DDOS-Angriff (UDP Flood)

#0
08.02.2008, 19:34
Member

Beiträge: 19
#1 Ich hab'n Problem, ich weiß noch nichteinmal mit was. Es geht um meine Firewall
(COMODO Firewall Pro) ich werde seit längerem mit einer Sicherheitsmeldung dieser Firewall in bezug auf ein DDOS - Angriff (UDP Flood) belästigt.
Nun meine konkreten Fragen :
1.Was genau hat dies zu bedeuten -DDOS - Angriff (UDP Flood) ?
2.Was kann ich dagegen unternehmen ?
und 3. wird auch die Meldung -Die Firewall hat zum Notfall-Modus gewechselt- angezeigt. War in den 18-22 sek. die der Angriff dauerte (Quelle Firewall) keine Internetverbindung mehr vorhanden ? Oder missversteh ich den Notfall-Modus ?

Wär sehr dankbar für Hilfe ;)
Dieser Beitrag wurde am 10.02.2008 um 10:54 Uhr von a-L-e-X editiert.
Seitenanfang Seitenende
09.02.2008, 10:49
Member

Beiträge: 3716
#2 kannst du mal auszüge aus deinem log posten ddanke.
Seitenanfang Seitenende
09.02.2008, 11:29
Member

Themenstarter

Beiträge: 19
#3 Auszug aus der Firewall log :

Beschreibung: DDOS-Angriff (UDP Flodd)
Dauer: 22 sekunden #von Paketen: 204 #von Angreifern: 501
Angreifer(n): -Es werden jetzt die Gesamten IP-Adressen angezeigt
Wenn benötigt poste ich die auch.-

Die Firewall hat zum NOTFALL-Modus gewechselt

Log Ende.
Kann damit jemand was anfangen ?
Seitenanfang Seitenende
09.02.2008, 11:33
Member

Beiträge: 3716
#4 hi, zeig mal noch die ip's... evtl. ist dein rechner verseucht wir werden das auch gleich noch prüfen
Seitenanfang Seitenende
09.02.2008, 11:42
Member

Themenstarter

Beiträge: 19
#5 IP's : 82.98.201.199-205.234.152.48-205.234.152.49-205.234.152.60-
205.234.152.140-202.60.75.30-202.60.75.32-202.60.75.31-
205.234.152.141-204.200.27.241-202.68.89.158-205.234.152.148-
...ja ehrlich gesagt mehr IPs will ich nicht posten.. ;) ..dauert mir zu lange
reicht das ?
Seitenanfang Seitenende
09.02.2008, 12:02
Member

Beiträge: 3716
#6 hi,
gut gucken wir uns jetzt mal deinen rechner an:
1. lad hijackthis instaliere es in einen eigenen ordner benenne die hijackthis.exe in hjt.com um öffne, klicke scan and safe log poste das.
www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html - 60k -
2. lad combofix und führe es nach anleitung aus:
http://virus-protect.org/artikel/tools/combofix.html
3. lad filelist.zip entpacke auf dem desktop klicke filelist.bat poste von jedem verzeichniss die jeweils letzten 30 tage.
http://members.linzag.net/680262/filelist.zip
Seitenanfang Seitenende
09.02.2008, 13:12
Moderator
Avatar joschi

Beiträge: 6466
#7

Zitat

.ja ehrlich gesagt mehr IPs will ich nicht posten.. ..dauert mir zu lange
reicht das ?
Gib noch die Information dazu, an welchen lokalen Port die Pakete adressiert waren. Muss im Firewall-Log stehen.
Vermutlich recht einfach zu erklären, aber Du musst aben alle Infos liefern, die das Log hergibt.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.02.2008, 13:50
Member

Themenstarter

Beiträge: 19
#8 Nein tut mir leid den Port kann ich in der Log nicht finden. Mehr als ich gepostet hab wird nicht angezeigt.
Und zu dem ComboFix scanner, irgentwie dauerte das länger als 45 min. deshalb hab ichs abgebrochen. Es wurden grad einmal die Stufen 1-3 fertiggestellt.
Da ich leider keinen funktionstüchtigen Drucker besitze konnte ich mir auch nicht die Anleitung ausdrucken und sorgfältig befolgen.
Ich bin mir aber sich das das nicht normal ist das der Scan länger als 10-bzw. 20 Minuten dauerte.
Kann man diesen Angriff auch auf die benutzung einenes Torrents hin erklären ?
Ich hatte mir µTorrent geladen um auszuprobieren wie und wie gut es funktioniert.
Hab aber das Programm wieder gelöscht und mein PC mit diversen mir vorhandenen Tools bereinigt.

