trojaner bekommen? |
||
---|---|---|
#0
| ||
09.01.2004, 18:27
...neu hier
Beiträge: 2 |
||
|
||
09.01.2004, 19:08
Moderator
Beiträge: 7805 |
#2
Die spanische Adresse koennte was mit Panda( updateserver?) zu tun haben. deaktiviere mal mit Hilfe des Taskmanagers die einzelnen (nichtwindows) Tasks und schaue, wann die Verbindungen zu kasserver.com geschlossen werden.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.01.2004, 20:27
...neu hier
Themenstarter Beiträge: 2 |
#3
hmm also
APVXDWIN.EXE:2980 TCP bane:2672 housing-xxx.sarenet.es:http ESTABLISHED scheint wirklich etwas von panda zu sein (jedenfalls befindet sich in dem installordner die exe). der prozess "avengine.exe" (auch im panda verzeichniss) lässt sich leider nicht beenden, aber da dieser eintrag in ziemlich regelmässigen abständen auftaucht könnte es sich wirklich ein update feature handeln. aber so an die 40 immer wieder kehrende einträge in tcpview wie: [System Process]:0 TCP bane:2671 ks418.kasserver.com:http TIME_WAIT mit immer wieder ändernden ports lassen mich darauf schliessen dass dieser jemand mich scannt. Entweder ich bin paranoid oder ich sende immer noch irgendwas. auch wenn ich mir eigentlich fast sicher bin nichts (mehr) zu senden. Die unzähligen connect versuche auf meinen ftp von immer wieder anderen ip´s haben mich halt ziemlich verunsichert. naja ich werde mal das ganze im auge behalten. |
|
|
||
09.01.2004, 20:57
Moderator
Beiträge: 7805 |
#4
Ich wusste doch das ich diese Kasserver.com irgendwo schon mal gesehen habe. Das passiert dir wohl nur dann, wenn du hier im Forum bist! Anscheinend hostet KASSERVER dieses Board oder die Domain!?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
und habe denke ich seit vorgestern ein problem mit meinem rechner.
und zwar bemerkte ich dass ich eine steigende anzahl an connect versuchen zu meinem FTP registrierte. (minutentakt)
von daher ging ich mal aus irgendwas stimmt nicht, dann mal disconnect am router, aber die connect versuche wurden nicht weniger. Von daher gehe ich mal aus dass ich irgenwas in die weite welt sende was andere dazu veranlasst mir mal einen besuch zu bestatten.
tja nach dem üblichen tcpview, adware, norton antivirus, panda antivirus check wurde ich auch nicht schlauer.
denn ich fand nichts was diese connects rechtfertigen.
die connect versuche wurden zwar weniger aber ich habe noch immer ein dumpfes gefühl wenn ich connects
system:4 die nach housing-xxx.sarenet.es:http auf dem port 1210 connecten
bzw wie z.b eben so an die 10 system prozesse nach ks414.kasserver.com
in TCPview sehe
entweder hatte ich was und habe es erfolgreich mit spybot, adware, Bps gelöscht oder ich sende immer noch irgendwas nach aussen und finde es nicht oder übersehe es einfach.
ich bin für jede erdenkliche hilfe dankbar.
greets Horizon
anbei auch mal meine hijack log:
Logfile of HijackThis v1.97.7
Scan saved at 18:21:29, on 09.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\mysql\bin\mysqld.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\Apps\Serv-U\SERVUD~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\treiber\Logitech\iTouch\iTouch.exe
C:\Programme\Wintools\D-Tools\daemon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\atwtusb.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apps\Serv-U\ServUTray.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Bench\Motherboard Monitor 5\MBM5.exe
C:\Programme\download\ReGetDx\ReGetDx.exe
D:\downloads\apps\samurize\samurize_085d\Client.exe
C:\Programme\Wintools\Trillian2.0\trillian.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Programme\remote\TightVNC\WinVNC.exe
D:\downloads\apps\security\tcpview\Tcpview.exe
C:\Programme\Wintools\TaskInfo2003 5.0\TaskInfo.exe
C:\Programme\Wintools\NoNameScript\mirc.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\Spyware Remover\SpyWatch.exe
C:\Programme\Spyware Remover\PupupWatch\PopUpWatch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Apps\Serv-U\ServUAdmin.exe
D:\downloads\apps\security\neu\hijackthis\HijackThis.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Security\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\download\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\treiber\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Wintools\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\remote\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Programme\Apps\Serv-U\ServUTray.exe
O4 - Startup: MBM 5.lnk = C:\Programme\Bench\Motherboard Monitor 5\MBM5.exe
O4 - Startup: ReGetDeluxe.lnk = C:\Programme\download\ReGetDx\ReGetDeluxe33184Loader.exe
O4 - Startup: Samurize.lnk = D:\downloads\apps\samurize\samurize_085d\Client.exe
O4 - Startup: trillian.lnk = C:\Programme\Wintools\Trillian2.0\trillian.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.04.03&http://www.thermaltake.com/3d/xaserIII/xaserIII.html
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37931.2585648148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBE56F98-BCB5-4D8D-814A-0221334D2862}: NameServer = 192.168.1.1