geänderte ntoskrnl.exe auf port 135 funlove?

#0
12.11.2005, 00:56
...neu hier

Beiträge: 10
#1 Hallo bin neu und absolut verzweifelt:
Ich habe im Netzwerk mir wahrscheinlich den Funlove zugezogen, oder eine Abart davon. Ich wollte hinter dem Router einen FTP-Server (IIS5.0) aufmachen, da mein Kumpel nicht connecten konnte, habe ich die Firewall ausgemacht, um zu sehen, ob es daran liegt. Ging nicht, aber mein REchner wurde per RPC runtergefahren, was ich mit "shutdown -a" verhindert habe. Bei Überprüfung kein Sasser zu finden. Sygate PFW meldete aber nun, dass ein lsass buffer overflow attempt verhindert wurde, siehe da: ntoskrnl.exe versucht über port 135 zu kommunizieren...
Als antwort dann der Versuch, mit dem Lsass-Exploit meinen Rechner anzugreifen. Habe die Ports 135, 137-139, 445 und 539 dann dicht gemacht.
Kein Scanner schlägt an,
und svv liefert:

Zitat

ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict = 5).
tcpip.sys (ec501000 - ec559000)... suspected! (verdict = 5).

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
Bin nicht sicher, was es ist (Lsass-Exploit /Funlove ) und wie ich den runterbekomme...
bin für jeden Ratschlag dankbar...

mfg

bender34
Seitenanfang Seitenende
12.11.2005, 01:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@bender34

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

poste die 4 logs ;)
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 01:44
...neu hier

Themenstarter

Beiträge: 10
#3 Liebe Sabina, vielen Dank für die schnelle Antwort...

CCCLeaner ist ausgeführt...

Anbei die vier Logs

Zitat

Verzeichnis von C:\WINDOWS\system32

12.11.2005 01:02 1.080 settings.sfm
12.11.2005 01:02 1.080 settingsbkup.sfm
12.11.2005 01:02 11.564 DVCState-{00000002-00000000-00000006-00001102-00000004-20021102}.rfx
12.11.2005 01:02 31.056 BMXStateBkp-{00000002-00000000-00000006-00001102-00000004-20021102}.rfx
12.11.2005 01:02 31.056 BMXState-{00000002-00000000-00000006-00001102-00000004-20021102}.rfx
12.11.2005 01:02 30.528 BMXBkpCtrlState-{00000002-00000000-00000006-00001102-00000004-20021102}.rfx
12.11.2005 01:02 30.528 BMXCtrlState-{00000002-00000000-00000006-00001102-00000004-20021102}.rfx
10.11.2005 23:39 14.848 BASSMOD.dll
10.11.2005 13:59 401.200 perfh009.dat
10.11.2005 13:59 62.480 perfc009.dat
10.11.2005 13:59 75.194 perfc007.dat
10.11.2005 13:59 415.800 perfh007.dat
10.11.2005 13:59 966.250 PerfStringBackup.INI
10.11.2005 13:43 2.206 wpa.dbl
09.11.2005 18:08 45 initdebug.nfo
09.11.2005 17:16 91.888 FNTCACHE.DAT
09.11.2005 16:03 3.171 qtplugin.log
09.11.2005 15:12 233.472 wrap_oal.dll
09.11.2005 15:12 81.920 OpenAL32.dll
09.11.2005 14:49 403 $winnt$.inf
09.11.2005 14:47 2.951 CONFIG.NT
09.11.2005 14:46 16.832 amcompat.tlb
09.11.2005 14:46 23.392 nscompat.tlb
09.11.2005 14:46 488 logonui.exe.manifest
09.11.2005 14:46 488 WindowsLogon.manifest
09.11.2005 14:46 749 ncpa.cpl.manifest
09.11.2005 14:46 749 cdplayer.exe.manifest
09.11.2005 14:46 749 wuaucpl.cpl.manifest
09.11.2005 14:46 749 sapi.cpl.manifest
09.11.2005 14:46 749 nwc.cpl.manifest
09.11.2005 14:44 21.740 emptyregdb.dat
09.11.2005 14:42 0 h323log.txt
02.11.2005 10:49 2.377.568 MRT.exe
25.10.2005 22:48 131.072 snapapi.dll
25.10.2005 22:48 8.704 relog_ap.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 83.456 dfshim.dll
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 06:32 307.200 atiiiexx.dll
15.09.2005 05:55 253.952 ATIDEMGR.dll
15.09.2005 05:14 6.680.576 atioglx1.dll
15.09.2005 04:13 4.837.376 atioglxx.dll
15.09.2005 03:58 241.664 ati2dvag.dll
15.09.2005 03:53 106.496 atipdlxx.dll
15.09.2005 03:53 73.728 Oemdspif.dll
15.09.2005 03:53 25.088 Ati2mdxx.exe
15.09.2005 03:53 39.936 ati2edxx.dll
15.09.2005 03:53 46.080 ati2evxx.dll
15.09.2005 03:52 376.832 ati2evxx.exe
15.09.2005 03:51 53.248 ATIDDC.DLL
15.09.2005 03:44 2.429.952 ati3duag.dll
15.09.2005 03:39 602.016 ativvaxx.dll
15.09.2005 03:27 147.456 atikvmag.dll
15.09.2005 03:07 23.552 ativmvxx.ax
15.09.2005 03:06 33.280 ativtmxx.dll
15.09.2005 03:04 17.408 atitvo32.dll
15.09.2005 02:59 233.472 ati2cqag.dll
14.09.2005 21:05 516.096 ati2sgag.exe
10.09.2005 02:54 2.067.968 cdosys.dll
06.09.2005 21:04 104.373 atiicdxx.dat
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
16.08.2005 21:57 5.607 atifglpf.xml
11.08.2005 16:11 65.024 nwwks.dll

