Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
(In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene.

Komisches Erlebnis

Diskussion: Komisches Erlebnis im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige hoi, ich hatte gerade ein sehr merkwürdiges Erlebnis. Ich höre MP3s. Wundere mich warum schon 3 mal hintereinander das ...
Antwort
Themen-Optionen Ansicht
   
Alt 10.12.06, 17:34   #1 (permalink)
 
Registriert seit: 08.10.03
freakazoid Leistung: Facit NTK
Likes: 0
Standard Komisches Erlebnis
Anzeige

hoi,

ich hatte gerade ein sehr merkwürdiges Erlebnis. Ich höre MP3s.
Wundere mich warum schon 3 mal hintereinander das selbe Stück läuft.
Schaue in die Playlist. Merke das die Verweise zu den restlichen Dateien nicht mehr existent sind. Schaue auf der Festplatte nach. Merke das meine MP3-Sammlung bis auf die Hälfte dezimiert ist. 8o
Schmeiß sofort AntiVir an. Weil ich vermute das es ein Virus ist. Lese im Netz dann, dass es sich auch um einen Hackerangriff handelt könnte.

http://www.mp3werk.de/forum/thread.php?threadid=2615
http://www.winfuture-forum.de/lofive...hp?t39435.html

Woraufhin ich Wireshark anschmeiße. Daraufhin fährt sich der PC von Geisterhand einfach herunter. Was war das?
Jetzt versuch ich erstmal zu retten, was noch zu retten ist.
Dabei dachte ich, dass ich durch meine Firewall im Router ganz gut geschützt bin.
Fuck! Was hat es mit solchen Angriffen auf sich? Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?

Lg freaka

freakazoid ist offline   Mit Zitat antworten
Alt 10.12.06, 17:43   #2 (permalink)
 
Benutzerbild von b4ck
 
Registriert seit: 13.02.06
b4ck Leistung: Z3
Likes: 1
Standard
hijackthis laufen lassen hört sich für mich nach trojaner an :O
und firewall + router nützen nix bei reverse connection
b4ck ist offline   Mit Zitat antworten
   
HaBOT
 
- Anzeige -

Werbung ist gerade online    
Alt 10.12.06, 17:59   #3 (permalink)
Themenstarter
 
Registriert seit: 08.10.03
freakazoid Leistung: Facit NTK
Likes: 0
Standard
Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:51:33, on 10.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\WINNT\System32\svchost.exe
C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\NMapWin\bin\nmapserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\diogenes\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\jpf.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Entwicklungsumgebung\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Jetico Personal Firewall server - Jetico, Inc. - C:\Programme\Jetico\Jetico Personal Firewall\jpfsrv.exe
O23 - Service: mysql - Unknown owner - C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Auswertung, hat nur zu guten Ergebnissen geführt. ?(
freakazoid ist offline   Mit Zitat antworten
Alt 10.12.06, 19:39   #4 (permalink)
 
Registriert seit: 12.04.06
blobbo Leistung: Facit NTK
Likes: 0
Standard
Hast du deinen 2. Link bis zum Ende gelesen?
Das klingt doch plausibel als Grund:
http://www.computerbase.de/news/inte...2_nopirb_mp3s/
blobbo ist offline   Mit Zitat antworten
Alt 11.12.06, 00:22   #5 (permalink)
Senior Member
 
Benutzerbild von t3rr0r.bYt3
 
Registriert seit: 07.01.03
t3rr0r.bYt3 Leistung: Z3
Likes: 19
Standard
naja, Sony Kopierschutz, die 2te
t3rr0r.bYt3 ist offline   Mit Zitat antworten
Alt 11.12.06, 08:51   #6 (permalink)
Themenstarter
 
Registriert seit: 08.10.03
freakazoid Leistung: Facit NTK
Likes: 0
Standard
Ich nutze kein p2p und natürlich hab ich mir die Links bis zum Ende durchgelesen.

Zitat:
Um sich zu schützen, sperrt Nopir.B den Zugriff auf die Systemsteuerung und deaktiviert den Task-Manager sowie die Registrierungs-Tools.
Kann beides noch nutzen. An einen Virus, Wurm hatte ich ja zu erst gedacht. Bin aber nicht fündig geworden mit AntiVir.

edit: Ich hab das Ganze nochmal mit Knopiciillin geprüft und dabei festgestellt, dass
edit: svchost.exe (TR/Contact.1)
edit: smss.exe (Backdoor)
edit: csrss.exe (Backdoor)
edit: infiziert sind.
edit: Die infiziert svchost befand sich auch anstatt in "%SystemRoot%\System32"
edit: in "C:\WINNT\AppPatch\Patches32".
edit: Mir ist gestern schon aufgefallen, dass komischer Weise svchost zweimal lief.
edit: Wollte es mir auch mal näher anschauen, zu spät, wie ich jetzt weiß.
edit: Wie soll ich weiter vorgehen? Bis jetzt hab ich Dateien in die Quarantäne geschickt.
edit: Wie kann ich mich davor schützen?
freakazoid ist offline   Mit Zitat antworten
Alt 11.12.06, 13:27   #7 (permalink)
 