----- Root -----------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 78D2-D3F6

Verzeichnis von C:\

2008-02-09 13:53 43 filelist.txt
2008-02-09 13:38 2,146,750,464 hiberfil.sys
2008-02-09 13:37 2,145,386,496 pagefile.sys
2008-02-04 19:38 114,688 clipfix.cft
2008-01-31 20:28 0 image.gif
2008-01-31 20:28 0 image (Kopie 1).gif
2008-01-06 20:52 0 IO.SYS
2008-01-06 20:52 0 MSDOS.SYS
2007-12-25 12:14 173 pdisdk.log
2007-12-25 12:09 221 boot.ini
2007-12-24 23:27 209 boot.ini.comodofirewall
2006-03-24 13:00 251,184 ntldr
2006-03-24 13:00 47,564 NTDETECT.COM
2006-03-24 13:00 4,952 bootfont.bin
14 Datei(en) 4,292,555,994 Bytes
0 Verzeichnis(se), 211,981,676,544 Bytes frei

----- Windows --------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 78D2-D3F6

Verzeichnis von C:\WINDOWS

2008-02-09 13:45 65,492 WindowsUpdate.log
2008-02-09 13:40 3,576 KB941644.log
2008-02-09 13:40 3,483 KB943485.log
2008-02-09 13:38 0 0.log
2008-02-09 13:38 2,048 bootstat.dat
2008-02-09 13:16 53,248 PSEXESVC.EXE
2008-01-31 15:02 720,896 iun6002.exe
2008-01-25 16:51 283 game.ini
2008-01-17 18:00 1,394 mozver.dat
2007-12-31 01:04 439 system.ini
2007-12-29 22:31 0 nsreg.dat
2007-12-25 15:00 657 explorer.exe.manifest
2007-12-25 12:20 315,392 HideWin.exe
2007-12-24 23:29 507 win.ini
2007-12-20 15:39 61 smscfg.ini
2007-10-18 12:26 316,640 WMSysPr9.prx
2007-10-18 10:05 0 control.ini
2007-10-18 10:05 4,161 ODBCINST.INI
2007-10-18 10:04 749 WindowsShell.Manifest
2007-10-18 10:02 36 vb.ini
2007-10-18 10:02 37 vbaddin.ini
2007-10-16 18:30 16,855,552 RTHDCPL.EXE
2007-10-11 11:04 1,826,816 SkyTel.exe
2007-10-04 10:02 11,283 atiogl.xml
2007-07-26 18:06 1,191,936 RtlUpd.exe
2007-07-26 10:09 520,192 RtlExUpd.dll
2007-06-28 16:44 2,165,760 MicCal.exe
2007-06-13 14:21 1,036,288 explorer.exe
2007-03-23 19:19 9,715,200 RTLCPL.EXE

69 Datei(en) 47,168,242 Bytes
0 Verzeichnis(se), 211,981,672,448 Bytes frei

----- System ---
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 78D2-D3F6

Verzeichnis von C:\WINDOWS\system

2006-03-24 13:00 70,368 AVICAP.DLL
2006-03-24 13:00 109,504 AVIFILE.DLL
2006-03-24 13:00 33,744 COMMDLG.DLL
2006-03-24 13:00 2,000 KEYBOARD.DRV
2006-03-24 13:00 9,936 LZEXPAND.DLL
2006-03-24 13:00 73,760 MCIAVI.DRV
2006-03-24 13:00 25,296 MCISEQ.DRV
2006-03-24 13:00 28,160 MCIWAVE.DRV
2006-03-24 13:00 69,632 MMSYSTEM.DLL
2006-03-24 13:00 1,152 MMTASK.TSK
2006-03-24 13:00 2,032 MOUSE.DRV
2006-03-24 13:00 127,104 MSVIDEO.DLL
2006-03-24 13:00 82,944 OLECLI.DLL
2006-03-24 13:00 24,064 OLESVR.DLL
2006-03-24 13:00 59,167 setup.inf
2006-03-24 13:00 5,120 SHELL.DLL
2006-03-24 13:00 1,744 SOUND.DRV
2006-03-24 13:00 5,532 stdole.tlb
2006-03-24 13:00 3,360 SYSTEM.DRV
2006-03-24 13:00 19,200 TAPI.DLL
2006-03-24 13:00 4,048 TIMER.DRV
2006-03-24 13:00 9,200 VER.DLL
2006-03-24 13:00 2,176 VGA.DRV
2006-03-24 13:00 13,600 WFWNET.DRV
2006-03-24 13:00 146,944 WINSPOOL.DRV
25 Datei(en) 929,787 Bytes
0 Verzeichnis(se), 211,981,672,448 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 78D2-D3F6