Zitat

Verzeichnis von C:\DOKUME~1\Hendrik\LOKALE~1\Temp

12.11.2005 01:40 16.384 ~DF2D0F.tmp
12.11.2005 01:04 16.384 Perflib_Perfdata_b18.dat
12.11.2005 01:04 16.384 Perflib_Perfdata_79c.dat
12.11.2005 01:04 16.384 Perflib_Perfdata_8c0.dat
09.11.2005 20:16 16.384 Perflib_Perfdata_874.dat
5 Datei(en) 81.920 Bytes
0 Verzeichnis(se), 5.634.162.688 Bytes frei

Zitat

Verzeichnis von C:\WINDOWS

12.11.2005 01:21 724.738 WindowsUpdate.log
12.11.2005 01:03 2.048 bootstat.dat
12.11.2005 01:02 8.024 SchedLgU.Txt
12.11.2005 01:02 4.958.588 {00000002-00000000-00000006-00001102-00000004-20021102}.CDF
10.11.2005 23:38 0 kl.exe
10.11.2005 23:37 0 uniq

09.11.2005 16:11 100.482 UninstallThunderbird.exe
09.11.2005 16:11 5.490 mozver.dat
09.11.2005 16:11 486 win.ini
09.11.2005 16:07 0 nsreg.dat
09.11.2005 16:07 99.970 UninstallFirefox.exe
09.11.2005 15:31 10 WININIT.INI
09.11.2005 14:50 8.192 REGLOCS.OLD
09.11.2005 14:47 0 control.ini
09.11.2005 14:46 316.640 WMSysPr9.prx
09.11.2005 14:46 4.161 ODBCINST.INI
09.11.2005 14:46 749 WindowsShell.Manifest
09.11.2005 14:44 36 vb.ini
09.11.2005 14:44 37 vbaddin.ini
09.11.2005 14:40 231 system.ini
27.05.2005 00:22 10.752 hh.exe
04.04.2005 15:14 11.776 INRES.DLL
04.04.2005 15:11 35.840 READREG.EXE
04.04.2005 15:11 34.304 PSCONV.EXE
04.04.2005 15:11 16.384 CTHELPER.EXE
04.04.2005 15:11 10.240 CTDCRES.DLL
04.04.2005 15:00 25.088 MIDIDEF.EXE
03.01.2005 12:18 4.958.588 CTDVAUDY.CDF
25.06.2004 10:47 3.377.466 CTDV10K1.CDF
31.12.2002 13:00 65.954 Pr„riewind.bmp
31.12.2002 13:00 153.600 regedit.exe
31.12.2002 13:00 2 desktop.ini
31.12.2002 13:00 17.362 Rhododendron.bmp
31.12.2002 13:00 1.035.264 explorer.exe
31.12.2002 13:00 70.144 NOTEPAD.EXE
31.12.2002 13:00 65.978 Seifenblase.bmp
31.12.2002 13:00 1.014.663 SET3.tmp
31.12.2002 13:00 1.086.058 SET4.tmp
31.12.2002 13:00 14.043 SET8.tmp
31.12.2002 13:00 17.062 Kaffeetasse.bmp
31.12.2002 13:00 15.872 TASKMAN.EXE
31.12.2002 13:00 94.800 twain.dll
31.12.2002 13:00 50.688 twain_32.dll
31.12.2002 13:00 49.680 twunk_16.exe
31.12.2002 13:00 25.600 twunk_32.exe
31.12.2002 13:00 707 _default.pif
31.12.2002 13:00 1.405 msdfmap.ini
31.12.2002 13:00 9.522 Zapotek.bmp
31.12.2002 13:00 26.582 Granit.bmp
31.12.2002 13:00 26.680 F„cher.bmp
31.12.2002 13:00 16.730 Feder.bmp
31.12.2002 13:00 18.944 vmmreg32.dll
31.12.2002 13:00 82.944 clock.avi
31.12.2002 13:00 65.832 Santa Fe-Stuck.bmp
31.12.2002 13:00 1.272 Blaue Spitzen 16.bmp
31.12.2002 13:00 257.568 winhelp.exe
31.12.2002 13:00 288.768 winhlp32.exe
31.12.2002 13:00 80 explorer.scf
31.12.2002 13:00 48.680 winnt.bmp
31.12.2002 13:00 48.680 winnt256.bmp
31.12.2002 13:00 34.818 wmprfDEU.prx
31.12.2002 13:00 17.336 Angler.bmp
15.11.2001 15:25 3.735.544 CTDV10K2.CDF
10.11.1999 12:05 86.016 unvise32qt.exe
17.11.1998 13:44 328.704 IsUn0407.exe
65 Datei(en) 23.583.902 Bytes
0 Verzeichnis(se), 5.634.162.688 Bytes frei

