Probleme mit Angriffen eines Wurms namens Lovesan,Logfile anbei!

#1 Hallo an alle,

ich habe probleme mit angriffen, von einem wurm namens LOVESAN. Sobald ich ins netz gehe meldet mir Kaspersky Anti-Virus:

"Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt."

Wenn ich diese meldung wegklicke kommt immer wieder eine neue und das hört nicht mehr auf, dabei wechselt die ip des angreifers.

Habe schon mein Antivirus Progi (Kaspersky AntiVirus Personal) durchlaufen lassen ohne erfolg, kein virus gefunden. Das Tool fixblast habe ich auch durchlaufen lassen ebenfalls ohne erfolg.

Ich hatte 2 Prozesse mit dem namen svchost.exe blockiert. Der eine Prozess mit der remote adresse ...dip.t-dialin.net und der andere mit einer ip addy.

Die Meldung von Kaspersky " Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt blieb aus.

Die Prozesse versuchten mehrmals in der minute zuzugreifen wurden aber von meiner firewall blockiert.

Nachdem ich auf eine interseite mit dem namen ogame gegangen bin, meldete antivir sofort wieder einen angriff.

Jetzt habe ich das selbe problem wie vorher, ich glaube nicht das es an dieser oben genannten site liegt, bin tage zuvor auch ohne probleme auf dieser site gewesen.

Kann es sein das ein port bei mir offen ist und dieser wurm versucht auf meinen rechner zuzugreifen?

Ich kenne mich mit meiner firewall noch nicht so gut aus bzw wenn meine firewall ein prog nennt was eine eingehende/ausgehende verbindung benötigt kann ich nicht immer bestimmen was das genau für eine anwendung ist. Soll man die blockieren oder nicht.

Hatte vorher die Personal Firewall von norton die anwender freundlicher ist.

Habe unter ausführen---> cmd--->netstat noch einige eigenartige remoteadressen gefunden



Hier meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:18:43, on 22.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX20.838\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113337233794
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Ich hoffe ihr könnt mir weiterhelfen!
Ich danke schon einmal im vorraus!!!
__________
Gruß
Binary

#2 Du solltst die "Firewall" von KAV 5.0 ausschalten. Sie scheint sich mit der Outpost Firewall ins Gehege zu kommen.
__________
MfG Ralf
SEO-Spam Hunter

#3 da ist ein FTP-Server aktiv (wahrscheinlich....)

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo Sabina,

ich danke dir erstmal für deine Antwort.

Wenn ich Start--> Ausfuehren--> cmd eingebe dann soll ich

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

eingeben?

Danach öffnet sich ein system32 editor und dort soll ich die einträge der letzten 15 tage rauskopieren? Wo soll ich die kopien hinpacken?

Und das mache ich dann mit jedem dieser Einträge?--->

cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
__________
Gruß
Binary

#5 alles, was im Editor erscheint, sollst du hier ins Forum kopieren ...die letzten 15/16 Tage natuerlich nur, so kann ich sehen, was in diesen Tagen auf deinem PC erschienen ist
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Danke, OK ;-)