Verzeichnis von C:\WINDOWS\system32

2008-02-09 13:42 70,124 perfc009.dat
2008-02-09 13:42 436,360 perfh009.dat
2008-02-09 13:42 453,066 perfh007.dat
2008-02-09 13:42 82,730 perfc007.dat
2008-02-09 13:42 1,056,736 PerfStringBackup.INI
2008-02-09 10:30 107,832 PnkBstrB.exe
2008-02-07 14:17 12,598 wpa.dbl
2008-02-03 13:08 124,688 MSWINSCK.OCX
2008-01-30 19:08 34 oeminfo.ini
2007-12-29 14:49 5,686 jupdate-1.6.0_03-b05.log
2007-12-25 17:25 66,872 PnkBstrA.exe
2007-12-25 16:20 266,378 TZLog.log
2007-12-25 16:15 3,002 CONFIG.NT
2007-12-25 16:08 12,598 wpa.bak
2007-12-25 09:31 35,455 DrvInstXLog.txt
2007-12-24 23:29 23,392 nscompat.tlb
2007-12-24 23:29 16,832 amcompat.tlb
2007-12-24 23:28 8,205 cleanup.log
2007-12-24 23:28 582 $winnt$.inf
2007-12-20 15:39 333 $ncsp$.inf
2007-12-20 15:38 940,794 LoopyMusic.wav
2007-12-20 15:38 146,650 BuzzingBee.wav
2007-12-04 14:04 837,496 aswBoot.exe
2007-12-04 13:54 95,608 AvastSS.scr
2007-12-02 15:00 18,684,536 MRT.exe
2007-11-29 23:30 1,044,480 libdivx.dll
2007-11-29 23:30 200,704 ssldivx.dll
2007-11-13 12:31 60,416 tzchange.exe
Dieser Beitrag wurde am 09.02.2008 um 14:00 Uhr von a-L-e-X editiert.
Seitenanfang Seitenende
09.02.2008, 14:21
Member

Beiträge: 3716
#9 versuch nochmal combofix schalte diesmal alles ab internet und semtliche programme...
Seitenanfang Seitenende
09.02.2008, 14:26
Member

Themenstarter

Beiträge: 19
#10 Ok ich werds nochmal versuchen.
So ich habs nochmal versucht und diesmal hat es geklappt.
Dieser Beitrag wurde am 09.02.2008 um 17:23 Uhr von a-L-e-X editiert.
Seitenanfang Seitenende
09.02.2008, 19:21
Member

Beiträge: 3716
#11 soll ich mir das log forstellen? oder postest du mir das ;-)
Seitenanfang Seitenende
09.02.2008, 19:56
Member

Themenstarter

Beiträge: 19
#12 Lol sorry ;)
Ich wusste ich hab was vergessen ;)
Ok dann kommt hier die Log..:

