Forum
Tipps
News
Menu-Icon

wohnheimnetzwerk und mein trojaner problem

hi leute,

nachdem ich lange mit meinen viren gelebt habe möchte ich sie nun endlich los werden, denn in meinem studentenwohnheim ist es anscheindend ein sport geworden USER auszulesen.
ich habe hier erstmal mein highkack file drinnen und wenn ihr was seht dann postet bitte.
 ich habe durch meinen virusscanner einige ip adresse gefunden zu denen immer auf udp gesendet wird und ich will diese lücke dicht machen, dazu muss ich aber erst einmal die infektion finden.

pls help

hier das log:

O1 - Hosts: </body></html>
O1 - Hosts: <html><head>
O1 - Hosts: <title>404 Not Found</title>
O1 - Hosts: </head><body>
O1 - Hosts: <h1>Not Found</h1>
O1 - Hosts: <p>The requested URL /task.php was not found on this server.</p>
O1 - Hosts: <hr />
O1 - Hosts: <address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
O1 - Hosts: </body></html>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {B81896EA-E0AA-92AA-BF67-14B1C8C5A7E4} - C:\WINDOWS\system32\ntid.dll (file missing)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appju32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Antworten zu wohnheimnetzwerk und mein trojaner problem:

Hier auswerten :
http://www.hijackthis.de/
Wie wäre es mit einer Firewall ?

@gast

du, die firewall lief auch aber leider konnte der admin irgendwie dafür sorgen, dass, wenn ich inet wollte, mit meinem admin reingehen musste und dann später soager, dass es nur funktionierte, wenn meine firewall aus war. ich war bei ihm und er sagte mir dann: mit einer firewall ins inet, wieso das denn! ihr seht hier ist der hund begarben.

das file übrigens wo der trojner ist

Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80

Wie wäre es mit einem alten 286 , 386 , oder 486er mit IPCOP (linux)
als HW-FW ???

>> mit einer firewall ins inet, wieso das denn! << Sag ihm mal einen Gruss , und wenn keine HW-FW da ist , halte ich ihn für "bekloppt" !!!
Nicht , dass das Netz offen fü DOS-Angriffe ist , ohne eigene FW kann jedes Programm "nachhausetelefonieren und Mails versenden !!!
Hat der ADMIN etwa Zugriff auf alle PC , ohne Rücksprache oder dass Du ein Prog laden musst ??
Damm WERFT IHN RAUS !!!

du hast recht, aber mir geht es vor allem um das prinzip und den nachweis, dass es die netzwerkbetreuer sind die die viren streuen. ich kennen mich ziemlich gut mit tcp/ip protokollen aus und was da über meine firewall läuft fand ich immer schon komisch. dass sich aber hier in meiner unmittewlbaren umgebung leute einen jux daraus machen diverse rechner zu hacken, kann längerfristig nur unterbunden werden, wenn man sie drankriegt. ich denke da an eine aufschlüsselung nach hostnamen der gesendeten pakete und quais rückverfolgung bis zum auslöser.seit 3monaten ist das problem da, und meine system hat sich an logs und reports satt gefressen, so dass nun mit dem studentenwohnheim abgeklärt werden muss, wie es dazu kommen kann.
stichwort illegal.

Wenn Du Zonealarm einsetzt , und alles zulässt , dann noch ALLE Ereinisse protokollieren lässt , müsstest Du bald Belege haben , mit denen Du die Polizei einschalten kannst . Das ist schliesslich genauso , als wenn Du einen Sasser oder BOT einschleust ...  >:(

Nachtrag : Lies mal hier (LINKS) mit....
http://www.computerhilfen.de/hilfen-17-75863-0.html
Könntest ja ggf den Telnet und FTP-Port usw schliessen  ;D  ???

ich habe mit mittlwerweile den TCP DUMP monitor geholt und leute ihr glaubt nicht was sich unter der scheinbar glatten oberfläche meiner zonelab alles tut.
leider gelingt es den anderen pc s immer mir einen blauen bildschirm hinzuzaubern, wenn ich die pakete zurückverfolge, dh ich kann zwar die pakete suchen, aber es ist nur eine frage der zeit, bis sie den CV crahsen.bei der ereignissanzeige steht dann:
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x100000d1 (0x82c00000, 0x00000002, 0x00000000, 0xeddba86c). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\Minidump\Mini070605-10.dmp.
also nicht schön. ich werde jetzt die tage versuchen die ips in reele macnamen umzusetzen um den leuten an den karren machen zu können und dann das system neu aufsetzen. postet weiter zu diesem beitrag, oder verfolgt einfach, wie isch die geschichte entwickelt.

grüsse gehen raus

Vielleicht hilft das , keine Ahnung . Habe 95 bei Siemens zwar den Admi für PC gespielt , aber da hatten wir intern die PC nur per Mac adressiert . Habe nich die erste Class C bestellt und eingerichtet , aber dann 97 mit 55 in Vorruhestand  ;D
Wenn du die MAC des internen Ports suchst hilft evtl. folgendes:


Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a


der Befehl arp -a zeigt dir deine lokalen ARP-Tabellen an, in meinem Falle hier mein Gateway und dessen MAC.
Im Anschluss habe ich einen weiteren Computer mit der IP 192.168.0.3 eingeschaltet und einmal "gepingt".

Zitat:
C:\>ping 192.168.0.3

Ping wird ausgeführt für 192.168.0.3 mit 32 Byte

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

[...]tütütü, blablabla, kennste ja[...]