15.05.2005 11:47 2.957 jupdate-1.5.0_01-b08.log
10.05.2005 11:40 2.206 wpa.dbl
10.05.2005 01:07 16.832 amcompat.tlb
10.05.2005 01:07 23.392 nscompat.tlb
07.05.2005 20:54 21.961 nvapps.xml
07.05.2005 10:51 1.051.992 MRT.exe
30.04.2005 19:36 552 d3d8caps.dat
30.04.2005 14:46 664 d3d9caps.dat
28.04.2005 18:51 380.486 perfh009.dat
28.04.2005 18:51 52.900 perfc009.dat
28.04.2005 18:51 391.330 perfh007.dat
28.04.2005 18:51 63.778 perfc007.dat
28.04.2005 18:51 897.954 PerfStringBackup.INI
25.04.2005 18:39 4.150 lvcoinst.log
12.04.2005 23:03 110.192 FNTCACHE.DAT
12.04.2005 00:35 0 h323log.txt
12.04.2005 00:32 249 spupdwxp.log
11.04.2005 23:49 25.065 wmpscheme.xml
11.04.2005 23:45 249 $winnt$.inf
11.04.2005 23:42 2.951 CONFIG.NT
11.04.2005 23:40 488 WindowsLogon.manifest
11.04.2005 23:40 488 logonui.exe.manifest
11.04.2005 23:40 749 cdplayer.exe.manifest
11.04.2005 23:40 749 ncpa.cpl.manifest
11.04.2005 23:40 749 sapi.cpl.manifest
11.04.2005 23:40 749 wuaucpl.cpl.manifest
11.04.2005 23:40 749 nwc.cpl.manifest
11.04.2005 23:39 21.740 emptyregdb.dat
01.04.2005 16:16 81.920 nvwddi.dll
01.04.2005 16:16 1.662.976 nvwdmcpl.dll
01.04.2005 16:16 1.019.904 nvwimg.dll
01.04.2005 16:16 1.339.392 nvdspsch.exe
01.04.2005 16:16 1.495.040 nwiz.exe
01.04.2005 16:16 14.435 nvdisp.nvu
01.04.2005 16:16 540.672 nvhwvid.dll
01.04.2005 16:16 5.562.368 nvcpl.dll
01.04.2005 16:16 147.456 nvcolor.exe
01.04.2005 16:16 32.256 nvcodins.dll
01.04.2005 16:16 32.256 nvcod.dll
01.04.2005 16:16 176.128 nvudisp.exe
01.04.2005 16:16 393.216 keystone.exe
01.04.2005 16:16 127.043 nvsvc32.exe
01.04.2005 16:16 442.368 nvappbar.exe
01.04.2005 16:16 3.980.288 nv4_disp.dll
01.04.2005 16:16 466.944 nvshell.dll
01.04.2005 16:16 1.458.176 nview.dll
01.04.2005 16:16 5.332.992 nvoglnt.dll
01.04.2005 16:16 286.720 nvnt4cpl.dll
01.04.2005 16:16 86.016 nvmctray.dll
01.04.2005 16:16 73.728 nvtuicpl.cpl
21.03.2005 15:00 15.360 msisip.dll
21.03.2005 15:00 884.736 msimsg.dll
21.03.2005 15:00 271.360 msihnd.dll
21.03.2005 15:00 78.848 msiexec.exe
21.03.2005 15:00 2.890.240 msi.dll
10.03.2005 10:04 605.696 urlmon.dll
10.03.2005 10:04 1.483.776 shdocvw.dll
10.03.2005 10:04 662.528 wininet.dll
10.03.2005 10:04 474.112 shlwapi.dll
10.03.2005 10:04 3.010.560 mshtml.dll
10.03.2005 10:04 146.432 msrating.dll
10.03.2005 10:04 96.768 inseng.dll
10.03.2005 10:04 152.064 cdfview.dll
10.03.2005 10:04 1.016.832 browseui.dll
10.03.2005 10:04 250.880 iepeers.dll