Zitat

Verzeichnis von C:\

12.11.2005 01:52 0 sys.txt
12.11.2005 01:51 3.488 system.txt
12.11.2005 01:51 536 systemtemp.txt
12.11.2005 01:50 97.111 system32.txt
12.11.2005 01:30 429 datFind.bat
12.11.2005 01:15 38.845 svv-1.1a-public.zip
12.11.2005 01:15 16.083 flister.zip
12.11.2005 01:03 1.610.612.736 pagefile.sys
09.11.2005 14:47 0 IO.SYS
09.11.2005 14:47 0 MSDOS.SYS
09.11.2005 14:47 0 CONFIG.SYS
09.11.2005 14:47 0 AUTOEXEC.BAT
09.11.2005 14:42 211 boot.ini
05.11.2005 12:30 73.728 svv.exe
05.11.2005 12:24 4.096 svv.sys
25.09.2005 18:49 725 readme.txt
26.01.2005 18:12 2.556 flister.txt
24.01.2005 23:25 32.768 flister.exe
24.01.2005 23:25 4.213 flister.cpp
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 47.564 NTDETECT.COM
22 Datei(en) 1.611.191.225 Bytes
0 Verzeichnis(se), 5.634.162.688 Bytes frei
und hijackthis-log: (razer ist maustreiber, starwind gehört zu alcohol, eine emulationssoftware)

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 01:40:38, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Security\sygate pfw\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Utils\CachemanXP\CachemanXP.exe
D:\Brenner\alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\CTHELPER.EXE
C:\hardware\razer\razerhid.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
D:\Utils\acronis trueimage 9\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Utils\SpeedFan\speedfan.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\hardware\razer\razertra.exe
C:\hardware\razer\razerofa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Internet\Firefox\firefox.exe
D:\Internet\Thunderbird\thunderbird.exe
D:\Security\HijackThis.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [razer] C:\hardware\razer\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\codec\quicktime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Utils\acronis trueimage 9\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SmcService] D:\Security\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ccleaner] "D:\Security\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: SpeedFan.lnk = D:\Utils\SpeedFan\speedfan.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED4EFE1B-97EF-461A-A7E6-E19C6148AA38}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\Utils\CachemanXP\CachemanXP.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Security\sygate pfw\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Brenner\alcohol\Alcohol 120\StarWind\StarWindService.exe
Vielen Dank für die Mühe erstmal....

mfg Hendrik

Edit:
svv check :

Zitat

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Hendrik>cd\

C:\>svv check /a
Following important modules cannot be found:
ntoskrnl.exe
[ntoskrnl.exe may be renamed - its not suspected]
WARNING: Important modules not found
ntdll.dll (7c910000 - 7c9c7000)... suspected! (verdict = 5).
kernel32.dll (7c800000 - 7c906000)... suspected! (verdict = 5).
ADVAPI32.dll (77da0000 - 77e4a000)... suspected! (verdict = 5).
USER32.dll (77d10000 - 77da0000)... suspected! (verdict = 5).
SYSTOOLS.dll (66600000 - 6661d000)... error code = 0x490

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!

C:\>
Die ntoskrnl.exe ist aber da...
Dieser Beitrag wurde am 12.11.2005 um 12:39 Uhr von bender34 editiert.
Seitenanfang Seitenende
12.11.2005, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\kl.exe
C:\WINDOWS\uniq

pc neustarten

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\svv.exe
C:\svv.sys

kernel32.dll
ADVAPI32.dll
USER32.dll

Lade dir TCPVIEW herunter http://www.sysinternals.com/Utilities/TcpView.html , starte es und speichere das Ergebniss in eine Datei, dessen Inhalt poste hier ebenfalls.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 18:51
...neu hier

Themenstarter

Beiträge: 10
#5 HI Sabina, thx thx und nochmal thx :-)

KL.exe war weg und ward nicht gesehen? Habe seither einige scans gemacht, z.B. mit Panda, vielleicht daher weg.

uniq hat killbox gelöscht...


Alle onlinescanner ---> NEGATIV, no virus found. svv.exe und svv.sys hatte ich nach c:\ gepackt, um den Originalzustand der Sys-Dateien zu checken...