Jetzt wieder den Befehl 'arp -a', und er offenbart folgendes:

Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a
  192.168.0.3          00-40-d0-20-02-2e


Die IP des neuen Computers wurde also auf dessen MAC aufgelöst.

das hilft wirklich, ich habe nun die mac adressen , der vmutmusslichen täter, die ich an der uni über den zentralrechner auslesen lassen werde.
@hans: und da sag noch mal einer die alten müssen raus, weil sie nichts bringen. echt super danke für dein tipp.

Danke , helfe immer gerne , besonders wenn es gegen Viren und sonstige Eindringlinge geht !!!

@alle:

weiter im text. arbeite jetzt sehr erfolgreich mit tcp.dump um die angriffe aufzuschlüsseln., siehe thread weiter oben, aber!!! die bösen hacker schaffen es doch glatt mein stytem zu zuerschiessen, indem sie mir pakete schicken, die ( rest erklärt der link)

http://www.tecchannel.de/index.cfm?pid=187&pk=424185

für mich stellt sichnur die frage, wie kann ich das verhindern. weiss jemamd mehr dazu??? pls help

und gruss geht raus an nero^^

WIN-XP - SP2 ? Mach einfach mal die INTERNE Firewall an !!!! Die sollte dich vor DOS Angriffen schon schützen . Besser ist ein Router mit FW .
Suche mal nach IP-COP (Linux Firewall) , auf altem 286er möglich !!!

Hallo,

was hast du für eine Netzkarte - Chipsatz

@kersten : Cobra , übernehmen Sie !!!
Bin mit meinem Latinum minimum am ENDE !!!
Carsten

@hansen, du lies doch mal den tread. im netzwerk ist keine xp firewall möglich, weil es ein funklan ist, das unverschlüsselt senden muss.
@kersten : die karte is s.o. ein funklan, heisst orinoco sonstewas und wird vom studiwohnheim gestellt.
hab im übrigen das gefühl, wenns ihr euch das hijackfile anschaut, dass die mir eine apache server via linux aufgestzt haben ud sprichwörtlich alles sehen, was ich hier so mache, inklusive fsk 18 seiten :-\

immer weiter posten und mir helfen, die napps zu kriegen.

Hallo,

hast du das log schon auswerten lassen und entsprechend gefixt?

Wenn nicht würd' ich das schnellstens machen.

dann posten mal die
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

öffnen kannst du sie mit
Start > Ausführen >
notepad C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

hier die logs:

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /task.php was not found on this server.</p>
<hr />
<address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
</body></html>

Hallo,

das HijackThis aufrufen und scannen lassen, dabei ein HiJackthis log erstellen lassen dieses auf der Seite
www.hijackthis.de
auswerten lassen
und im Programm gib es eine Option "Fix" einefach die "bösen" Einträge markieren und dann unten auf "fix" klicken
anschliessend nochmal scannen

jetzt habe ich alles gefixt, kriege aber manche einträge nicht raus, die als unnltig erscheinen, dh obwohl ich sie lösche sind sie am nächsten start wieder da.

und HILFE, mein TASK-MANAGER geht nimmer auf, oder sagen wir ein fenster kommt, das aber nur LAN und WIRELESS anzeigt, ansonsten kann man nichs machen, kein prozesse einsehen und nichts.
was ist denn das jetzt schon wieder?

nochmal mein log zur sicherheit

C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ADMIN\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B81896EA-E0AA-92AA-BF67-14B1C8C5A7E4} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appju32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Taskmanager :     Klick mal auf den RAND :
Logfile :         http://www.hijackthis.de/  einfügen und auswerten .
Sonstige Prüfen : http://www.kaspersky.com/de/remoteviruschk.html

Hallo,

starte mal den PC im abgesicherten Modus und dann schau das du den Taskmanager aufkriegst und die bösen Prozesse löscht und anschliessend solltest du diese in der Registry löschen, dann begibst du dich in's Dateisystem und suchst die enrsprechenden Dateien und löscht diese
achja und per msconfig die Prozesse die Häkchen entfernen das sie nicht mehr aufgerufen werden beim Systemstart und auch sehr wichtig die Dateien aus dem System entfernen/löschen, dann solltest du mal einen Virenscanner über dein System jagen und das auch im abgesicherten Modus

Hi
Dein Logfile sieht eigentlich gut asu,aber du hast viele unnötige Sachen.

Diese Einträge können eigentlich entfernen :


O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B81896EA-E0AA-92AA-BF67-14B1C8C5A7E4} - (no file)   
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)   
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appju32.exe (file missing)



Mit freundlichen Grüßen
misskissyou


« PC trennt Internetverbindung AutomatischInternet Explorer http:// »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Notebook
Ein Notebook ist ein kleiner, zusammklappbarer Computer für unterwegs. Er besteht aus Tastatur, Touchpad oder ähnlichem Mausersatz, Bildschirm und dem Innenlebe...

URL
Als URL - Uniform Resource Locator, zu Deutsch: einheitlicher Quellenanzeiger - bezeichnet man eine Internet-Adresse wie zum Beispiel  http://www.computerhilfen.de. ...

Application Server
Ein Application Server, zu deutsch Anwedungsserver, ist ein Netzwerkrechner (Server) auf dem verschiedenste Anwendungsprogramme ausgeführt werden können. Der Be...