Benutzerbild von ERit
 
Registriert seit: 31.03.05
ERit Leistung: Facit NTK
Likes: 0
Standard
Zitat:
Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?
omg neiin! die regierung ist auf einmal in der lage, plattform unabhängig jeden beliebigen rechner auf legalem weg mit hilfe von spezialeinheiten der polizei (elite hacker) zu durchsuchen.
glaub doch so etwas nicht bitte. angeblich bestätigen das politiker ja auch noch. naja, dann bin ich ja in österreich duch und duch sicher. :]
lg
ERit ist offline   Mit Zitat antworten
Alt 11.12.06, 14:04   #8 (permalink)
Themenstarter
 
Registriert seit: 08.10.03
freakazoid Leistung: Facit NTK
Likes: 0
Standard
Zitat:
Original von ERit
Zitat:
Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?
omg neiin! die regierung ist auf einmal in der lage, plattform unabhängig jeden beliebigen rechner auf legalem weg mit hilfe von spezialeinheiten der polizei (elite hacker) zu durchsuchen.
glaub doch so etwas nicht bitte. angeblich bestätigen das politiker ja auch noch. naja, dann bin ich ja in österreich duch und duch sicher. :]
lg
War ja nicht wirklich ernst gemeint. War nur ein wenig in Rasche und hab mich zugleich über die Androhung von Schäuble, Beckstein und Co. aufgeregt.
freakazoid ist offline   Mit Zitat antworten
Alt 11.12.06, 14:51   #9 (permalink)
Moderator
 
Benutzerbild von lightsaver
 
Registriert seit: 19.06.06
lightsaver Leistung: Pentium Ilightsaver Leistung: Pentium Ilightsaver Leistung: Pentium I
Likes: 52
Standard
Zitat:
Kann beides noch nutzen. An einen Virus, Wurm hatte ich ja zu erst gedacht. Bin aber nicht fündig geworden mit AntiVir.
das muss gar nichts heißen, da es kein antivirenprogramm gibt, was alles findet. zudem werden die sachen immer rafinierter versteckt.

Zitat:
edit: Mir ist gestern schon aufgefallen, dass komischer Weise svchost zweimal lief.
edit: Wollte es mir auch mal näher anschauen, zu spät, wie ich jetzt weiß.
svchost läuft eigentlich immer mit mehreren instanzen. bei mir im augenblick sogar 7 mal und das heißt auch nichts schlimmes ;-) aber wenn es aus einem anderen verzeichnis ist, dann ist es natürlich schon kritisch. da hilft dir aber der normale taskmanager eh nicht um das zu entdecken, da brauchst du schon z.b. den processexplorer von sysinternals.

Zitat:
edit: Wie soll ich weiter vorgehen? Bis jetzt hab ich Dateien in die Quarantäne geschickt.
edit: Wie kann ich mich davor schützen?
vorsichtig sein was du öffnest und regelmäßig scannen. besonders auch mal mit tools die nicht von windows aus gestartet werden
lightsaver ist offline   Mit Zitat antworten
Alt 11.12.06, 16:17   #10 (permalink)
Themenstarter
 
Registriert seit: 08.10.03
freakazoid Leistung: Facit NTK
Likes: 0
Standard
Zitat:
das muss gar nichts heißen, da es kein antivirenprogramm gibt, was alles findet. zudem werden die sachen immer rafinierter versteckt.
War speziell auf Nopir.B bezogen, welchen inzwischen eigentlich jedes AntiVir finden sollte. Dass es vllt ein anderer Virus sein könnte, ist mir bewusst. Teste momentan auch weiter.

Zitat:
svchost läuft eigentlich immer mit mehreren instanzen. bei mir im augenblick sogar 7 mal und das heißt auch nichts schlimmes ;-) aber wenn es aus einem anderen verzeichnis ist, dann ist es natürlich schon kritisch. da hilft dir aber der normale taskmanager eh nicht um das zu entdecken, da brauchst du schon z.b. den processexplorer von sysinternals.
Ich bin mir im Klaren, dass svchost auch mehrmals laufen kann. Allerdings lief es bei mir zuvor nur einmal und aufeinmal zweimal, was mich stutzig gemacht hat. Deswegen wollte ich die Prozesse überprüfen. Die Auswertung der svchost-Prozesse dauert noch an.

Zitat:
vorsichtig sein was du öffnest und regelmäßig scannen. besonders auch mal mit tools die nicht von windows aus gestartet werden
Bin ich normalerweise auch. Muss ich wohl in Zukunft noch vorsichtiger sein.
Habe mich gestern noch dazu entschlossen Windows nur noch außerhalb des Netzwerkes einzusetzen. Die Gefahren einer Vireninfektion besteht zwar weiterhin ist aber um Längen kleiner. Über die Jahre hab ich es immer mal wieder mit Windows versucht, bin aber immer wieder damit auf die Schnauze gefallen.

Kennt eigentlich wer, den Trojaner TR/Contact.1?
Finde dazu einfach keine Informartionen.
freakazoid ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Security Area » (In)security allgemein » Komisches Erlebnis
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
komisches Problem mit Internetverbindung crusaderv83 Network · LAN, WAN, Firewalls 2 06.07.07 00:55
Komisches Geräusch - Lüfter? anyy Die Problemzone 19 09.01.07 11:14
Komisches W-LAN! Cashaddy WLAN-Zone 7 23.09.05 14:07
komisches Problem O.o pfaffi7 Windows 16 23.04.05 15:50
TFT- Das Ultimative Erlebnis Elessar2k4 Hardware Probleme 5 18.01.05 13:36

Alle Zeitangaben in WEZ +2. Es ist jetzt 16:31 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61