklicke kommt immer wieder eine neue und das hört nicht mehr auf, dabei wechselt die ip des angreifers.
Habe schon mein Antivirus Progi (Kaspersky AntiVirus Personal) durchlaufen lassen ohne erfolg, kein virus gefunden. Das Tool fixblast habe ich auch durchlaufen lassen ebenfalls ohne erfolg.
Ich hatte 2 Prozesse mit dem namen svchost.exe blockiert. Der eine Prozess mit der remote adresse ...dip.t-dialin.net und der andere mit einer ip addy.
Die Meldung von Kaspersky " Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt blieb aus.
Die Prozesse versuchten mehrmals in der minute zuzugreifen wurden aber von meiner firewall blockiert.
Nachdem ich auf eine interseite mit dem namen ogame gegangen bin, meldete antivir sofort wieder einen angriff.
Jetzt habe ich das selbe problem wie vorher, ich glaube nicht das es an dieser oben genannten site liegt, bin tage zuvor auch ohne probleme auf dieser site gewesen.
Kann es sein das ein port bei mir offen ist und dieser wurm versucht auf meinen rechner zuzugreifen?
Ich kenne mich mit meiner firewall noch nicht so gut aus bzw wenn meine firewall ein prog nennt was eine eingehende/ausgehende verbindung benötigt kann ich nicht immer bestimmen was das genau für eine anwendung ist. Soll man die blockieren oder nicht.
Hatte vorher die Personal Firewall von norton die anwender freundlicher ist.
Habe unter ausführen---> cmd--->netstat noch einige eigenartige remoteadressen gefunden
Hier meine Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:18:43, on 22.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX20.838\HijackThis.exe
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113337233794
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Ich hoffe ihr könnt mir weiterhelfen!
Ich danke schon einmal im vorraus!!!
__________
Gruß
Binary