ComboFix 08-02.05.3 - alexones 2008-02-09 14:28:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1587 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\alexones\Desktop\Neuer Ordner (2)\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 13:40 . 2008-02-09 13:40 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-08 16:54 . 2008-02-08 17:03 <DIR> d-------- C:\Programme\The Cleaner Free
2008-02-04 19:38 . 2008-02-04 19:38 114,688 --a------ C:\clipfix.cft
2008-02-04 19:38 . 2008-01-31 20:28 0 --a------ C:\image.gif
2008-02-04 19:38 . 2008-01-31 20:28 0 --a------ C:\image (Kopie 1).gif
2008-02-04 19:36 . 2008-02-04 20:23 <DIR> d-------- C:\Programme\ClipFix2
2008-02-04 19:35 . 2008-02-04 20:23 <DIR> d-------- C:\WINDOWS\uninstall
2008-02-03 13:08 . 2008-02-03 13:08 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-01-31 15:02 . 2008-01-31 15:03 <DIR> d-------- C:\Programme\TuneXP
2008-01-31 15:02 . 2008-01-31 15:02 720,896 --a------ C:\WINDOWS\iun6002.exe
2008-01-28 12:56 . 2008-01-28 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-01-28 12:56 . 2008-01-28 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Azureus
2008-01-26 22:49 . 2008-01-26 22:49 <DIR> d-------- C:\Programme\IObit
2008-01-25 16:51 . 2008-01-25 16:51 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-01-25 16:51 . 2008-01-25 16:51 283 --a------ C:\WINDOWS\game.ini
2008-01-25 16:48 . 2008-01-25 16:48 <DIR> d-------- C:\Programme\Activision
2008-01-21 17:05 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-21 17:05 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-17 18:00 . 2008-01-17 18:00 <DIR> d-------- C:\Programme\DivX
2008-01-12 20:43 . 2008-01-13 13:08 <DIR> d-------- C:\Programme\a-squared Anti-Malware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 13:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-09 13:05 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-09 11:01 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Steganos Security Suite 7
2008-02-07 18:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-02 13:17 --------- d-----w C:\Programme\Steganos Security Suite 7
2008-01-25 15:46 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-13 11:48 --------- d-----w C:\Programme\a-squared Free
2008-01-12 19:30 --------- d-----w C:\Programme\VideoLAN
2008-01-08 19:17 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\ICQ
2007-12-30 11:44 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Tenebril
2007-12-30 11:36 --------- d-----w C:\Programme\GhostSurf 2006 Platinum
2007-12-29 17:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tenebril
2007-12-29 13:49 --------- d-----w C:\Programme\Java
2007-12-29 13:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-28 23:38 --------- d-----w C:\Programme\Ashampoo
2007-12-28 11:25 --------- d-----w C:\Programme\DaemonTools_WhenUSave_Installer
2007-12-27 16:49 --------- d-----w C:\Programme\Creative
2007-12-27 08:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2007-12-27 08:25 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Ashampoo
2007-12-25 16:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-12-25 15:36 --------- d-----w C:\Programme\ICQ6
2007-12-25 15:21 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\InstallShield
2007-12-25 14:30 --------- d-----w C:\Programme\Winamp
2007-12-25 11:20 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-12-25 11:20 --------- d-----w C:\Programme\Realtek
2007-12-25 11:14 --------- d-----w C:\Programme\Philips Display
2007-12-25 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Portrait Displays
2007-12-25 11:14 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\DisplayTune
2007-12-25 11:11 --------- d-----w C:\Programme\ATI Technologies
2007-12-25 11:09 --------- d-----w C:\Programme\AMD
2007-12-25 10:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-12-25 08:57 22,328 ----a-w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\PnkBstrK.sys
2007-12-25 08:32 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Cherry
2007-12-25 08:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Cherry
2007-12-25 08:30 --------- d-----w C:\Programme\Cherry
2007-12-24 23:34 --------- d-----w C:\Programme\DAEMON Tools
2007-12-24 23:32 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-24 23:07 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\CDZilla
2007-12-24 22:55 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-12-24 22:52 --------- d-----w C:\Programme\7-Zip
2007-12-24 22:51 --------- d-----w C:\Programme\Yahoo!
2007-12-24 22:51 --------- d-----w C:\Programme\CCleaner
2007-12-24 22:43 --------- d-----w C:\Programme\Alwil Software
2007-12-24 22:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2007-12-24 22:40 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Comodo
2007-12-24 22:35 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Media Player Classic
2007-12-24 22:34 --------- d-----w C:\Programme\Comodo
2007-12-24 22:29 --------- d-----w C:\Programme\Windows Media Connect 2
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]
"SSS7"="C:\Programme\Steganos Security Suite 7\SSS7.exe" [2005-08-02 15:50 274432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 12:34 64512]
"COMODO Firewall Pro"="C:\Programme\Comodo\Firewall\CPF.exe" [2007-12-24 23:34 1115728]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-16 18:30 16855552 C:\WINDOWS\RTHDCPL.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-01-07 17:56 1816208]
"GhostSurf Reminder"="C:\Programme\GhostSurf 2006 Platinum\Privacy Control Center.exe" [2005-08-14 23:32 82037]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" [ ]
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" [ ]
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SSS7"="C:\Programme\Steganos Security Suite 7\SSS7.exe" [2005-08-02 15:50 274432]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
SpyCatcher Protector.lnk - C:\Programme\GhostSurf 2006 Platinum\Protector.exe [2007-12-30 12:36:27 86133]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=interceptor.dll

