Hey Mädels.
Hab n riesen Problem. Ich habe 1. Keine Datei angenommen, nichts virenverseuchtes geöffnet oder jegliches!
Gestern Abend kam es dann. circa 20x von jedem :Netstat sagt das, sieht sehr danach aus als würde ich gut als ddosler dienen :Code:Svchost.exe | cmd.exe | reader_s.exe | iexplorer.exe
Taskmanager kann man öffnen, doch beim schließen der task's, passiert rein garnichts.Code:Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\viORGANER>netstat -a Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP vio:epmap virusscan.jotti.org:0 ABHÖREN TCP vio:microsoft-ds virusscan.jotti.org:0 ABHÖREN TCP vio:3389 virusscan.jotti.org:0 ABHÖREN TCP vio:1431 localhost:1432 HERGESTELLT TCP vio:1432 localhost:1431 HERGESTELLT TCP vio:1635 localhost:1636 HERGESTELLT TCP vio:1636 localhost:1635 HERGESTELLT TCP vio:5152 virusscan.jotti.org:0 ABHÖREN TCP vio:5152 localhost:2687 SCHLIESSEN_WARTEN TCP vio:netbios-ssn virusscan.jotti.org:0 ABHÖREN TCP vio:1052 bos-d004a-rdr2.blue.aol.com:https HERGESTELLT TCP vio:1054 64.191.104.229:22925 HERGESTELLT TCP vio:1056 ip-212-117-165-21.server.lu:2125 HERGESTELLT TCP vio:1058 ip-212-117-177-136.server.lu:3954 HERGESTELLT TCP vio:1060 78.159.102.105:32114 HERGESTELLT TCP vio:1066 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR TEN TCP vio:1067 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR TEN TCP vio:1068 27.152.135.79.microlines.lv:3132 HERGESTELLT TCP vio:1188 mu-in-f148.1e100.net:http SCHLIESSEN_WARTEN TCP vio:1327 mu-in-f149.1e100.net:http SCHLIESSEN_WARTEN TCP vio:1343 mu-in-f149.1e100.net:http SCHLIESSEN_WARTEN TCP vio:1462 87.238.52.217:http SCHLIESSEN_WARTEN TCP vio:1463 87.238.52.217:http SCHLIESSEN_WARTEN TCP vio:1464 87.238.52.217:http SCHLIESSEN_WARTEN TCP vio:1465 87.238.52.217:http SCHLIESSEN_WARTEN TCP vio:1470 public.srmg.kunder.linpro.no:http SCHLIESSEN_WA RTEN TCP vio:1476 loft5003.serverloft.com:http SCHLIESSEN_WARTEN TCP vio:1600 fx-in-f113.1e100.net:http SCHLIESSEN_WARTEN TCP vio:1620 s89.softwarelibre.nl:ftp HERGESTELLT TCP vio:1711 mu-in-f148.1e100.net:http SCHLIESSEN_WARTEN TCP vio:1743 80.157.170.80:http HERGESTELLT TCP vio:1802 ip198-64.baltnet.ru:http SCHLIESSEN_WARTEN TCP vio:1910 fx-in-f113.1e100.net:http SCHLIESSEN_WARTEN TCP vio:2002 gw-in-f27.1e100.net:smtp HERGESTELLT TCP vio:2159 mx1.ovh.net:smtp HERGESTELLT TCP vio:2223 69.172.200.48:http SCHLIESSEN_WARTEN TCP vio:2225 mail.inkanet.com:smtp HERGESTELLT TCP vio:2283 69.172.200.48:http SCHLIESSEN_WARTEN TCP vio:2307 ey-in-f27.1e100.net:smtp HERGESTELLT TCP vio:2322 s4.koddos.com:http SCHLIESSEN_WARTEN TCP vio:2325 87.238.52.217:http SCHLIESSEN_WARTEN TCP vio:2331 69.172.200.48:http SCHLIESSEN_WARTEN TCP vio:2349 loft5003.serverloft.com:http SCHLIESSEN_WARTEN TCP vio:2387 s4.koddos.com:http HERGESTELLT TCP vio:2396 ip198-64.baltnet.ru:http SCHLIESSEN_WARTEN TCP vio:2408 mailhost.bentley.com:smtp HERGESTELLT TCP vio:2409 109.123.78.136:http SCHLIESSEN_WARTEN TCP vio:2410 128.242.240.52:http HERGESTELLT TCP vio:2421 mail.haeng.com:smtp HERGESTELLT TCP vio:2435 deframx26.softcom.dk:smtp HERGESTELLT TCP vio:2436 gw-in-f27.1e100.net:smtp HERGESTELLT TCP vio:2444 rs51.worldserver.net:smtp HERGESTELLT TCP vio:2465 webmail.imaginesystems.net:smtp HERGESTELLT TCP vio:2471 teton1.peakpeak.com:smtp HERGESTELLT TCP vio:2482 mx1.warwick.net:smtp HERGESTELLT TCP vio:2501 ulric.tng.de:smtp SYN_GESENDET TCP vio:2509 69.172.200.48:http HERGESTELLT TCP vio:2519 mu-in-f27.1e100.net:smtp HERGESTELLT TCP vio:2520 rrcs-24-103-224-82.nyc.biz.rr.com:smtp SYN_GESE NDET TCP vio:2521 218.30.103.83:smtp HERGESTELLT TCP vio:2540 mindwork.de:smtp SYN_GESENDET TCP vio:2544 96-31-32-158.discountasp.net:smtp SYN_GESENDET TCP vio:2546 mail.haaker.com:smtp HERGESTELLT TCP vio:2547 mail.thompkins-co.com:smtp HERGESTELLT TCP vio:2559 deimos.plaza.nl:smtp HERGESTELLT TCP vio:2570 