Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Komisches verhalten.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2004, 14:13   #1
Grekkn
 
Komisches verhalten. - Standard

Komisches verhalten.



Hallo liebes Supportteam,

ich hoffe mal, dass ich hier im Forum nix überlesen habe zu diesem Problem, aber seit meiner letzten Lan, scheint mein Sys ein wenig zu spinnen. Ich nutze die Kerio-Firewall und Antivir, welches ich regelmaessig aktualisiere.
Zum einen will jemand permanent über SRSS32.exe(ist doch eine Win2k Anwendung?) auf meinen Rechner connecten, was ich mit Kerio ablehne.
Diese Arte von Angriffen hatte ich vorher nie !?!Weiter lassen sich nun Seiten wie symantec.com, kaspersky.com etc nicht mehr aufrufen.

Ich weiss, Servicepack 3 für Win2k fehlt mir noch. Mache ich asap. Bin da immer bissl faul. Hatte aber vorher nie Sicherheitsprobleme.
Danke für Euer Feedback. Antivir findet nichts.
Habe ich ein Problem oder bin ich nur Paranoid?

Hier mein Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 13:39:23, on 20.12.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\Programme\Kerio\Personal Firewall\persfw.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\System32\MsPMSPSv.exe
F:\WINNT\Explorer.exe
F:\Programme\Microsoft Hardware\Mouse\point32.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
F:\WINNT\System32\CTHELPER.EXE
F:\Programme\MSI\Live Update 3\LMonitor.exe
F:\WINNT\System32\RUNDLL32.EXE
F:\WINNT\System32\srss32.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Kerio\Personal Firewall\PFWADMIN.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\PROGRA~1\WINZIP\winzip32.exe
F:\Programme\Hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.camorra-clan.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - F:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] F:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] F:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [LiveMonitor] F:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [ServRun] srss32.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [ServRun] srss32.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} - http://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://213.131.225.4/esel2/webinstall.cab
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCEB5A55-771A-4F70-9DFF-5054D913D930}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - F:\WINNT\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - F:\Programme\Kerio\Personal Firewall\persfw.exe

Alt 20.12.2004, 14:33   #2
Yopie
Moderator, a.D.
 
Komisches verhalten. - Standard

Komisches verhalten.



Zitat:
Zitat von Grekkn
Zum einen will jemand permanent über SRSS32.exe(ist doch eine Win2k Anwendung?) auf meinen Rechner connecten, was ich mit Kerio ablehne.
Google meint dazu: Agobot!
Zitat:
Zitat von Grekkn
Ich weiss, Servicepack 3 für Win2k fehlt mir noch. Mache ich asap.
Nein, Dir fehlt SP4! Jetzt ist es aber zu spät, falls es wirklich Agobot ist. Du solltest formatieren.

Warum, weshalb, wieso findest Du über die Boardsuche mit "*bot" sicher schnell raus.

Gruß
Yopie
__________________


Alt 20.12.2004, 15:13   #3
Grekkn
 
Komisches verhalten. - Standard

Komisches verhalten.



Zitat:
Zitat von Yopie
Google meint dazu: Agobot!
Nein, Dir fehlt SP4! Jetzt ist es aber zu spät, falls es wirklich Agobot ist. Du solltest formatieren.

Warum, weshalb, wieso findest Du über die Boardsuche mit "*bot" sicher schnell raus.

Gruß
Yopie
Vorab Danke für Deine Antwort.
Jup, über Google habe ich auch schon gesucht. Mache ich idR immer und mittlerweile hab ich ein eScan durchgeführt.
Hier der Auszug:
File F:\WINNT\System32\srss32.exe infected by "Backdoor.Win32.Agobot.ot" Virus. Action Taken: No Action Taken.
File F:\WINNT\System32\winsys.exe infected by "Backdoor.SdBot.mv" Virus. Action Taken: No Action Taken

Tolle Wurst.
Bis vor kurzem war noch alles gut. Aber gleich ein Format zu empfehlen? Gibt es denn nicht andere Möglichkeiten. So ein Kotz.
Ich habe erstmal eine Rule in meiner Kerio FW angelegt, dass alle Zugriffe über die SRSS32.exe geblockt werden. Bringt das erstmal etwas?

Thx 4 your help.
__________________

Alt 20.12.2004, 15:23   #4
Yopie
Moderator, a.D.
 
Komisches verhalten. - Standard

Komisches verhalten.



So wie ich das beim Überfliegen des HJT-Logs gesehen habe, hast Du noch zumindest Spuren anderer Bots (winole.exe) auf dem Rechner. Diese sind trotz Kerio auf Deinen Rechner gelangt, warum sollte es ihnen dann nicht auch gelingen, eine Verbindung nach draußen herzustellen?

