Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdacht auf Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.04.2006, 19:10   #1
Gerhard Berger
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



Habe alles mögliche versucht (adaware,spybot,bitdefender,trendmicro.de online scan, und etrust antivirus findet sowieso nie was),

Verhalten weiterhin folgendes:
established eine connection nach 209.160.72.19 über Port 5000.

Bitte an die Experten um sachdienliche Hinweise!
Danke!!!!!

Logfile of HijackThis v1.99.1
Scan saved at 19:48:57, on 26.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\CA_LIC\LogWatNT.exe
C:\Notes\ntmulti.exe
C:\TNG\RCO\RCManClient.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Enabler\server\bin\OMSShutd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
D:\Eigene Dateien\Package\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Proxy-01.sozvers.at:8181
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 12.110.103.83,*.sozvers.at,www.sozialversicherung.at,www.svb.at,www.ooegkk.info,www.noegkk.at;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,"D:\Enabler\server\bin\OMSShutd.exe"
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O17 - HKLM\Software\..\Telephony: DomainName = at.emea.csc.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O23 - Service: Asset Management Agent (AmoAgent) - Computer Associates International, Inc. - C:\WINDOWS\UMCSTUB.EXE
O23 - Service: Apache - Unknown owner - D:\Program Files\Component Factory\SELECT Shared\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\CA_LIC\LogWatNT.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Notes\ntmulti.exe
O23 - Service: RCManClient - Computer Associates International, Inc. - C:\TNG\RCO\RCManClient.exe
O23 - Service: Unicenter TNG RCO (RCOService) - Computer Associates International, Inc. - C:\TNG\RCO\RCOService.exe
O23 - Service: Softlab FAS (SoftlabEnabFAS) - Softlab - D:\Enabler\server\bin\fas_server.exe
O23 - Service: Softlab Enabler (SoftlabEnabler) - Softlab - D:\Enabler\server\bin\OMSServd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Tomcat - Unknown owner - D:\Program Files\Component Factory\Select Enterprise\Exe\Jre\1.3\bin\Server\jk_nt_service.exe (file missing)

Alt 26.04.2006, 19:17   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



Zitat:
C:\WINDOWS\system\smss.exe
D:\Ena bler\server\bin\OMSShutd.exe
Diese Dateien kommen mir nicht ganz koscher vor, lass die mal bei Jotti (oder Virustotal wenn Jotti auslastet ist) auswerten und poste die Ergebnisse.

Zudem ist Dein Windows ungepatcht!! Zumindest das SP2 fehlt!
__________________

__________________

Alt 26.04.2006, 20:23   #3
BataAlexander
> MalwareDB
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



Hallo,

Du hast diesen auf dem Rechner, gestatte mir weiterhin die Frage, wie dieser PC genutzt wird.
Für Dich heißt es das System neu Aufzusetzen, Anleitung in meiner Signaur.

Gruß

Schrulli
__________________
__________________

Geändert von Schrulli (26.04.2006 um 20:45 Uhr)

Alt 26.04.2006, 20:40   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



@Schrulli:
Sowas ähnliches hatte ich mir gedacht, wollte aber quasi den "Beweis" einer Hintertür. Den Link zu Sophos hatte ich aus unerklärlichen Gründen nich gefunden
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.04.2006, 21:48   #5
Gerhard Berger
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



Hallo Leute,

danke für die Info!

omsshutd.exe war sauber.
Für smss.exe hab ich bei Jotti tatsächlich was gefunden - allerdings 6 verschiedene Ergebnisse (???)

Datei: smss.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: NSPACK

AntiVir Worm/Caimbot gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus W32/Methodbod.A@dr - Packed gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.aj gefunden
NOD32 probably a variant of Win32/Agent.TV gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Malware.Agent.52 (paranoid heuristics) gefunden (mögliche Variante)


Alt 26.04.2006, 22:07   #6
MightyMarc
 
Verdacht auf Trojaner - Standard

Verdacht auf Trojaner



Hi Gerhard,

wie Schrulli bereits schrieb, hast Du einen Trojaner mit Backdoorfunktionalität auf Deinem Rechner. Einem normalen Nutzer wird ein Neuaufsetzen des Systems empfohlen. Dein System macht den Eindruck eines Produktivsystems was die Sache nicht besser macht.
Betreut ein Administrator Dein System (was ich mir nicht vorstellen kann - SP1 ) dann kontaktiere ihn schnellstens und berichte ihm von dem Fund (siehe Link von Schrulli). Bist Du selbst für die Sicherheit des Rechners verantwortlich, setze das System neu auf und bemühe Dich um ausreichend Lektüre zum Thema Computersicherheit.

Antwort

Themen zu Verdacht auf Trojaner
adobe, antivirus, bho, computer, defender, excel, explorer, helper, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, pdf, port, scan, server, software, system, trojane, trojaner, userinit.exe, verdacht auf trojaner, windows, windows xp, yahoo



Ähnliche Themen: Verdacht auf Trojaner


  1. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 05.08.2015 (12)
  2. Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2015 (11)
  3. Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.03.2014 (1)
  4. Trojaner Verdacht
    Log-Analyse und Auswertung - 28.03.2012 (7)
  5. Verdacht auf Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 14.04.2011 (16)
  6. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 14.02.2010 (20)
  7. trojaner verdacht.
    Log-Analyse und Auswertung - 30.01.2010 (4)
  8. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 16.05.2009 (2)
  9. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 09.05.2009 (28)
  10. Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (3)
  11. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 21.08.2008 (3)
  12. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 24.01.2008 (0)
  13. Trojaner verdacht!
    Mülltonne - 25.10.2007 (1)
  14. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 11.02.2007 (1)
  15. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 14.01.2007 (1)
  16. Verdacht auf Trojaner
    Log-Analyse und Auswertung - 05.09.2006 (2)
  17. Trojaner Verdacht
    Log-Analyse und Auswertung - 18.07.2006 (4)

Zum Thema Verdacht auf Trojaner - Habe alles mögliche versucht (adaware,spybot,bitdefender,trendmicro.de online scan, und etrust antivirus findet sowieso nie was), Verhalten weiterhin folgendes: established eine connection nach 209.160.72.19 über Port 5000. Bitte an die Experten um - Verdacht auf Trojaner...
Archiv
Du betrachtest: Verdacht auf Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.