www175.sedoparking.com:smtp SYN_GESENDET TCP vio:2571 h3r.com:smtp HERGESTELLT TCP vio:2590 sip.projuktee.com:smtp SYN_GESENDET TCP vio:2591 mx.siteserve.jp:smtp HERGESTELLT TCP vio:2604 adsl-63-193-184-2.dsl.bkfd14.pacbell.net:smtp S YN_GESENDET TCP vio:2615 d08.dinaserver.com:smtp HERGESTELLT TCP vio:2637 klartext1.klartextmedia.de:smtp HERGESTELLT TCP vio:2735 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2739 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2753 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2756 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2757 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2764 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2768 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2769 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2777 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2780 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2783 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2784 host340507.krutikservers.com:46462 HERGESTELLT TCP vio:2829 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2849 s89.softwarelibre.nl:39281 WARTEND TCP vio:2861 s89.softwarelibre.nl:25385 WARTEND TCP vio:2870 s89.softwarelibre.nl:20490 WARTEND TCP vio:2892 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2899 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2902 s89.softwarelibre.nl:53591 WARTEND TCP vio:2907 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2927 s89.softwarelibre.nl:28071 WARTEND TCP vio:2935 64.34.15.35:smtp HERGESTELLT TCP vio:2957 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2964 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2965 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2977 s89.softwarelibre.nl:10719 WARTEND TCP vio:2990 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:2995 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3013 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3043 s89.softwarelibre.nl:25443 WARTEND TCP vio:3057 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3060 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3065 62.159.159.188:smtp SYN_GESENDET TCP vio:3068 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3069 s89.softwarelibre.nl:39118 WARTEND TCP vio:3082 www175.sedoparking.com:smtp SYN_GESENDET TCP vio:3087 s89.softwarelibre.nl:58010 WARTEND TCP vio:3088 mailin.kpnxchange.com:smtp HERGESTELLT TCP vio:3113 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3124 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3126 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3138 s89.softwarelibre.nl:21463 WARTEND TCP vio:3146 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3151 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3157 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3159 veronica.wmol.com:smtp HERGESTELLT TCP vio:3163 dedicated3.longevitydesign.com:smtp SYN_GESENDE T TCP vio:3174 s89.softwarelibre.nl:52744 WARTEND TCP vio:3211 s89.softwarelibre.nl:35895 WARTEND TCP vio:3253 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3259 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3265 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3269 s89.softwarelibre.nl:27022 WARTEND TCP vio:3303 s89.softwarelibre.nl:40615 WARTEND TCP vio:3308 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3311 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3316 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3333 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3341 server-216-137-61-49.fra2.cloudfront.net:http H ERGESTELLT TCP vio:3347 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3362 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3363 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3365 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3372 