Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Bin ich infiziert?
Klima_Killer
Beitrag 21.07.2008, 11:27
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2008
Mitglieds-Nr.: 6.973

Betriebssystem:
XP
Virenscanner:
F-Secure
Firewall:
Jau F-Secure



Hallo zusammen,


Immer wenn ich Firefox öffne, leitet sich eine TCP Verbindung ein:

noxchat.westwood.com:1047
noxchat.westwood.com:1046
noxchat.westwood.com:1059
noxchat.westwood.com:1059


Hat das etwas zu bedeuten? Keylogger?

Hijackthis hat nichts gefunden, gleich wie mein AV F-Secure

Bin dankbar für jede Antwort!

MfG
Go to the top of the page
 
+Quote Post
Gast_kurz-pc_*
Beitrag 21.07.2008, 11:38
Beitrag #2






Gäste






Kann es sein dass du ein Computer Spiel von Westwood installiert hast? zb: Command & Conquer?

westwood.com ist die ehemaligen internet Adresse von einer ehemaligen Spieleentwickler-Firma.

http://de.wikipedia.org/wiki/Westwood_Studios

Go to the top of the page
 
+Quote Post
Klima_Killer
Beitrag 21.07.2008, 14:33
Beitrag #3


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2008
Mitglieds-Nr.: 6.973

Betriebssystem:
XP
Virenscanner:
F-Secure
Firewall:
Jau F-Secure



Nein eigentlich nicht^^

Außerdem wäre es trotzdem eigenartig, dass ich bei jedem Start von FF eine Verbindung zu deren Server aufbaue bzw eine Verbindung eingeleitet wird.
Go to the top of the page
 
+Quote Post
Gast_kurz-pc_*
Beitrag 21.07.2008, 16:51
Beitrag #4






Gäste






Hast du in Firefox Erweiterungen installierenwen ja welche?

Poste doch mal bitte das HijackThis Logfile.

Gruß kurz-pc
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 21.07.2008, 17:41
Beitrag #5



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



confused.gif Ad Ons überprüfen und alle mal deaktivieren/Cachee leeren/Ccleaner bei geschl.Firefox cleanen/IE Cachee löschen und alle Einstellungen zurücksetzen/Neustart. Falls noch immer in System32/drivers/etc. mal die Lokal Host überprüfen, ob diese noch immer bei 127.0.0.1 liegt.
Außerdem wäre es hilfreich zu erfahren ob eventuell S&D ab Version 1.5 am werkeln ist.


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Klima_Killer
Beitrag 21.07.2008, 18:43
Beitrag #6


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2008
Mitglieds-Nr.: 6.973

Betriebssystem:
XP
Virenscanner:
F-Secure
Firewall:
Jau F-Secure



CODE
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:21, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\FSGK32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FCH32.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Scramby\voicetunerserver.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FAMEH32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsqh.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\fsguidll.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fssm32.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsaua.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsus.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 139.1.46.10:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {345607E8-90FE-4DDB-95C8-5795D0A614E9} - C:\WINDOWS\system32\audiosr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - C:\Programme\Rapidown\rapi310.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KLIMA KILLER HARMLOS] C:\WINDOWS\system32\KLOOOO.exe
O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download all by Rapidown... - C:\Programme\Rapidown\rapidownGetAll.htm
O8 - Extra context menu item: Download by Rapidown... - C:\Programme\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing)
O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing)
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\nax.exe (file missing)
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Voice Tuner (voicetuner) - RapidSolution - C:\Programme\Scramby\voicetunerserver.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe
O24 - Desktop Component 1: Anfy FIRE - C:\Programme\AnfyTeam\Applet\fire\preview.html

--
End of file - 11025 bytes



Hab alles gelöscht

Addons sind alle deinstalliert etc


MfG
Go to the top of the page
 
+Quote Post
Gast_kurz-pc_*
Beitrag 21.07.2008, 19:48
Beitrag #7






Gäste






Hättest du mal Norton Anti-Virus auf dem PC?

O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com

Sicht bisschen komisch aus voralle da wen Mann nach RegShellEx.com googelt so gut wie nichts findet.


Prüfe doch mal die Datei bei virustotal.com prüfen

Gruß kurz-pc
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 21.07.2008, 20:12
Beitrag #8



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



O2 - BHO: (no name) - {345607E8-90FE-4DDB-95C8-5795D0A614E9} - C:\WINDOWS\system32\audiosr.dll
O4 - HKLM\..\Run: [KLIMA KILLER HARMLOS] C:\WINDOWS\system32\KLOOOO.exe
O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Alle diese Sachen sehen verdächtig aus , solltest du kontrollieren und prüfen.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 21.07.2008, 20:40
Beitrag #9



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(kurz-pc @ 21.07.2008, 20:47) *
O4 - HKLM\..\Run: [Norton Anti-Virus] C:\WINDOWS\system32\RegShellEx.com
Sicht bisschen komisch aus voralle da wen Mann nach RegShellEx.com googelt so gut wie nichts findet.


Aber nur so gut wie:
http://www.privacyanywhere.com/research/rid/delf.ach.htm

Denke als Ergebnis reicht das schon für ein bissel Skepsis rolleyes.gif


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Klima_Killer
Beitrag 22.07.2008, 08:50
Beitrag #10


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2008
Mitglieds-Nr.: 6.973

Betriebssystem:
XP
Virenscanner:
F-Secure
Firewall:
Jau F-Secure



Also die meisten von euch geposteten Files wurden bereits von meinem AV desinfiziert (waren definitiv backdoored). Kann aber auch daran liegen, dass ich vor langer Zeit selbst mit Trojaner'n rumgespielt habe stirnklatsch.gif
Ich hoffe jetzt einfach mal dass die Sache gegessen ist. Ansonsten werde ich wahrscheinlich formatieren.

Danke für eure Zeit!

MfG
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 08:49
Impressum