Zur info: z.zt. blocke ich ntoskrnl.exe, svchost.exe und ndisuio.sys von jedem internetzugang...

fixfun hat nichts gefunden, habe 2 rechner im Netzwerk und Router (beide xp SP2)

hier tcpview-log:

Zitat

[System Process]:0 TCP chaos:1927 localhost:31595 TIME_WAIT
[System Process]:0 TCP chaos:1969 localhost:31595 TIME_WAIT
[System Process]:0 TCP chaos:1975 localhost:31595 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1981 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1996 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1992 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1933 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2029 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1957 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1961 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1945 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1936 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1998 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1972 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2004 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2016 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1930 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1990 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1942 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1966 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1978 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2006 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1994 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2014 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1951 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2000 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2010 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1987 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1939 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1959 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2035 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1984 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1954 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1924 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2032 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:1948 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2012 TIME_WAIT
[System Process]:0 TCP chaos:31595 localhost:2002 TIME_WAIT
[System Process]:0 TCP chaos:1929 webmail.hansenet.de:pop3 TIME_WAIT
[System Process]:0 TCP chaos:1971 webmail.hansenet.de:pop3 TIME_WAIT
[System Process]:0 TCP chaos:1977 webmail.hansenet.de:pop3 TIME_WAIT
alg.exe:2912 TCP chaos:1027 chaos:0 LISTENING
APVXDWIN.EXE:2364 TCP chaos:wins a213-191-85-231.deploy.akamaitechnologies.com:http CLOSE_WAIT
CLI.exe:3552 TCP chaos:1042 chaos:0 LISTENING
CLI.exe:3748 TCP chaos:1035 chaos:0 LISTENING
CLI.exe:4076 TCP chaos:1036 chaos:0 LISTENING
firefox.exe:432 TCP chaos:1049 localhost:1050 ESTABLISHED
firefox.exe:432 TCP chaos:1050 localhost:1049 ESTABLISHED
lsass.exe:1004 UDP chaos:isakmp *:*
lsass.exe:1004 UDP chaos:4500 *:*
Smc.exe:472 UDP chaos:1025 *:*
Smc.exe:472 UDP chaos:1034 *:*
StarWindService.exe:2064 TCP chaos:3260 chaos:0 LISTENING
StarWindService.exe:2064 TCP chaos:3261 chaos:0 LISTENING
svchost.exe:1400 TCP chaos:epmap chaos:0 LISTENING
svchost.exe:376 UDP chaos:ntp *:*
svchost.exe:376 UDP chaos:ntp *:*
svchost.exe:524 UDP chaos:1032 *:*
svchost.exe:640 UDP chaos:1900 *:*
svchost.exe:640 UDP chaos:1900 *:*
System:4 TCP chaos:microsoft-ds chaos:0 LISTENING
System:4 TCP chaos:netbios-ssn chaos:0 LISTENING
System:4 UDP chaos:microsoft-ds *:*
System:4 UDP chaos:netbios-dgm *:*
System:4 UDP chaos:netbios-ns *:*
thunderbird.exe:2276 TCP chaos:1704 localhost:1705 ESTABLISHED
thunderbird.exe:2276 TCP chaos:1705 localhost:1704 ESTABLISHED
WEBPROXY.EXE:2472 TCP chaos:31595 chaos:0 LISTENING
WEBPROXY.EXE:2472 UDP chaos:18001 *:*
WEBPROXY.EXE:2472 UDP chaos:18002 *:*
Dieser Beitrag wurde am 12.11.2005 um 19:02 Uhr von bender34 editiert.
Seitenanfang Seitenende
12.11.2005, 19:52
Moderator

Beiträge: 7805
#6 Ein kleinere Zwischenruf zu "System Virginity Verifier", das ist ein sehr maechtiges Tool, aber man muss wirklich genau wissen was man mt den Ergebnissen anfaengt, die es einem serviert.

Obige Eintraege deuten auf die Firewall und dem Pandaservice hin. Will man diese Dinge ausschliessen, muss man beide Produkte deinstallieren und SVV nochmals den Rechner pruefen lassen(ohne sich mit dem INternet verbunden zu sein).

Es kann auch auf einen Rootkit hindeuten, aber das ist alles sehr schwer zu bewerten, wenn man nicht weiss, was SVV vorher gemeldet hat um eine Veraenderung einschaetzen zu koennen.

Nachtrag. Du nutzt Version 1.1a ?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.11.2005, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 nutze auch noch Blacklight und rootkitreveale

http://www.f-secure.com/blacklight/try.shtml
http://www.sysinternals.com/Utilities/RootkitRevealer.html

poste die Logs
-----------------------------------------------------------------------------

Process Explorer by Systernals
http://virus-protect.org/artikel/tools/processexplorer.html
Die einzelnen Prozesse sind übersichtlich in einer Baumstruktur dargestellt, will man mehr über die Prozesse erfahren, dann muss man den Eintrag lediglich markieren

svv.exe
svv.sys
ntoskrnl.exe

------------------------
ndisuio.sys<--kein Problem (?)