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3382 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3386 s89.softwarelibre.nl:64493 WARTEND TCP vio:3388 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3400 img13.abload.de:http HERGESTELLT TCP vio:3418 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3420 fx-in-f113.1e100.net:http HERGESTELLT TCP vio:3424 img7.abload.de:http HERGESTELLT TCP vio:3430 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3437 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3450 s89.softwarelibre.nl:21181 WARTEND TCP vio:3451 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3468 mpr4.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3474 tlvmedia.com:http WARTEND TCP vio:3480 mpr4.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3495 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3499 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3504 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3529 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3531 mail-gx0-f6.google.com:smtp HERGESTELLT TCP vio:3543 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3546 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3549 s89.softwarelibre.nl:19254 WARTEND TCP vio:3550 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3601 217.188.35.152:http SCHLIESSEN_WARTEN TCP vio:3606 p548F3875.dip.t-dialin.net:3333 SYN_GESENDET TCP vio:3625 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3627 s89.softwarelibre.nl:4564 WARTEND TCP vio:3632 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3637 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3644 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3650 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3651 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3652 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3654 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3657 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN TCP vio:3658 tlvmedia.com:http WARTEND TCP vio:3673 27.152.135.79.microlines.lv:3129 HERGESTELLT TCP vio:3681 56.131.96.66.static.eigbox.net:ftp WARTEND TCP vio:3686 s89.softwarelibre.nl:17483 WARTEND TCP vio:3700 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3703 91.213.232.6:http HERGESTELLT TCP vio:3712 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3728 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND TCP vio:3737 s89.softwarelibre.nl:30985 FIN_WARTEN_2 TCP vio:4094 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR TEN TCP vio:4095 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR TEN TCP vio:4127 27.152.135.79.microlines.lv:3132 HERGESTELLT TCP vio:4417 217-212-244-201.customer.teliacarrier.com:http SCHLIESSEN_WARTEN TCP vio:4535 server-216-137-61-56.fra2.cloudfront.net:http S CHLIESSEN_WARTEN TCP vio:4542 bw-in-f138.1e100.net:http SCHLIESSEN_WARTEN TCP vio:4574 145.253.32.90:http SCHLIESSEN_WARTEN TCP vio:4771 bw-in-f138.1e100.net:http SCHLIESSEN_WARTEN TCP vio:4775 mu-in-f147.1e100.net:http SCHLIESSEN_WARTEN UDP vio:microsoft-ds *:* UDP vio:isakmp *:* UDP vio:1046 *:* UDP vio:1048 *:* UDP vio:1049 *:* UDP vio:1055 *:* UDP vio:1057 *:* UDP vio:1059 *:* UDP vio:1061 *:* UDP vio:2792 *:* UDP vio:3714 *:* UDP vio:4500 *:* UDP vio:ntp *:* UDP vio:1032 *:* UDP vio:1034 *:* UDP vio:1064 *:* UDP vio:1172 *:* UDP vio:1507 *:* UDP vio:1900 *:* UDP vio:3804 *:* UDP vio:4085 *:* UDP vio:4152 *:* UDP vio:44301 *:* UDP vio:45301 *:* UDP vio:ntp *:* UDP vio:netbios-ns *:* UDP vio:netbios-dgm *:* UDP vio:1900 *:* C:\Dokumente und Einstellungen\viORGANER>
Hab eine Datei davon bei Kaspersky geuploaded und es kam das dabei raus
reader_s.exe Infiziert: Trojan-Downloader.Win32.Agent.dlhe
Edit by soulstoned: Komm morgen wieder - vielleicht - deine PSC kannst behalten. Hier wird meistens sogar ganz ohne GGL geholfen, krass oder?