R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINDOWS\system32\drivers\SLEE81.sys [2005-05-13 09:59]
R3 Ch2kUSB;Cherry USB Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSB.sys [2006-06-29 17:18]
R3 Ch2kUSBM;Cherry USB Maus Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSBm.sys [2006-04-28 08:59]
S3 Cherry Device Interface;Cherry Device Interface;C:\Programme\Cherry\CDI\cdi.exe [2006-06-27 14:02]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 14:29:38
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 14:30:16
.
2007-12-25 17:56:50 --- E O F ---
Seitenanfang Seitenende
09.02.2008, 20:08
Member

Beiträge: 3716
#13 dieser Scans soll(en):• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN
nicht vergessen)• nichts am Rechner getan werden• nach jedem Scan der Rechner neu gestartet werdenGmer scannen lassen• Lade
dir Gmer von [url=http://www.gmer.net/files.php]dieser Seite[/url] runter und entpacke es auf deinen Desktop.• Starte gmer.exe. Alle anderen Programme
sollen geschlossen sein.• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.• Wenn der Scan fertig ist klicke auf "Copy" um
das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.• Füge das Log aus der Zwischenablage in deine Antwort hier ein.Catchme
scannen lassen
• Lade dir [url=http://files.thespykiller.co.uk/catchme.exe]Catchme[/url] runter auf deinen Desktop.• Starte Catchme.exe.
Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit
eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.• Das Log ist in catchme.log, füge es vollständig in deine Antwort
ein.RootkitRevealer scannen lassen• Lade [url=http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx]RootkitRevealer[/url]
runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.• Starte in diesem Ordner RootkitRevealer.exe.
Alle anderen Programme schließen.• Starte durch Klick auf "Scan".• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.Blacklight
scannen lassen
• Lade [url=http://www.f-secure.com/security_center/]F-Secure Blacklight[/url] herunter in einen eigenen Ordner, z.B. C:\programme\blacklight.• Starte
in diesem Ordner fsbl.exe. Alle anderen Programme schließen.• Klick "I accept the agreement", "next", "Scan".• Wenn der Scan fertig ist beende
Blacklight mit "Close".• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.
[size="3"]Scanner wieder einschalten, bevor Du ins Netz gehst![/size] -> Nun bitte alle Logs posten.
Seitenanfang Seitenende
09.02.2008, 20:18
Member

Themenstarter

Beiträge: 19
#14 Ok danke ;) ich hab heute aber leider keine zeit mehr um alles zu machen..ich werd morgen die gesamten Logs posten ;)