FILENAME: Ndisuio.sys.
PROGRAM NAME: NDIS User I/O.
DESCRIPTION: Internal Windows driver; performs internal communications tasks within Windows.
Link:
http://www.pcmag.com/article2/0,4149,771890,00.asp

------------------------

ntoskrnl.exe may be renamed
deshalb scanne auch diese exe.

http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 20:13
Moderator

Beiträge: 7805
#8 Noch ein Zwischenruf, ja ih hoer gleich auf! ;)

Wenn schon svv(1.1a!!), dann bitte so:
svv check /m und log hier rein bitte
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.11.2005, 20:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 die ntoskrnl.exe auch gleich mit ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 20:16
...neu hier

Themenstarter

Beiträge: 10
#10

Zitat

raman postete

Nachtrag. Du nutzt Version 1.1a ?
ja, benutze ich. Ich hatte das Problem auch schon, bevor ich svv probiert habe,
habe die Blocks des Ports 135 mal weggenommen, um zu sehen, was passiert... (dachte, das Thema hat sich erledigt...) Aber siehe da: Wieder ein Angriff

Zitat

12.11.2005 20:02:20 Allowed 10 Outgoing UDP 85.178.36.255 00-01-E3-0B-03-06 137 192.168.1.67 00-30-1B-B7-5F-44 137 C:\WINDOWS\system32\ntoskrnl.exe

Incoming TCP 85.178.36.255 00-01-E3-0B-03-06 1219 192.168.1.67 00-30-1B-B7-5F-44 Port:135 C:\WINDOWS\system32\svchost.exe
12.11.2005 20:01:01 Allowed 10 Incoming TCP 85.178.36.255 00-01-E3-0B-03-06 1219 192.168.1.67 00-30-1B-B7-5F-44 Port: 135 C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Ntoskrnl.exe sendet immer mal wieder an 192.168.1.255 MAC FF-FF-FF-FF-FF-FF über udp-ports 137 und 138. Sofern ich das nicht blocke,
greift der Angreifer auf svchost.exe und ndisuio.sys zu über port 135, dann kommt der versuch über lsass-exploit meinen rechner anzugreifen. :-(
Seitenanfang Seitenende
12.11.2005, 20:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 nutze auch noch Blacklight und rootkitreveale

http://www.f-secure.com/blacklight/try.shtml
http://www.sysinternals.com/Utilities/RootkitRevealer.html

poste die Logs
-----------------------------------------------------------------------------

Process Explorer by Systernals
http://virus-protect.org/artikel/tools/processexplorer.html
Die einzelnen Prozesse sind übersichtlich in einer Baumstruktur dargestellt, will man mehr über die Prozesse erfahren, dann muss man den Eintrag lediglich markieren

ntoskrnl.exe
ndisuio.sys

das irritiert mich......(die Daten)
svv.exe
svv.sys

12.11.2005 die zip geladen (12.11.2005 01:15 38.845 svv-1.1a-public.zip)
05.11.2005 12:30 73.728 svv.exe
05.11.2005 12:24 4.096 svv.sys
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 20:37
Moderator

Beiträge: 7805
#12 Das ist das Tool, mit dem diese Logs erstellt weren:
SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
Das gibt es hier: http://invisiblethings.org/ und ich hoffe instaendig, das nun nicht jeder seinen Rechner damit ueberprueft!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.11.2005, 20:38
...neu hier

Themenstarter

Beiträge: 10
#13 onlinescan ntoskrnl und ndisuio.sys negativ

Blacklight negativ

Zitat

11/12/05 20:20:23 [Info]: BlackLight Engine 1.0.25 initialized
11/12/05 20:20:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/05 20:20:23 [Note]: 4019 4
11/12/05 20:20:23 [Note]: 4005 0
11/12/05 20:20:26 [Note]: 4006 0
11/12/05 20:20:26 [Note]: 4011 1872
11/12/05 20:20:27 [Note]: FSRAW library version 1.7.1013
11/12/05 20:22:08 [Note]: 4007 0
rootkitrevealer:

Zitat

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName:
Description: Data mismatch between Windows API and raw hive data.
Date: 11.11.2005 00:01
Size: 26 bytes
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName:
Description: Data mismatch between Windows API and raw hive data.
Date: 11.11.2005 00:01
Size: 26 bytes
C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\default.tle\Cache\0EA9F058d01:
Description: Visible in directory index, but not Windows API or MFT.
Date: 12.11.2005 20:26
Size: 44.46 KB
C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\default.tle\Cache\CC40D7EEd01:
Description: Visible in directory index, but not Windows API or MFT.
Date: 12.11.2005 20:26
Size: 18.67 KB
C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\default.tle\Cache\E0EB16ECd01:
Description: Visible in directory index, but not Windows API or MFT.
Date: 12.11.2005 20:26
Size: 80.38 KB
C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\default.tle\Cache\FEC4F818d01:
Description: Hidden from Windows API.
Date: 12.11.2005 20:25
Size: 33.60 KB
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll:
Description: Visible in Windows API, but not in MFT or directory index.
Date: 09.11.2005 16:16
Size: 258 bytes
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll:
Description: Visible in Windows API, but not in MFT or directory index.
Date: 09.11.2005 16:16
Size: 114 bytes
svv check /m liefert:

