| |
| |||||||
Log-Analyse und Auswertung: Verdacht auf TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
26.04.2006, 19:10
| #1 |
| |  Verdacht auf Trojaner Habe alles mögliche versucht (adaware,spybot,bitdefender,trendmicro.de online scan, und etrust antivirus findet sowieso nie was), Verhalten weiterhin folgendes: established eine connection nach 209.160.72.19 über Port 5000. Bitte an die Experten um sachdienliche Hinweise! Danke!!!!! Logfile of HijackThis v1.99.1 Scan saved at 19:48:57, on 26.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\CA\eTrust Antivirus\InoRpc.exe C:\Program Files\CA\eTrust Antivirus\InoRT.exe C:\Program Files\CA\eTrust Antivirus\InoTask.exe C:\CA_LIC\LogWatNT.exe C:\Notes\ntmulti.exe C:\TNG\RCO\RCManClient.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe D:\Enabler\server\bin\OMSShutd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\cmd.exe D:\Eigene Dateien\Package\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Proxy-01.sozvers.at:8181 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 12.110.103.83,*.sozvers.at,www.sozialversicherung.at,www.svb.at,www.ooegkk.info,www.noegkk.at;<local> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,"D:\Enabler\server\bin\OMSShutd.exe" O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET O17 - HKLM\Software\..\Telephony: DomainName = at.emea.csc.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O23 - Service: Asset Management Agent (AmoAgent) - Computer Associates International, Inc. - C:\WINDOWS\UMCSTUB.EXE O23 - Service: Apache - Unknown owner - D:\Program Files\Component Factory\SELECT Shared\Apache\Apache.exe" --ntservice (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\CA_LIC\lic98rmtd.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\CA_LIC\LogWatNT.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Notes\ntmulti.exe O23 - Service: RCManClient - Computer Associates International, Inc. - C:\TNG\RCO\RCManClient.exe O23 - Service: Unicenter TNG RCO (RCOService) - Computer Associates International, Inc. - C:\TNG\RCO\RCOService.exe O23 - Service: Softlab FAS (SoftlabEnabFAS) - Softlab - D:\Enabler\server\bin\fas_server.exe O23 - Service: Softlab Enabler (SoftlabEnabler) - Softlab - D:\Enabler\server\bin\OMSServd.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tomcat - Unknown owner - D:\Program Files\Component Factory\Select Enterprise\Exe\Jre\1.3\bin\Server\jk_nt_service.exe (file missing) |
|
26.04.2006, 19:17
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Verdacht auf TrojanerZitat:
Zudem ist Dein Windows ungepatcht!! Zumindest das SP2 fehlt!
__________________ |
|
26.04.2006, 20:23
| #3 |
| > MalwareDB | Verdacht auf Trojaner Hallo,
__________________Du hast diesen auf dem Rechner, gestatte mir weiterhin die Frage, wie dieser PC genutzt wird. Für Dich heißt es das System neu Aufzusetzen, Anleitung in meiner Signaur. Gruß Schrulli
__________________ Geändert von Schrulli (26.04.2006 um 20:45 Uhr) |
|
26.04.2006, 20:40
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verdacht auf Trojaner @Schrulli: Sowas ähnliches hatte ich mir gedacht, wollte aber quasi den "Beweis" einer Hintertür. Den Link zu Sophos hatte ich aus unerklärlichen Gründen nich gefunden 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
26.04.2006, 21:48
| #5 |
| | Verdacht auf Trojaner Hallo Leute, danke für die Info! omsshutd.exe war sauber. Für smss.exe hab ich bei Jotti tatsächlich was gefunden - allerdings 6 verschiedene Ergebnisse (???) Datei: smss.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: NSPACK AntiVir Worm/Caimbot gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Spambot gefunden F-Prot Antivirus W32/Methodbod.A@dr - Packed gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.aj gefunden NOD32 probably a variant of Win32/Agent.TV gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Malware.Agent.52 (paranoid heuristics) gefunden (mögliche Variante) |
|
26.04.2006, 22:07
| #6 |
| | Verdacht auf Trojaner Hi Gerhard, wie Schrulli bereits schrieb, hast Du einen Trojaner mit Backdoorfunktionalität auf Deinem Rechner. Einem normalen Nutzer wird ein Neuaufsetzen des Systems empfohlen. Dein System macht den Eindruck eines Produktivsystems was die Sache nicht besser macht. Betreut ein Administrator Dein System (was ich mir nicht vorstellen kann - SP1  ) dann kontaktiere ihn schnellstens und berichte ihm von dem Fund (siehe Link von Schrulli). Bist Du selbst für die Sicherheit des Rechners verantwortlich, setze das System neu auf und bemühe Dich um ausreichend Lektüre zum Thema Computersicherheit. |
|
| Themen zu Verdacht auf Trojaner |
| adobe, antivirus, bho, computer, defender, excel, explorer, helper, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, pdf, port, scan, server, software, system, trojane, trojaner, userinit.exe, verdacht auf trojaner, windows, windows xp, yahoo |