Das bedeutet, dass ein Dritter vermutlich Vollzugriff auf Deinen PC gehabt hat. Damit steht er zwar noch bei Dir, er gehört Dir aber nicht mehr. Du weißt ja nicht, was alles geändert wurde und wozu er missbraucht wurde. Ein Einsatz als Spamzombie (siehe http://www.heise.de/newsticker/meldung/54444 ) ist da noch eine harmlose Vorstellung.

Deswegen solltest Du asap aus dem Netz und formatieren.

Gruß
Yopie

Alt 20.12.2004, 15:43   #5
Grekkn
 
Komisches verhalten. - Standard

Komisches verhalten.



Danke nochmal.
OMG! Winole.exe wurde ebenfalls auf der Lan von meiner FW entdeckt und ich habe aus Unwissenheit ihm Zugang gewährt, da ich von einem Mate erfahren habe, es wäre eine Win2k-Anwendung und alles undramatisch...

Ich werde diese Regel wieder aufheben und blocken. Das ist doch alles nicht wahr...

Weiter habe ich gelesen, dass sich man sich über diesen Worm per IRC Zugang verschaffen kann. Ist mit IRC der Chat client gemeint? Wenn ja, weiss ich dass ich mir auf der Lan nach dem Einloggen ins LAN-IRC diesen Worm eingefangen habe..

Ich benoetige noch einige wichtige Daten von meiner Sys-Partion(Outlook-Pst etc.). Kann ich die ohne Bedenken backuppen oder gibt es dort auch Probleme?

Update:
Ich habe mittlerweile mit einem Scantool von Trend Micro die SRSS32.exe in der Registry entfernen koennen oder die Worms wurden ebenfalls deleted.
Ich mache noch ein paar Tests und berichte, falls ich diesen aggressiven Freund nicht losgeworden bin. Bzgl des Formatierens werde ich dieses asap durchführen. Nur wollte ich es ein wenig aufschieben, da mir momentan die Zeit fehlt.


Geändert von Grekkn (20.12.2004 um 16:46 Uhr)

Antwort

Themen zu Komisches verhalten.
.exe, .inf, adobe, antivir, antivir update, aufrufe, bho, boot, dateien, dll, explorer, hijack, hijackthis, icq, internet, internet explorer, lan, logfile, microsoft, nvcpl.dll, nvidia, problem, programme, rundll, seiten, skype.exe, software, system, system32, tcpip, update, windows



Ähnliche Themen: Komisches verhalten.


  1. Sehr komisches Verhalten vom S4
    Smartphone, Tablet & Handy Security - 19.07.2015 (1)
  2. Komisches Verhalten bei Programstart + IExplorer und Mozilla springen auf nicht gewählte Seiten + Meldung "Diese Programm wurde durch ein Gr
    Log-Analyse und Auswertung - 24.12.2014 (9)
  3. Avira Setup startet nicht. Stürzt sofort ab beim Versuch es wieder zu installieren. Und sonstiges komisches Verhalten.
    Log-Analyse und Auswertung - 26.05.2014 (5)
  4. Komisches Verbindungsproblem
    Alles rund um Windows - 28.04.2014 (3)
  5. Komisches Internet verhalten (Virus?)
    Log-Analyse und Auswertung - 06.04.2013 (12)
  6. Lange Bootzeit und komisches Verhalten vom PC
    Plagegeister aller Art und deren Bekämpfung - 12.02.2013 (1)
  7. Komisches Lachen?! O.o
    Log-Analyse und Auswertung - 31.01.2011 (1)
  8. Viren und Würmer und Spyware und komisches Windows Verhalten
    Plagegeister aller Art und deren Bekämpfung - 28.04.2010 (3)
  9. Komisches verhalten beim booten
    Alles rund um Windows - 08.05.2009 (9)
  10. Hilfe erbeten : TR/Dropper.Gen & komisches Verhalten am Desktop
    Plagegeister aller Art und deren Bekämpfung - 03.11.2007 (1)
  11. komisches virus?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2007 (3)
  12. Explorer komisches Verhalten
    Log-Analyse und Auswertung - 05.03.2007 (14)
  13. Komisches PC verhalten - Freezed
    Log-Analyse und Auswertung - 15.11.2006 (1)
  14. PC hat komisches Verhalten. HijackthisLog.
    Log-Analyse und Auswertung - 30.09.2006 (5)
  15. Komisches Problem
    Log-Analyse und Auswertung - 18.04.2006 (5)
  16. antivir komisches verhalten beim update
    Antiviren-, Firewall- und andere Schutzprogramme - 06.08.2005 (3)
  17. svscfg16.exe und komisches Verhalten des Virenscanners
    Plagegeister aller Art und deren Bekämpfung - 10.06.2004 (7)

Zum Thema Komisches verhalten. - Hallo liebes Supportteam, ich hoffe mal, dass ich hier im Forum nix überlesen habe zu diesem Problem, aber seit meiner letzten Lan, scheint mein Sys ein wenig zu spinnen. Ich - Komisches verhalten....
Archiv
Du betrachtest: Komisches verhalten. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.