22.05.2005 11:10 5.470 jusched.log
21.05.2005 16:36 0 jupdate1.5.0.xml
21.05.2005 13:38 49.152 ~DF8C15.tmp
20.05.2005 20:35 670 hpzcoi19.log
20.05.2005 20:35 1.452 hpzcoi18.log
20.05.2005 20:35 555 hpzcon01.log
20.05.2005 20:35 596 hpzcoi17.log
20.05.2005 20:35 596 hpzcoi16.log
20.05.2005 20:35 596 hpzcoi15.log
20.05.2005 20:35 596 hpzcoi14.log
20.05.2005 20:35 596 hpzcoi13.log
20.05.2005 20:35 596 hpzcoi12.log
20.05.2005 20:35 596 hpzcoi11.log
18.05.2005 19:02 3.666 HPZset002.log
18.05.2005 19:02 965 hpzrcv002.log
18.05.2005 19:02 758 hpzrei001.log
18.05.2005 19:02 625 hpzdui001.log
18.05.2005 18:59 827 hpzpsc008.log
18.05.2005 18:59 3.471 hpzpnp004.log
18.05.2005 18:50 6.863 TWAIN.LOG
18.05.2005 18:47 3 Twain001.Mtx
18.05.2005 18:47 156 Twunk001.MTX
18.05.2005 01:55 1.240 java_install_reg.log
15.05.2005 11:47 23.568 java_install.log
15.05.2005 11:43 6.022 jinstall.cfg
15.05.2005 11:42 80.554 tmp-7.xpi
14.05.2005 10:11 65.536 ~DF7EEB.tmp
13.05.2005 10:49 65.536 ~DFFC0F.tmp
12.05.2005 15:20 0 6lr49.tmp
12.05.2005 10:39 65.536 ~DF180D.tmp
11.05.2005 11:54 65.536 ~DF2874.tmp
11.05.2005 01:38 49.152 ~DFBF72.tmp
10.05.2005 23:03 65.536 ~DF2DB5.tmp
10.05.2005 22:33 2.796 Install_Log.txt
10.05.2005 22:00 0 ~1.tmp
10.05.2005 12:37 0 ~2.tmp
10.05.2005 12:36 388 MSI9207d.LOG
10.05.2005 11:06 272.170 SNDUpdater54U.log
10.05.2005 11:06 162 SNDunin.log
10.05.2005 11:05 4.275 IDSinst.LOG
10.05.2005 10:59 316 GLBF1.ini
10.05.2005 10:56 81 outpost.ini
10.05.2005 10:56 81 GLJF3.ini
10.05.2005 10:51 49.152 ~DF101B.tmp
10.05.2005 10:47 0 ~A2.tmp
10.05.2005 10:47 388 MSIbf037.LOG
10.05.2005 10:41 2.800.696 Norton Personal Firewall 5-10-2005 10h39m58s.log
10.05.2005 10:41 2.628 LSInstall.log
08.05.2005 20:26 65.536 ~DF4632.tmp
08.05.2005 11:31 65.536 ~DF5EAB.tmp
07.05.2005 22:58 65.536 ~DFB81E.tmp
07.05.2005 20:31 65.536 ~DF13CC.tmp
07.05.2005 16:23 65.536 ~DF9A71.tmp
07.05.2005 14:44 65.536 ~DF3E6B.tmp
07.05.2005 14:36 1.458.176 ~DF4CB0.tmp
07.05.2005 14:25 65.536 ~DF2D4C.tmp
07.05.2005 13:53 0 3jj5.tmp
07.05.2005 13:48 0 syt4.tmp
07.05.2005 13:43 65.536 ~DF9167.tmp
07.05.2005 09:08 65.536 ~DFF15.tmp
07.05.2005 00:24 65.536 ~DFF6FB.tmp
06.05.2005 23:58 245.760 1a3c.rra
06.05.2005 21:06 65.536 ~DF7360.tmp
06.05.2005 20:15 65.536 ~DFA534.tmp
06.05.2005 13:57 65.536 ~DF318B.tmp
03.05.2005 17:02 512 ~DFF6B4.tmp
03.05.2005 16:08 512 ~DF267F.tmp
03.05.2005 16:08 512 ~DF2663.tmp
03.05.2005 15:48 5.029 ~WRD1578.doc
03.05.2005 14:09 512 ~DFCC04.tmp
03.05.2005 13:19 525.824 ~WRS0003.tmp
03.05.2005 13:15 16.384 ~WRF0002.tmp
03.05.2005 13:15 512 ~DFA014.tmp
03.05.2005 13:15 512 ~DF9E1A.tmp
03.05.2005 07:12 50.180 825e_appcompat.txt
30.04.2005 14:38 797.676 IMT5.xml
30.04.2005 14:38 426 IMT4.xml
30.04.2005 14:38 2.036 IMT3.xml
30.04.2005 14:38 512 ~DF5224.tmp
30.04.2005 14:38 16.384 ~DF5217.tmp
29.04.2005 22:23 1.509 ~WRD0002.doc
29.04.2005 22:00 16.384 ~WRF0001.tmp
29.04.2005 22:00 512 ~DFAC30.tmp
29.04.2005 22:00 512 ~DF98D3.tmp
29.04.2005 21:55 4.605 ~WRD0001.doc
29.04.2005 21:55 16.384 ~WRF0000.tmp
29.04.2005 21:55 512 ~DF3731.tmp
29.04.2005 21:55 512 ~DF3428.tmp
29.04.2005 20:24 252 kb.log
29.04.2005 20:17 135.680 g32m522g.com
29.04.2005 20:08 16.384 ~DFA617.tmp
29.04.2005 13:02 65.536 ~DF5A51.tmp
29.04.2005 09:44 65.536 ~DF27D1.tmp
28.04.2005 22:36 80.554 tmp-6.xpi
28.04.2005 22:20 12.835.679 MWAV.LOG
28.04.2005 22:20 1.741 mwXface.log

