Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Prozess "SYSTEM" als Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.02.2006, 10:50   #1
fischerli
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Hallo Leute,

seit gestern meldet meine Firewall, dass ein Prozess mit Namen "System" nach draußen funken will. Dabei gibt es bis zu 60 Versuche in zwei Minuten, immer von Port ca. 1600 - 2500 an ganz verschiedene Remote-IPs. Es nervt!

Unten seht Ihr das Bild einer Meldung. Firewall ist von Filseclab.

Was ist das, und was kann ich dagegen tun?

Danke!



Alt 15.02.2006, 11:03   #2
stupormundi
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi
__________________

__________________

Alt 15.02.2006, 11:05   #3
Wildone
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Hallo,
ist zufällig Versatel dein Provider?


Grüße Wildone
__________________

Alt 15.02.2006, 12:21   #4
fischerli
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Zitat:
Zitat von Wildone
Hallo,
ist zufällig Versatel dein Provider?

Grüße Wildone

Hallo Wildone, wir nutzen ein Gemeinschaftsnetz, den Provider weiss ich nicht - Versatel kann aber gut sein. Werde mal nachfrgen und eine andere Netzwerkumgebung ausprobieren.



Zitat:
Zitat von stupormundi
Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

Hallo stupormundi, hier die HJT-File.

Gruß und Dank!



Logfile of HijackThis v1.99.1
Scan saved at 12:12:10, on 15.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Filseclab Firewall\xfilter\xfilter.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\DeskLook\DeskLook.exe
C:\Programme\Eumex 504PC USB\Capictrl.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Oleco\_oleco.exe
E:\Installation\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [XFILTER] "C:\Programme\Filseclab Firewall\xfilter\xfilter.exe" -a
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DeskLook] C:\Programme\DeskLook\DeskLook.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B90CA6-9EEB-465D-B741-614FBC30F763}: NameServer = 213.20.148.143 193.189.244.205
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDSched.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 15.02.2006, 12:37   #5
stupormundi
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Servus wieder!

Bis auf ein bisschen Adware und ein nicht aktuelles System (SP2 fehlt-->nachholen) kann ich in diesem Log mal nichts entdecken.

Versuche mal, den "system"-Prozess (system.exe -->wo genau) bei Jotti und/oder virustotal unter die Lupe nehmen zu lassen. Poste das/die Ergenbisse. Falls Du die Prozessdatei nicht gleich findest, schau' Dir mal die in meiner Signatur verlinkte Anleitung zum Auffinden von Dateien an.

stupormundi

__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 15.02.2006, 12:39   #6
Wildone
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Hallo,
da scheint etwas fieses auf deinem System zu sein. Lade mal die Datei hier hoch und poste das Ergebnis. Und mache mal im Moment auf keinen Fall Onlinebanking oder Ebay...

Edit
@stupormundi
Na so harmlos scheint mir die "Adware" nicht zu sein, lies dir mal die Beaschreibung genauer durch
Edit2
Ist wohl doch nicht so dramatisch, habe da etwas beim lesen in den falschen Hals bekommen

Grüße Wildone

Alt 15.02.2006, 12:43   #7
stupormundi
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



@ wildone:
Zitat:
When a URL contained in the file downloaded in Step 2 is visited, the risk will append an affiliate ID onto that URL, and redirect Internet Explorer to a new URL.

Note: The user will most likely not notice this redirect since the Web page they originally requested is normally displayed. However, the author of the risk will gain financially when the user visits particular Web sites.
Wie sagte schon Einstein: alles ist relativ...
Du hast schon recht, unterschätzen darf man wohl gar nichts ...
Aber im Vergleich zu möglichen anderen bösen Backdoors und rootkits erscheint es mir doch eher harmlos

bis denn, stupormundi

~~Edit~~ Hallo, wildone: Du editierst ja schneller als die Polizei erlaubt ... Sonst aber full ack und gruß ~~/edit~~
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Geändert von stupormundi (15.02.2006 um 12:52 Uhr)

Alt 15.02.2006, 12:50   #8
Wildone
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Hallo,
bin ja schon mit Edit2 zurückgerudert. Bin mir nicht ganz sicher ob eine System.exe hier überhaupt vorliegt. Der von der Firewall festgestellte Verbindungsversuch könnte aber von der Adware stammen:
Zitat:
Downloads the following files from a remote server when Internet Explorer is launched:
Ansonsten würde ich noch ein Log von TCPview vorschlagen (File>>Save).


Grüße Wildone

Alt 15.02.2006, 17:48   #9
fischerli
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Zitat:
Zitat von stupormundi
Servus wieder!

Bis auf ein bisschen Adware und ein nicht aktuelles System (SP2 fehlt-->nachholen) kann ich in diesem Log mal nichts entdecken.

Versuche mal, den "system"-Prozess (system.exe -->wo genau) bei Jotti und/oder virustotal unter die Lupe nehmen zu lassen. Poste das/die Ergenbisse. Falls Du die Prozessdatei nicht gleich findest, schau' Dir mal die in meiner Signatur verlinkte Anleitung zum Auffinden von Dateien an.

stupormundi
Hallo stupormundi,

wo ist denn dieser Prozess? Ich habe die Anleitung gelesen, aber so eine Datei gibt es nicht, nur system32\system.drv. Angehängt die Information zum Prozess. Wenn man versucht, ihn zu beenden, dann fährt Windows runter.

Etwas verwirrend...
Miniaturansicht angehängter Grafiken
Prozess "SYSTEM" als Trojaner?-system.jpg  

Alt 16.02.2006, 06:41   #10
stupormundi
 
Prozess "SYSTEM" als Trojaner? - Standard

Prozess "SYSTEM" als Trojaner?



Servus wieder!

Wie schon wildone vermutet, gibt es so eine "system.exe" wahrscheinlich gar nicht!
Der von Dir zitierte Treiber (*.drv) gehört zum System - daher fährt Win beim beenden runter!
Dennoch - schauen wir mal genauer.
Lass daher mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu Prozess "SYSTEM" als Trojaner?
bild, das bild, draußen, firewall, gestern, leute, melde, meldet, minute, minuten, namen, nervt, port, prozess, system, troja, trojaner, trojaner?, verschiedene, versuche



Ähnliche Themen: Prozess "SYSTEM" als Trojaner?


  1. Win10 Arbeitsspeicher + Datenträger wegen dem Prozess "system" stark überlastet
    Plagegeister aller Art und deren Bekämpfung - 14.10.2015 (15)
  2. Der Prozess "System" hat permanent 50% CPU Last
    Log-Analyse und Auswertung - 28.08.2012 (6)
  3. Prozess "system" verursacht erhöhte Auslastung
    Mülltonne - 29.08.2011 (6)
  4. Der Prozess "System" und seine extreme Speicherauslastung
    Log-Analyse und Auswertung - 06.07.2011 (1)
  5. Prozess "System" im Taskmanager Win7 ohne Dateipfad
    Plagegeister aller Art und deren Bekämpfung - 26.04.2011 (2)
  6. "System"-Prozess verursacht dauerhaft 50% Auslastung
    Log-Analyse und Auswertung - 20.12.2010 (1)
  7. hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland
    Plagegeister aller Art und deren Bekämpfung - 08.12.2010 (10)
  8. Prozess "System" hohe Speicherauslastung und langsames Internet
    Log-Analyse und Auswertung - 04.12.2010 (1)
  9. CPU-Auslastung 99% bei Prozess "System"
    Log-Analyse und Auswertung - 14.10.2010 (22)
  10. CPU Auslastung 100%,Prozess "System" am höchsten,Pc friert ein,Virus?
    Log-Analyse und Auswertung - 09.08.2010 (4)
  11. "system" prozess braucht alle 17sek 100% prozessor leistung.
    Log-Analyse und Auswertung - 22.03.2010 (7)
  12. Prozess "System" 50% Ausgelastet (Dualcore)
    Log-Analyse und Auswertung - 23.05.2009 (1)
  13. "System" Prozess lastet CPU aus!?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2009 (0)
  14. Prozess "system" stark ausgelastet, ist das ein Virus?
    Log-Analyse und Auswertung - 16.06.2008 (2)
  15. Ewiges Problem Prozess "System"
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (5)
  16. Prozess " System " Spinnt
    Plagegeister aller Art und deren Bekämpfung - 17.05.2007 (1)
  17. Prozess "System" hohe auslastung bei Spielen
    Log-Analyse und Auswertung - 20.04.2007 (2)

Zum Thema Prozess "SYSTEM" als Trojaner? - Hallo Leute, seit gestern meldet meine Firewall, dass ein Prozess mit Namen "System" nach draußen funken will. Dabei gibt es bis zu 60 Versuche in zwei Minuten, immer von Port - Prozess "SYSTEM" als Trojaner?...
Archiv
Du betrachtest: Prozess "SYSTEM" als Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.