Guuut habs mir anders überlegt ;)
also hier die ersten Logs..:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 20:51:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:5a,32,de,5e,c5,a9,14,d8,44,36,66,3e,b6,c7,75,e5,27,76,a3,60,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,8b,c2,78,4d,3c,6e,94,1c,f3,f2,ab,a0,f3,c2,9f,d2,..
"khjeh"=hex:43,f2,47,60,91,41,9f,d0,18,f7,5a,36,6e,18,84,e6,ee,bc,e6,27,dc,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0d,ee,97,5a,79,45,b3,02,f8,29,59,a3,02,79,6c,5d,51,6c,a4,ef,16,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d6,f4,d1,ad,94,d2,11,03,27,ad,b8,78,4b,21,fc,3f,c0,29,70,3f,25,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:5a,32,de,5e,c5,a9,14,d8,44,36,66,3e,b6,c7,75,e5,27,76,a3,60,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,8b,c2,78,4d,3c,6e,94,1c,f3,f2,ab,a0,f3,c2,9f,d2,..
"khjeh"=hex:43,f2,47,60,91,41,9f,d0,18,f7,5a,36,6e,18,84,e6,ee,bc,e6,27,dc,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:28,97,39,f2,20,44,1a,7f,28,a3,cc,4e,95,65,19,7c,24,74,76,eb,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d6,f4,d1,ad,94,d2,11,03,27,ad,b8,78,4b,21,fc,3f,c0,29,70,3f,25,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:5a,32,de,5e,c5,a9,14,d8,44,36,66,3e,b6,c7,75,e5,27,76,a3,60,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,8b,c2,78,4d,3c,6e,94,1c,f3,f2,ab,a0,f3,c2,9f,d2,..
"khjeh"=hex:43,f2,47,60,91,41,9f,d0,18,f7,5a,36,6e,18,84,e6,ee,bc,e6,27,dc,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:28,97,39,f2,20,44,1a,7f,28,a3,cc,4e,95,65,19,7c,24,74,76,eb,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d6,f4,d1,ad,94,d2,11,03,27,ad,b8,78,4b,21,fc,3f,c0,29,70,3f,25,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


02/09/08 21:26:58 [Info]: BlackLight Engine 1.0.67 initialized
02/09/08 21:26:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/09/08 21:26:58 [Note]: 7019 4
02/09/08 21:26:58 [Note]: 7005 0
02/09/08 21:27:07 [Note]: 7006 0
02/09/08 21:27:07 [Note]: 7011 948
02/09/08 21:27:07 [Note]: 7026 0
02/09/08 21:27:08 [Note]: 7026 0
02/09/08 21:27:08 [Note]: 7024 3
02/09/08 21:27:08 [Info]: Hidden process: C:\Programme\GhostSurf 2006 Platinum\Protector.exe
02/09/08 21:27:10 [Note]: FSRAW library version 1.7.1024
02/09/08 21:28:01 [Note]: 2000 1012
02/09/08 21:28:42 [Note]: 7007 0