Ergebnis 1 bis 10 von 11
Thema: Infiziert! BLAH
-
20.04.2010, 13:13 #1Gesperrt
- Registriert seit
- 09.10.2008
- Beiträge
- 112
Infiziert! BLAH
Geändert von mbeezy (20.04.2010 um 15:09 Uhr)
-
20.04.2010, 13:15 #2just call me n0va ^.^
- Registriert seit
- 03.01.2009
- Beiträge
- 979
ok - ich bin dein mann
mach mal einen hijackthis log und send ihn mir per pmGeändert von mbeezy (20.04.2010 um 15:07 Uhr)
.:B:.
hilfe in jeglichen bereichen [ausser RAT support >.<]
Zitat von Starflow
-
20.04.2010, 13:32 #3Troll
- Registriert seit
- 13.07.2008
- Beiträge
- 412
Ich geb dir den ultimativen tipp, formatier!
-
20.04.2010, 13:33 #4Gesperrt
- Registriert seit
- 09.10.2008
- Beiträge
- 112
genau das kann ich nicht, dann würde sich meine hwid ändern und ein paar programme würden dann nicht mehr gehen!
-
20.04.2010, 13:40 #5Bugbear Wurm
- Registriert seit
- 07.12.2007
- Beiträge
- 254
hacks etc? =D dann schreib den admin an & zahle eben für den hwid change
!
Geändert von mbeezy (20.04.2010 um 15:08 Uhr)
-
20.04.2010, 13:50 #6Troll
- Registriert seit
- 13.07.2008
- Beiträge
- 412
Was soll denn bitte gechanged werden wenn du formatierst da du keine hardware oder sonstiges ausbaust.
-
20.04.2010, 14:01 #7Bad Times Virus
- Registriert seit
- 24.04.2009
- Beiträge
- 559
xD wie geil...
poste mal den hijackthis los, installiert "spybot search and destroy" und am betsne noch "malewarebytes amti malware" ....
das sollte dasd ganze für dich lösen
-
20.04.2010, 14:46 #8German Reversing Newbie
- Registriert seit
- 16.08.2008
- Beiträge
- 364
-
20.04.2010, 14:50 #9Bugbear Wurm
- Registriert seit
- 24.02.2008
- Beiträge
- 245
VIO, ich kann dir nur sagen das du Formatieren musst!
Ich habe mir genau denselben Virus vor kurzen eingefangen den du hast, auch mit dieser reader_s.exe und so weiter..
Sogar formatieren hat mir nix geholfen, der Virus kam immer wieder.
Die Lösung ist das du vor dem Formatieren die Partiton löschen musst und dann wieder eine neue erstellen da der sich irgendwie bla Bootsector oder was auch immer, habe davon kA, dann hat es erst bei mir geholfen!
War bei mir auch so wie bei dir habe auch nix runtergeladen etc, und achja noch ein Tipp als ich mein USB Stick eingesteckt habe, hat der Virus sich auf den USB Stick kopiert mit ner autorun.inf, zum Glück war Autorun nicht aktiv.
Desweiteren waren auch 3 "getarne" Pornsites Verknüpfungen aufeinmal auf mein Desktop die jedoch irgendwelche Dateien waren. Zudem öffnete sich nach der Zeit auch irgendein "gefälschtes" Antivirus Programm wovon ich noch nie was gehört habe, es war auf Englisch und hatte ähnlichkeit mit den Sicherheitscenter von Windows.
Ich hoffe ich konnte dir weiterhelfenGeändert von Sompryfighter (20.04.2010 um 14:53 Uhr)
Ich suche Gametimecards für WoW!!
Ich suche Gametimecards für WoW!!
-
20.04.2010, 15:30 #10EinHaarPinsel
- Registriert seit
- 05.10.2008
- Beiträge
- 316
Mach mal einfach nen HiJackThis Log, dann sehen wir weiter.
Und wenn ich dir nen ultimativen Tipp geben darf: Deine Tipps sind scheiße! Zitat von cyser
gez.wired
Zitieren