Zitat

C:\>svv check /m
Following important modules cannot be found:
ntoskrnl.exe
[ntoskrnl.exe may be renamed - its not suspected]
WARNING: Important modules not found
ntdll.dll (7c910000 - 7c9c7000)... suspected! (verdict = 5).
module ntdll.dll [0x7c910000 - 0x7c9c7000]:
0x7c91d586 [NtClose()+0] 6 byte(s): JMPing code (jmp to: 0x5f44001e)
address 0x5f44001e DOES NOT belong to ANY MODULE!
file :b8 19 00 00 00 ba
memory :ff 25 1e 00 44 5f
verdict = 5

0x7c91d682 [NtCreateFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f4a001e)
address 0x5f4a001e DOES NOT belong to ANY MODULE!
file :b8 25 00 00 00 ba
memory :ff 25 1e 00 4a 5f
verdict = 5

0x7c91d6d6 [NtCreateKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f47001e)
address 0x5f47001e DOES NOT belong to ANY MODULE!
file :b8 29 00 00 00 ba
memory :ff 25 1e 00 47 5f
verdict = 5

0x7c91d88f [NtDeleteFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f50001e)
address 0x5f50001e DOES NOT belong to ANY MODULE!
file :b8 3e 00 00 00 ba
memory :ff 25 1e 00 50 5f
verdict = 5

0x7c91d8a4 [NtDeleteKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f4d001e)
address 0x5f4d001e DOES NOT belong to ANY MODULE!
file :b8 3f 00 00 00 ba
memory :ff 25 1e 00 4d 5f
verdict = 5

0x7c91d8ce [NtDeleteValueKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f53001
e)
address 0x5f53001e DOES NOT belong to ANY MODULE!
file :b8 41 00 00 00 ba
memory :ff 25 1e 00 53 5f
verdict = 5

0x7c91d94c [NtEnumerateKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f56001e)

address 0x5f56001e DOES NOT belong to ANY MODULE!
file :b8 47 00 00 00 ba
memory :ff 25 1e 00 56 5f
verdict = 5

0x7c91d976 [NtEnumerateValueKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f59
001e)
address 0x5f59001e DOES NOT belong to ANY MODULE!
file :b8 49 00 00 00 ba
memory :ff 25 1e 00 59 5f
verdict = 5

0x7c91dcfd [NtOpenFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f5f001e)
address 0x5f5f001e DOES NOT belong to ANY MODULE!
file :b8 74 00 00 00 ba
memory :ff 25 1e 00 5f 5f
verdict = 5

0x7c91dd3c [NtOpenKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f5c001e)
address 0x5f5c001e DOES NOT belong to ANY MODULE!
file :b8 77 00 00 00 ba
memory :ff 25 1e 00 5c 5f
verdict = 5

0x7c91e099 [NtQueryKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f62001e)
address 0x5f62001e DOES NOT belong to ANY MODULE!
file :b8 a0 00 00 00 ba
memory :ff 25 1e 00 62 5f
verdict = 5

0x7c91e1fe [NtQueryValueKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f65001e
)
address 0x5f65001e DOES NOT belong to ANY MODULE!
file :b8 b1 00 00 00 ba
memory :ff 25 1e 00 65 5f
verdict = 5

0x7c91e27c [NtReadFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f68001e)
address 0x5f68001e DOES NOT belong to ANY MODULE!
file :b8 b7 00 00 00 ba
memory :ff 25 1e 00 68 5f
verdict = 5

0x7c91e5d9 [NtSetInformationFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f6
b001e)
address 0x5f6b001e DOES NOT belong to ANY MODULE!
file :b8 e0 00 00 00 ba
memory :ff 25 1e 00 6b 5f
verdict = 5

0x7c91e7bc [NtSetValueKey()+0] 6 byte(s): JMPing code (jmp to: 0x5f6e001e)
address 0x5f6e001e DOES NOT belong to ANY MODULE!
file :b8 f7 00 00 00 ba
memory :ff 25 1e 00 6e 5f
verdict = 5

0x7c91e9f3 [NtWriteFile()+0] 6 byte(s): JMPing code (jmp to: 0x5f71001e)
address 0x5f71001e DOES NOT belong to ANY MODULE!
file :b8 12 01 00 00 ba
memory :ff 25 1e 00 71 5f
verdict = 5

0x7c9261ca [LdrLoadDll()+0] 6 byte(s): JMPing code (jmp to: 0x5f41001e)
address 0x5f41001e DOES NOT belong to ANY MODULE!
file :68 6c 02 00 00 68
memory :ff 25 1e 00 41 5f
verdict = 5

module ntdll.dll: end of details
kernel32.dll (7c800000 - 7c906000)... suspected! (verdict = 5).
module kernel32.dll [0x7c800000 - 0x7c906000]:
0x7c801e16 [TerminateProcess()+0] 6 byte(s): JMPing code (jmp to: 0x5f32001
e)
address 0x5f32001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 83
memory :ff 25 1e 00 32 5f
verdict = 5

0x7c810626 [CreateRemoteThread()+0] 6 byte(s): JMPing code (jmp to: 0x5f380
01e)
address 0x5f38001e DOES NOT belong to ANY MODULE!
file :68 10 04 00 00 68
memory :ff 25 1e 00 38 5f
verdict = 5