ComboFix 08-02.05.3 - alexones 2008-02-09 14:28:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1587 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\alexones\Desktop\Neuer Ordner (2)\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 13:40 . 2008-02-09 13:40 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-08 16:54 . 2008-02-08 17:03 <DIR> d-------- C:\Programme\The Cleaner Free
2008-02-04 19:38 . 2008-02-04 19:38 114,688 --a------ C:\clipfix.cft
2008-02-04 19:38 . 2008-01-31 20:28 0 --a------ C:\image.gif
2008-02-04 19:38 . 2008-01-31 20:28 0 --a------ C:\image (Kopie 1).gif
2008-02-04 19:36 . 2008-02-04 20:23 <DIR> d-------- C:\Programme\ClipFix2
2008-02-04 19:35 . 2008-02-04 20:23 <DIR> d-------- C:\WINDOWS\uninstall
2008-02-03 13:08 . 2008-02-03 13:08 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-01-31 15:02 . 2008-01-31 15:03 <DIR> d-------- C:\Programme\TuneXP
2008-01-31 15:02 . 2008-01-31 15:02 720,896 --a------ C:\WINDOWS\iun6002.exe
2008-01-28 12:56 . 2008-01-28 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-01-28 12:56 . 2008-01-28 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Azureus
2008-01-26 22:49 . 2008-01-26 22:49 <DIR> d-------- C:\Programme\IObit
2008-01-25 16:51 . 2008-01-25 16:51 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-01-25 16:51 . 2008-01-25 16:51 283 --a------ C:\WINDOWS\game.ini
2008-01-25 16:48 . 2008-01-25 16:48 <DIR> d-------- C:\Programme\Activision
2008-01-21 17:05 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-21 17:05 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-17 18:00 . 2008-01-17 18:00 <DIR> d-------- C:\Programme\DivX
2008-01-12 20:43 . 2008-01-13 13:08 <DIR> d-------- C:\Programme\a-squared Anti-Malware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 13:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-09 13:05 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-09 11:01 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Steganos Security Suite 7
2008-02-07 18:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-02 13:17 --------- d-----w C:\Programme\Steganos Security Suite 7
2008-01-25 15:46 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-13 11:48 --------- d-----w C:\Programme\a-squared Free
2008-01-12 19:30 --------- d-----w C:\Programme\VideoLAN
2008-01-08 19:17 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\ICQ
2007-12-30 11:44 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Tenebril
2007-12-30 11:36 --------- d-----w C:\Programme\GhostSurf 2006 Platinum
2007-12-29 17:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tenebril
2007-12-29 13:49 --------- d-----w C:\Programme\Java
2007-12-29 13:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-28 23:38 --------- d-----w C:\Programme\Ashampoo
2007-12-28 11:25 --------- d-----w C:\Programme\DaemonTools_WhenUSave_Installer
2007-12-27 16:49 --------- d-----w C:\Programme\Creative
2007-12-27 08:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2007-12-27 08:25 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Ashampoo
2007-12-25 16:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-12-25 15:36 --------- d-----w C:\Programme\ICQ6
2007-12-25 15:21 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\InstallShield
2007-12-25 14:30 --------- d-----w C:\Programme\Winamp
2007-12-25 11:20 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-12-25 11:20 --------- d-----w C:\Programme\Realtek
2007-12-25 11:14 --------- d-----w C:\Programme\Philips Display
2007-12-25 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Portrait Displays
2007-12-25 11:14 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\DisplayTune
2007-12-25 11:11 --------- d-----w C:\Programme\ATI Technologies
2007-12-25 11:09 --------- d-----w C:\Programme\AMD
2007-12-25 10:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-12-25 08:57 22,328 ----a-w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\PnkBstrK.sys
2007-12-25 08:32 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Cherry
2007-12-25 08:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Cherry
2007-12-25 08:30 --------- d-----w C:\Programme\Cherry
2007-12-24 23:34 --------- d-----w C:\Programme\DAEMON Tools
2007-12-24 23:32 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-24 23:07 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\CDZilla
2007-12-24 22:55 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-12-24 22:52 --------- d-----w C:\Programme\7-Zip
2007-12-24 22:51 --------- d-----w C:\Programme\Yahoo!
2007-12-24 22:51 --------- d-----w C:\Programme\CCleaner
2007-12-24 22:43 --------- d-----w C:\Programme\Alwil Software
2007-12-24 22:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2007-12-24 22:40 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Comodo
2007-12-24 22:35 --------- d-----w C:\Dokumente und Einstellungen\alexones\Anwendungsdaten\Media Player Classic
2007-12-24 22:34 --------- d-----w C:\Programme\Comodo
2007-12-24 22:29 --------- d-----w C:\Programme\Windows Media Connect 2
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]
"SSS7"="C:\Programme\Steganos Security Suite 7\SSS7.exe" [2005-08-02 15:50 274432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 12:34 64512]
"COMODO Firewall Pro"="C:\Programme\Comodo\Firewall\CPF.exe" [2007-12-24 23:34 1115728]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-16 18:30 16855552 C:\WINDOWS\RTHDCPL.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-01-07 17:56 1816208]
"GhostSurf Reminder"="C:\Programme\GhostSurf 2006 Platinum\Privacy Control Center.exe" [2005-08-14 23:32 82037]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" [ ]
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" [ ]
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SSS7"="C:\Programme\Steganos Security Suite 7\SSS7.exe" [2005-08-02 15:50 274432]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
SpyCatcher Protector.lnk - C:\Programme\GhostSurf 2006 Platinum\Protector.exe [2007-12-30 12:36:27 86133]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=interceptor.dll

R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINDOWS\system32\drivers\SLEE81.sys [2005-05-13 09:59]
R3 Ch2kUSB;Cherry USB Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSB.sys [2006-06-29 17:18]
R3 Ch2kUSBM;Cherry USB Maus Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSBm.sys [2006-04-28 08:59]
S3 Cherry Device Interface;Cherry Device Interface;C:\Programme\Cherry\CDI\cdi.exe [2006-06-27 14:02]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 14:29:38
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 14:30:16
.
2007-12-25 17:56:50 --- E O F ---

so das waren jetzt mal die Logs oder hab ich ein programm vergessen ?
Dieser Beitrag wurde am 09.02.2008 um 21:46 Uhr von a-L-e-X editiert.
Seitenanfang Seitenende
10.02.2008, 11:21
Member

Beiträge: 3716
#15 ja noch einen rootkitscanner
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: