Forum
Tipps
News
Menu-Icon

wohnheimnetzwerk und mein trojaner problem

hi leute,

nachdem ich lange mit meinen viren gelebt habe möchte ich sie nun endlich los werden, denn in meinem studentenwohnheim ist es anscheindend ein sport geworden USER auszulesen.
ich habe hier erstmal mein highkack file drinnen und wenn ihr was seht dann postet bitte.
 ich habe durch meinen virusscanner einige ip adresse gefunden zu denen immer auf udp gesendet wird und ich will diese lücke dicht machen, dazu muss ich aber erst einmal die infektion finden.

pls help

hier das log:

O1 - Hosts: </body></html>
O1 - Hosts: <html><head>
O1 - Hosts: <title>404 Not Found</title>
O1 - Hosts: </head><body>
O1 - Hosts: <h1>Not Found</h1>
O1 - Hosts: <p>The requested URL /task.php was not found on this server.</p>
O1 - Hosts: <hr />
O1 - Hosts: <address>Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80</address>
O1 - Hosts: </body></html>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {B81896EA-E0AA-92AA-BF67-14B1C8C5A7E4} - C:\WINDOWS\system32\ntid.dll (file missing)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appju32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Antworten zu wohnheimnetzwerk und mein trojaner problem:

Hier auswerten :
http://www.hijackthis.de/
Wie wäre es mit einer Firewall ?

@gast

du, die firewall lief auch aber leider konnte der admin irgendwie dafür sorgen, dass, wenn ich inet wollte, mit meinem admin reingehen musste und dann später soager, dass es nur funktionierte, wenn meine firewall aus war. ich war bei ihm und er sagte mir dann: mit einer firewall ins inet, wieso das denn! ihr seht hier ist der hund begarben.

das file übrigens wo der trojner ist

Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80

Wie wäre es mit einem alten 286 , 386 , oder 486er mit IPCOP (linux)
als HW-FW ???

>> mit einer firewall ins inet, wieso das denn! << Sag ihm mal einen Gruss , und wenn keine HW-FW da ist , halte ich ihn für "bekloppt" !!!
Nicht , dass das Netz offen fü DOS-Angriffe ist , ohne eigene FW kann jedes Programm "nachhausetelefonieren und Mails versenden !!!
Hat der ADMIN etwa Zugriff auf alle PC , ohne Rücksprache oder dass Du ein Prog laden musst ??
Damm WERFT IHN RAUS !!!

du hast recht, aber mir geht es vor allem um das prinzip und den nachweis, dass es die netzwerkbetreuer sind die die viren streuen. ich kennen mich ziemlich gut mit tcp/ip protokollen aus und was da über meine firewall läuft fand ich immer schon komisch. dass sich aber hier in meiner unmittewlbaren umgebung leute einen jux daraus machen diverse rechner zu hacken, kann längerfristig nur unterbunden werden, wenn man sie drankriegt. ich denke da an eine aufschlüsselung nach hostnamen der gesendeten pakete und quais rückverfolgung bis zum auslöser.seit 3monaten ist das problem da, und meine system hat sich an logs und reports satt gefressen, so dass nun mit dem studentenwohnheim abgeklärt werden muss, wie es dazu kommen kann.
stichwort illegal.

Wenn Du Zonealarm einsetzt , und alles zulässt , dann noch ALLE Ereinisse protokollieren lässt , müsstest Du bald Belege haben , mit denen Du die Polizei einschalten kannst . Das ist schliesslich genauso , als wenn Du einen Sasser oder BOT einschleust ...  >:(

Nachtrag : Lies mal hier (LINKS) mit....
http://www.computerhilfen.de/hilfen-17-75863-0.html
Könntest ja ggf den Telnet und FTP-Port usw schliessen  ;D  ???

ich habe mit mittlwerweile den TCP DUMP monitor geholt und leute ihr glaubt nicht was sich unter der scheinbar glatten oberfläche meiner zonelab alles tut.
leider gelingt es den anderen pc s immer mir einen blauen bildschirm hinzuzaubern, wenn ich die pakete zurückverfolge, dh ich kann zwar die pakete suchen, aber es ist nur eine frage der zeit, bis sie den CV crahsen.bei der ereignissanzeige steht dann:
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x100000d1 (0x82c00000, 0x00000002, 0x00000000, 0xeddba86c). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\Minidump\Mini070605-10.dmp.
also nicht schön. ich werde jetzt die tage versuchen die ips in reele macnamen umzusetzen um den leuten an den karren machen zu können und dann das system neu aufsetzen. postet weiter zu diesem beitrag, oder verfolgt einfach, wie isch die geschichte entwickelt.

grüsse gehen raus

Vielleicht hilft das , keine Ahnung . Habe 95 bei Siemens zwar den Admi für PC gespielt , aber da hatten wir intern die PC nur per Mac adressiert . Habe nich die erste Class C bestellt und eingerichtet , aber dann 97 mit 55 in Vorruhestand  ;D
Wenn du die MAC des internen Ports suchst hilft evtl. folgendes:


Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a


der Befehl arp -a zeigt dir deine lokalen ARP-Tabellen an, in meinem Falle hier mein Gateway und dessen MAC.
Im Anschluss habe ich einen weiteren Computer mit der IP 192.168.0.3 eingeschaltet und einmal "gepingt".

Zitat:
C:\>ping 192.168.0.3

Ping wird ausgeführt für 192.168.0.3 mit 32 Byte

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

[...]tütütü, blablabla, kennste ja[...]



Jetzt wieder den Befehl 'arp -a', und er offenbart folgendes:

Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a
  192.168.0.3          00-40-d0-20-02-2e


Die IP des neuen Computers wurde also auf dessen MAC aufgelöst.

das hilft wirklich, ich habe nun die mac adressen , der vmutmusslichen täter, die ich an der uni über den zentralrechner auslesen lassen werde.
@hans: und da sag noch mal einer die alten müssen raus, weil sie nichts bringen. echt super danke für dein tipp.

Danke , helfe immer gerne , besonders wenn es gegen Viren und sonstige Eindringlinge geht !!!

@alle:

weiter im text. arbeite jetzt sehr erfolgreich mit tcp.dump um die angriffe aufzuschlüsseln., siehe thread weiter oben, aber!!! die bösen hacker schaffen es doch glatt mein stytem zu zuerschiessen, indem sie mir pakete schicken, die ( rest erklärt der link)

http://www.tecchannel.de/index.cfm?pid=187&pk=424185

für mich stellt sichnur die frage, wie kann ich das verhindern. weiss jemamd mehr dazu??? pls help

und gruss geht raus an nero^^

WIN-XP - SP2 ? Mach einfach mal die INTERNE Firewall an !!!! Die sollte dich vor DOS Angriffen schon schützen . Besser ist ein Router mit FW .
Suche mal nach IP-COP (Linux Firewall) , auf altem 286er möglich !!!

Hallo,

was hast du für eine Netzkarte - Chipsatz


« PC trennt Internetverbindung AutomatischInternet Explorer http:// »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Notebook
Ein Notebook ist ein kleiner, zusammklappbarer Computer für unterwegs. Er besteht aus Tastatur, Touchpad oder ähnlichem Mausersatz, Bildschirm und dem Innenlebe...

URL
Als URL - Uniform Resource Locator, zu Deutsch: einheitlicher Quellenanzeiger - bezeichnet man eine Internet-Adresse wie zum Beispiel  http://www.computerhilfen.de. ...

Application Server
Ein Application Server, zu deutsch Anwedungsserver, ist ein Netzwerkrechner (Server) auf dem verschiedenste Anwendungsprogramme ausgeführt werden können. Der Be...