0x7c8191eb [CreateProcessInternalW()+0] 6 byte(s): JMPing code (jmp to: 0x5
f3e001e)
address 0x5f3e001e DOES NOT belong to ANY MODULE!
file :68 08 0a 00 00 68
memory :ff 25 1e 00 3e 5f
verdict = 5

0x7c821565 [MoveFileWithProgressW()+0] 6 byte(s): JMPing code (jmp to: 0x5f
3b001e)
address 0x5f3b001e DOES NOT belong to ANY MODULE!
file :68 9c 00 00 00 68
memory :ff 25 1e 00 3b 5f
verdict = 5

0x7c82eff2 [CopyFileExW()+0] 6 byte(s): JMPing code (jmp to: 0x5f35001e)
address 0x5f35001e DOES NOT belong to ANY MODULE!
file :6a 14 68 48 f0 82
memory :ff 25 1e 00 35 5f
verdict = 5

module kernel32.dll: end of details
ADVAPI32.dll (77da0000 - 77e4a000)... suspected! (verdict = 5).
module ADVAPI32.dll [0x77da0000 - 0x77e4a000]:
0x77db5e4d [CloseServiceHandle()+0] 6 byte(s): JMPing code (jmp to: 0x5f110
01e)
address 0x5f11001e DOES NOT belong to ANY MODULE!
file :6a 10 68 80 5e db
memory :ff 25 1e 00 11 5f
verdict = 5

0x77db6165 [OpenServiceW()+0] 6 byte(s): JMPing code (jmp to: 0x5f23001e)
address 0x5f23001e DOES NOT belong to ANY MODULE!
file :6a 14 68 a8 61 db
memory :ff 25 1e 00 23 5f
verdict = 5

0x77dbb635 [ControlService()+0] 6 byte(s): JMPing code (jmp to: 0x5f14001e)

address 0x5f14001e DOES NOT belong to ANY MODULE!
file :6a 10 68 70 b6 db
memory :ff 25 1e 00 14 5f
verdict = 5

0x77dbb88c [OpenServiceA()+0] 6 byte(s): JMPing code (jmp to: 0x5f20001e)
address 0x5f20001e DOES NOT belong to ANY MODULE!
file :6a 14 68 d0 b8 db
memory :ff 25 1e 00 20 5f
verdict = 5

0x77dbbbac [StartServiceW()+0] 6 byte(s): JMPing code (jmp to: 0x5f29001e)
address 0x5f29001e DOES NOT belong to ANY MODULE!
file :6a 10 68 e8 bb db
memory :ff 25 1e 00 29 5f
verdict = 5

0x77dc3238 [StartServiceA()+0] 6 byte(s): JMPing code (jmp to: 0x5f26001e)
address 0x5f26001e DOES NOT belong to ANY MODULE!
file :6a 10 68 70 32 dc
memory :ff 25 1e 00 26 5f
verdict = 5

0x77dea9a1 [LsaAddAccountRights()+0] 6 byte(s): JMPing code (jmp to: 0x5f2c
001e)
address 0x5f2c001e DOES NOT belong to ANY MODULE!
file :6a 18 68 30 aa de
memory :ff 25 1e 00 2c 5f
verdict = 5

0x77deaa41 [LsaRemoveAccountRights()+0] 6 byte(s): JMPing code (jmp to: 0x5
f2f001e)
address 0x5f2f001e DOES NOT belong to ANY MODULE!
file :6a 18 68 d0 aa de
memory :ff 25 1e 00 2f 5f
verdict = 5

0x77e06cc9 [ChangeServiceConfigA()+0] 6 byte(s): JMPing code (jmp to: 0x5f0
5001e)
address 0x5f05001e DOES NOT belong to ANY MODULE!
file :6a 2c 68 50 6e e0
memory :ff 25 1e 00 05 5f
verdict = 5

0x77e06e61 [ChangeServiceConfigW()+0] 6 byte(s): JMPing code (jmp to: 0x5f0
8001e)
address 0x5f08001e DOES NOT belong to ANY MODULE!
file :6a 1c 68 50 6f e0
memory :ff 25 1e 00 08 5f
verdict = 5

0x77e06f61 [ChangeServiceConfig2A()+0] 6 byte(s): JMPing code (jmp to: 0x5f
0b001e)
address 0x5f0b001e DOES NOT belong to ANY MODULE!
file :6a 10 68 d8 6f e0
memory :ff 25 1e 00 0b 5f
verdict = 5

0x77e06fe9 [ChangeServiceConfig2W()+0] 6 byte(s): JMPing code (jmp to: 0x5f
0e001e)
address 0x5f0e001e DOES NOT belong to ANY MODULE!
file :6a 10 68 60 70 e0
memory :ff 25 1e 00 0e 5f
verdict = 5

