Bin ich infiziert? |
Willkommen, Gast ( Anmelden | Registrierung )
Bin ich infiziert? |
21.07.2008, 11:27
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 21.07.2008 Mitglieds-Nr.: 6.973 Betriebssystem: XP Virenscanner: F-Secure Firewall: Jau F-Secure |
Hallo zusammen,
Immer wenn ich Firefox öffne, leitet sich eine TCP Verbindung ein: noxchat.westwood.com:1047 noxchat.westwood.com:1046 noxchat.westwood.com:1059 noxchat.westwood.com:1059 Hat das etwas zu bedeuten? Keylogger? Hijackthis hat nichts gefunden, gleich wie mein AV F-Secure Bin dankbar für jede Antwort! MfG |
|
|
Gast_kurz-pc_* |
21.07.2008, 11:38
Beitrag
#2
|
Gäste |
Kann es sein dass du ein Computer Spiel von Westwood installiert hast? zb: Command & Conquer?
westwood.com ist die ehemaligen internet Adresse von einer ehemaligen Spieleentwickler-Firma. http://de.wikipedia.org/wiki/Westwood_Studios |
|
|
21.07.2008, 14:33
Beitrag
#3
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 21.07.2008 Mitglieds-Nr.: 6.973 Betriebssystem: XP Virenscanner: F-Secure Firewall: Jau F-Secure |
Nein eigentlich nicht^^
Außerdem wäre es trotzdem eigenartig, dass ich bei jedem Start von FF eine Verbindung zu deren Server aufbaue bzw eine Verbindung eingeleitet wird. |
|
|
Gast_kurz-pc_* |
21.07.2008, 16:51
Beitrag
#4
|
Gäste |
Hast du in Firefox Erweiterungen installierenwen ja welche?
Poste doch mal bitte das HijackThis Logfile. Gruß kurz-pc |
|
|
21.07.2008, 17:41
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Ad Ons überprüfen und alle mal deaktivieren/Cachee leeren/Ccleaner bei geschl.Firefox cleanen/IE Cachee löschen und alle Einstellungen zurücksetzen/Neustart. Falls noch immer in System32/drivers/etc. mal die Lokal Host überprüfen, ob diese noch immer bei 127.0.0.1 liegt.
Außerdem wäre es hilfreich zu erfahren ob eventuell S&D ab Version 1.5 am werkeln ist. -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
21.07.2008, 18:43
Beitrag
#6
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 21.07.2008 Mitglieds-Nr.: 6.973 Betriebssystem: XP Virenscanner: F-Secure Firewall: Jau F-Secure |
CODE Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:40:21, on 21.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\Explorer.EXE C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\Logi_MwX.Exe C:\WINDOWS\system32\rundll32.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\ASWLSVC.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\FSGK32.EXE C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMB32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FCH32.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sandboxie\SbieSvc.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Scramby\voicetunerserver.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FAMEH32.EXE C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsqh.exe C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\fsguidll.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fssm32.exe C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsaua.exe C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsus.exe C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsav32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 139.1.46.10:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: (no name) - {345607E8-90FE-4DDB-95C8-5795D0A614E9} - C:\WINDOWS\system32\audiosr.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - C:\Programme\Rapidown\rapi310.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [News Service] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [KLIMA KILLER HARMLOS] C:\WINDOWS\system32\KLOOOO.exe O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Download all by Rapidown... - C:\Programme\Rapidown\rapidownGetAll.htm O8 - Extra context menu item: Download by Rapidown... - C:\Programme\Rapidown\rapidownGet.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing) O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing) O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\nax.exe (file missing) O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Voice Tuner (voicetuner) - RapidSolution - C:\Programme\Scramby\voicetunerserver.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe O24 - Desktop Component 1: Anfy FIRE - C:\Programme\AnfyTeam\Applet\fire\preview.html -- End of file - 11025 bytes Hab alles gelöscht Addons sind alle deinstalliert etc MfG |
|
|
Gast_kurz-pc_* |
21.07.2008, 19:48
Beitrag
#7
|
Gäste |
Hättest du mal Norton Anti-Virus auf dem PC?
O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com Sicht bisschen komisch aus voralle da wen Mann nach RegShellEx.com googelt so gut wie nichts findet. Prüfe doch mal die Datei bei virustotal.com prüfen Gruß kurz-pc |
|
|
21.07.2008, 20:12
Beitrag
#8
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
O2 - BHO: (no name) - {345607E8-90FE-4DDB-95C8-5795D0A614E9} - C:\WINDOWS\system32\audiosr.dll
O4 - HKLM\..\Run: [KLIMA KILLER HARMLOS] C:\WINDOWS\system32\KLOOOO.exe O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe Alle diese Sachen sehen verdächtig aus , solltest du kontrollieren und prüfen. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
21.07.2008, 20:40
Beitrag
#9
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com Sicht bisschen komisch aus voralle da wen Mann nach RegShellEx.com googelt so gut wie nichts findet. Aber nur so gut wie: http://www.privacyanywhere.com/research/rid/delf.ach.htm Denke als Ergebnis reicht das schon für ein bissel Skepsis -------------------- Yours sincerely
Uwe Kraatz |
|
|
22.07.2008, 08:50
Beitrag
#10
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 21.07.2008 Mitglieds-Nr.: 6.973 Betriebssystem: XP Virenscanner: F-Secure Firewall: Jau F-Secure |
Also die meisten von euch geposteten Files wurden bereits von meinem AV desinfiziert (waren definitiv backdoored). Kann aber auch daran liegen, dass ich vor langer Zeit selbst mit Trojaner'n rumgespielt habe
Ich hoffe jetzt einfach mal dass die Sache gegessen ist. Ansonsten werde ich wahrscheinlich formatieren. Danke für eure Zeit! MfG |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 08:56 |