22.05.2005 11:28 6.085 KB884020.log
22.05.2005 11:27 1.040 xpsp1hfm.log
22.05.2005 11:27 660 KB823980.log
22.05.2005 11:10 475.540 WindowsUpdate.log
22.05.2005 10:38 0 0.log
22.05.2005 10:37 159 wiadebug.log
22.05.2005 10:37 522 ODBC.INI
22.05.2005 10:37 49 transp.gif
22.05.2005 10:37 50 wiaservc.log
22.05.2005 10:36 2.048 bootstat.dat
22.05.2005 03:05 32.540 SchedLgU.Txt
22.05.2005 00:25 945.162 setupapi.log
21.05.2005 13:25 638 win.ini
21.05.2005 13:25 227 system.ini
21.05.2005 10:56 155 winamp.ini
21.05.2005 10:55 116 NeroDigital.ini
19.05.2005 15:26 75.809 wmsetup.log
16.05.2005 21:54 178.271 setupact.log
11.05.2005 00:50 100.482 UninstallThunderbird.exe
11.05.2005 00:50 7.153 mozver.dat
10.05.2005 01:11 236 wmsetup10.log
10.05.2005 01:06 316.640 WMSysPr9.prx
09.05.2005 15:39 99.970 UninstallFirefox.exe
28.04.2005 18:58 214.746 ntbtlog.txt
27.04.2005 09:37 544 _delis32.ini
26.04.2005 12:40 3.424 ModemLog_Smart Link 56K Voice Modem.txt
25.04.2005 18:33 159 Directx.log
25.04.2005 15:54 203.658 Digital Museum.jpg
25.04.2005 15:50 233.298 Deep Blue See.jpg
25.04.2005 15:50 615.895 Ice Planet - Mercury.jpg
25.04.2005 15:36 141.476 Clear Water.jpg
25.04.2005 14:09 151 PhotoSnapViewer.INI
23.04.2005 01:26 532 eReg.dat
19.04.2005 18:33 316 Clony2.ini
19.04.2005 18:31 91 ClonyDrives.ini
14.04.2005 23:57 103 ringtonemaker.INI
12.04.2005 23:38 0 nsreg.dat
12.04.2005 23:28 24.506 iis6.log
12.04.2005 23:28 42.942 ntdtcsetup.log
12.04.2005 23:28 69.202 comsetup.log
12.04.2005 23:28 76.797 tsoc.log
12.04.2005 23:28 4.566 imsins.log
12.04.2005 23:28 11.472 ocmsn.log
12.04.2005 23:28 120.035 ocgen.log
12.04.2005 23:28 9.941 msgsocm.log
12.04.2005 23:28 174.453 FaxSetup.log
12.04.2005 23:09 1.374 imsins.BAK
12.04.2005 23:09 22.876 KB893066.log
12.04.2005 23:02 2.908 COM+.log
12.04.2005 23:01 24.808 KB885835.log
12.04.2005 23:01 17.513 KB893803.log
12.04.2005 23:00 26.198 KB890859.log
12.04.2005 23:00 4.384 updspapi.log
12.04.2005 23:00 23.216 KB890923.log
12.04.2005 22:59 19.227 KB893086.log
12.04.2005 22:59 17.872 KB887742.log
12.04.2005 22:59 18.088 KB885250.log
12.04.2005 22:59 17.972 KB873333.log
12.04.2005 22:58 15.578 KB888113.log
12.04.2005 22:58 15.557 KB891781.log
12.04.2005 22:58 15.585 KB887472.log
12.04.2005 22:58 15.540 KB888302.log
12.04.2005 22:58 15.152 KB890175.log
12.04.2005 22:57 15.155 KB885836.log
12.04.2005 22:57 10.906 KB886185.log
12.04.2005 22:57 15.148 KB873339.log
12.04.2005 22:57 8.483 KB885884.log
12.04.2005 22:37 2.123 vminst.log
12.04.2005 21:33 3.941 SYMEVENT.LOG
12.04.2005 01:04 104.249 hpoins04.dat
12.04.2005 01:04 104.249 hpoins04.dat.temp
12.04.2005 00:33 28.991 spupdsvc.log
12.04.2005 00:33 360 DtcInstall.log
12.04.2005 00:33 1.174 OEWABLog.txt
12.04.2005 00:32 688.277 setuplog.txt
12.04.2005 00:31 0 Sti_Trace.log
12.04.2005 00:29 406.051 svcpack.log
12.04.2005 00:29 1.348 regopt.log
12.04.2005 00:28 0 setuperr.log
12.04.2005 00:05 200 cmsetacl.log
12.04.2005 00:04 1.330 sessmgr.setup.log
11.04.2005 23:54 557 medctroc.Log
11.04.2005 23:45 8.192 REGLOCS.OLD
11.04.2005 23:42 0 control.ini
11.04.2005 23:42 299.552 WMSysPrx.prx
11.04.2005 23:42 4.161 ODBCINST.INI
11.04.2005 23:41 280 Windows Update.log
11.04.2005 23:40 749 WindowsShell.Manifest
11.04.2005 23:38 37 vbaddin.ini
11.04.2005 23:38 36 vb.ini

22.05.2005 19:52 0 sys.txt
22.05.2005 19:51 7.532 system.txt
22.05.2005 19:50 24.135 systemtemp.txt
22.05.2005 14:59 94.452 system32.txt
22.05.2005 10:36 805.306.368 pagefile.sys
21.05.2005 13:25 211 boot.ini
25.04.2005 18:26 90 LogiSetup.log
15.04.2005 00:12 211 BOOT.BKK
12.04.2005 01:06 1.159 _Sid.txt
11.04.2005 23:58 47.564 NTDETECT.COM
11.04.2005 23:58 251.184 ntldr
11.04.2005 23:42 0 CONFIG.SYS
11.04.2005 23:42 0 MSDOS.SYS
11.04.2005 23:42 0 IO.SYS
11.04.2005 23:42 0 AUTOEXEC.BAT
06.02.2004 17:17 16.384 hpqimgrc.resources.dll
29.08.2002 14:00 4.952 bootfont.bin



C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\uscscsi.dll: UPX!
Finished
bye


danke dir nochmal vielmals!
__________
Gruß
Binary

#7 Hallo@Binary

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

C:\WINDOWS\uscscsi.dll -->loeschen

mache bitte Onlinecans+ berichte:
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 * DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.259 items found: 1.259 files, 0 directories.
Total of file sizes: 285.527.803 bytes 272,30 M

Administrator Account = True

--------------------End log---------------------


Die uscscsi.dll habe ich unter der Windows suchfunktion gefunden und gelöscht.
Was genau war das für eine Datei?
__________
Gruß
Binary

#9 die dll war nichts, was auf deinem PC sein sollte.....

Mache bitte noch die onlinescans+ berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina, der a² Online-Check hat ergeben das 2 Ports offen sind! Ich weiss nicht ob ich die hier nennen soll? Der eine wurde als gefährlich eingestuft.
__________
Gruß
Binary

#11 welche Ports sind es denn?
__________
MfG Sabina

rund um die PC-Sicherheit

#12 # Port 135

Folgende Programme oder Dienste verwenden diesen Port standardmäßig:
DCE endpoint resolution

# Port 4711

Folgende Trojaner oder Malware-Dateien verwenden diesen Port standardmäßig:
Olfactor
__________
Gruß
Binary

#13 du hast die XP-Firewall + den Outpost, das muesste eigentlich reichen.

Ist nun nach loeschen der dll Ruhe im Netstat ?

Erstmalige Nutzer sollten damit Anfangen Ihre Windows File Sharing- und häufig genutzten Schnittstellen auf Schwachstellen zu prüfen. Nutzen Sie dazu die folgenden Buttons:
http://www.grc.com/x/ne.dll?rh1dkyd2

windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html

<Sygate-Portscann
http://scan.sygatetech.com/
http://virus-protect.org/firewalls.html

------------

Welcher Service/welches Programm öffnet welchen Port?
Start<Ausfuehren -->cmd

lässt sich dies an der jeweiligen PID feststellen.

kopiere rein:

tasklist /svc

netstat -ano

tlist /s | find "PID

tasklist /svc | find "PID

oben links klicken auf : Bearbeiten--> C:\ (kleines Symbol)-->Bearbeien--> alles markieren-->"enter"-Taste druecken und nun, da es in der Zwischenablage ist, mit rechter Maustaste klicken--> text wird automatisch abkopiert
__________
MfG Sabina

rund um die PC-Sicherheit

#14 We have determined that your IP address is 84.879.896.722<---(geändert)
This is the public IP address that is visible to the internet.
Note: this may not be your IP address if you are connecting through a router, proxy or firewall.


Trying to gather information from your web browser...
Operating System = Windows XP
Browser = Firefox 1.0.3

Trying to find out your computer name...

Unable to determine your computer name!

Trying to find out what services you are running...

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Besitzer>tasklist /svc
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer>tasklist/svc
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer> tasklist /svc
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer>netstat -ano

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:1110 0.0.0.0:0 ABHÖREN 740
TCP 0.0.0.0:1125 0.0.0.0:0 ABHÖREN 740
TCP 84.875.514.196:1072 195.27.247.202:80 WARTEND 0
TCP 127.0.0.1:1025 0.0.0.0:0 ABHÖREN 2160
TCP 127.0.0.1:1037 127.0.0.1:1038 HERGESTELLT 2456
TCP 127.0.0.1:1038 127.0.0.1:1037 HERGESTELLT 2456
UDP 0.0.0.0:68 *:* 1112
UDP 0.0.0.0:500 *:* 856
UDP 0.0.0.0:1039 *:* 1172
UDP 0.0.0.0:1069 *:* 1172
UDP 0.0.0.0:4500 *:* 856
UDP 84.189.214.172:123 *:* 1112
UDP 84.189.214.172:1900 *:* 1296
UDP 127.0.0.1:123 *:* 1112
UDP 127.0.0.1:1900 *:* 1296
UDP 169.254.181.3:123 *:* 1112
UDP 169.254.181.3:1900 *:* 1296

C:\Dokumente und Einstellungen\Besitzer>tlist /s | find "PID
Der Befehl "tlist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer>tasklist /svc | find "PID
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer>
C:\Dokumente und Einstellungen\Besitzer>tasklist /svc | find "PID
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\Besitzer>tasklist
Der Befehl "tasklist" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Wie du wahrscheinlich schon gesehen hast hat er einige befehle nicht erkannt?

Zu deiner frage (Ist nun nach loeschen der dll Ruhe im Netstat ?)

Nein es ist keine ruhe, passiert nach wie vor.

Ich habe Kaspersky noch mal durchlaufen lassen und es hat drei Viren gefunden. Vieleich sagen dir das was:

C:\....Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-6699b1e6-4162c174.zip\BlackBox.class
das war wohl mit einem virus namens Exploit.Java.ByteVerify
dieser Virus wurde 2 mal gefunden.

Dann gab es noch diesen Trojan-Downloader.Java.OpenConnection.aa

Hier ist nochmal meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:32:26, on 27.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.068\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113337233794
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4494/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe



Achso die online scanns hatten nichts ergeben.
__________
Gruß
Binary

#15 Hallo@Binary

Hier noch einmal eine genaue Anleitung

tasklist /svc

http://msmvps.com/kwsupport/archive/2005/02/20/36524.aspx

man muss die PID mit eingeben,also den Dienst, den man ueberpruefen will.
zum Beispiel: 1112

netstat -aon | find ":1112"

tasklist /svc | find "nnn"
---------------------------------------------------------------------

Trojan.ByteVerify is a Trojan Horse that exploits the vulnerability described in Microsoft Security Bulletin MS03-011 and could provide a hacker the ability to run arbitrary code on an infected system.

ansonsten kann ich nichts weiter sehen, weder im HijackThis, noch in den aufgelisteten Dateien,
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075299
__________
MfG Sabina

rund um die PC-Sicherheit