0x77e07071 [CreateServiceA()+0] 6 byte(s): JMPing code (jmp to: 0x5f17001e)

address 0x5f17001e DOES NOT belong to ANY MODULE!
file :6a 30 68 f8 71 e0
memory :ff 25 1e 00 17 5f
verdict = 5

0x77e07209 [CreateServiceW()+0] 6 byte(s): JMPing code (jmp to: 0x5f1a001e)

address 0x5f1a001e DOES NOT belong to ANY MODULE!
file :6a 20 68 00 73 e0
memory :ff 25 1e 00 1a 5f
verdict = 5

0x77e07311 [DeleteService()+0] 6 byte(s): JMPing code (jmp to: 0x5f1d001e)
address 0x5f1d001e DOES NOT belong to ANY MODULE!
file :6a 10 68 78 73 e0
memory :ff 25 1e 00 1d 5f
verdict = 5

module ADVAPI32.dll: end of details
USER32.dll (77d10000 - 77da0000)... suspected! (verdict = 5).
module USER32.dll [0x77d10000 - 0x77da0000]:
0x77d18a01 [DispatchMessageW()+0] 6 byte(s): JMPing code (jmp to: 0x5f92001
e)
address 0x5f92001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 6a
memory :ff 25 1e 00 92 5f
verdict = 5

0x77d18bf6 [TranslateMessage()+0] 6 byte(s): JMPing code (jmp to: 0x5f89001
e)
address 0x5f89001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 56
memory :ff 25 1e 00 89 5f
verdict = 5

0x77d196b8 [DispatchMessageA()+0] 6 byte(s): JMPing code (jmp to: 0x5f86001
e)
address 0x5f86001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 6a
memory :ff 25 1e 00 86 5f
verdict = 5

0x77d1d907 [BeginDeferWindowPos()+0] 6 byte(s): JMPing code (jmp to: 0x5f83
001e)
address 0x5f83001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 83
memory :ff 25 1e 00 83 5f
verdict = 5

0x77d2dabb [CreateAcceleratorTableW()+0] 6 byte(s): JMPing code (jmp to: 0x
5f8c001e)
address 0x5f8c001e DOES NOT belong to ANY MODULE!
file :b8 52 11 00 00 ba
memory :ff 25 1e 00 8c 5f
verdict = 5

0x77d2e4af [SetWindowsHookExW()+0] 6 byte(s): JMPing code (jmp to: 0x5f8f00
1e)
address 0x5f8f001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 6a
memory :ff 25 1e 00 8f 5f
verdict = 5

0x77d311e9 [SetWindowsHookExA()+0] 6 byte(s): JMPing code (jmp to: 0x5f8000
1e)
address 0x5f80001e DOES NOT belong to ANY MODULE!
file :8b ff 55 8b ec 6a
memory :ff 25 1e 00 80 5f
verdict = 5

module USER32.dll: end of details

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
was ist eigentlich der unterschied zwischen report und check /m ?? <--- reine neugierde nicht so wichtig... ;-)

Zitat

Sabina postete

Process Explorer by Systernals
http://virus-protect.org/artikel/tools/processexplorer.html
Die einzelnen Prozesse sind übersichtlich in einer Baumstruktur dargestellt, will man mehr über die Prozesse erfahren, dann muss man den Eintrag lediglich markieren

ntoskrnl.exe
ndisuio.sys
kann im Prozessexplorer beide nicht finden, habe aber 2x fast.exe?
btw: diese doppelpostsperre ist echt lästig ;-)
Dieser Beitrag wurde am 12.11.2005 um 20:59 Uhr von bender34 editiert.
Seitenanfang Seitenende
12.11.2005, 21:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Click Start > Ausfuehren> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

kopiere, was als nicht autentifiziert erkannt wird
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 21:39
...neu hier

Themenstarter

Beiträge: 10
#15 erledigt...34 Stück:

in c:\windows\system32

Zitat

a3d.dll
audigy.bmp
commonfx.dll
ctaudfx.dll
ctbas2w.dll
ctcoinst.dll
ctdaught.dat
ctdlang.dat
ctdproxy.dll
ctdvinst.dll
cteapsfx.dll
ctemupia.dll
ctsbas2w.dat
ctsblfx.dll
ctstatic.dat
openal32.dll
piaproxy.dll
sbaudigy.ico
sfman.dll
in c:\windows\system32\drivers:

Zitat

amdtools.sys
ctac32k.sys
ctaud2k.sys
ctdvda.sys
ctoss2k.sys
ctprxy2k.sys
ctsfm2k.sys
emupia2k.sys
ha10kx2k.sys
hap16v2k.sys
hap17v2k.sys
pfmodnt.sys
razerlow.sys
tifsfilt.sys
timntr.sys
Habe gerade mal alles wieder geöffnet und habe recht viel traffic nach 85.178.X.X auf den ports 135, 137, 445 und anderen über ntoskrnl.exe und ndisuio.sys... Blocke das jetzt mal wieder... Witzigerweise sind die ip's immer unterschiedlich, die MAC-Adresse aber immer gleich...
Dieser Beitrag wurde am 12.11.2005 um 21:48 Uhr von bender34 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: