Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Merkwürdiges Rechnerverhalten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.04.2007, 13:42   #1
Hansheinz
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Ich habe hier mit einem Rechner Probleme. Hoffe mir kann jemand helfen.

Wenn ich auf meine Firewall schaue (ne professionelle Hardwarefirewall) sehe ich etwa alle 10 sec eine ausgehende Anfrage auf den port als Ziel 80 Als Quellport werden der Reihe nach Ports oberhalb von 2000 ausprobiert und ebenso werden die IP Adressen aufsteigend durchgeprüft. Habe auch schon versucht die dort angegebenen Adressen zu erreichen jedoch ohne Erfolg was ja aber nichts heißen muss.

Was weiter auffällig ist, ist dass der Rechner recht oft und viel mit dem Server im Lan spricht oder es zumindest versucht (Wenn ich Wireshark laufen lasse sehe ich alle 10 sec den besagten Zugriff auf Port 80 in Inet und jedemenge SMB Aktionen in Richtung des Servers)

Ein weiterer Test den ich durchgeführt habe war Wireshark laufen zu lassen und nach und nach die laufendne Dienste und Programm zu beenden. Um dadurch zu sehen welches Programm für den Port 80 Verbindungsversuch zuständig sind. Am Ende hat der Taskmanager nurnoch die Windowseigenen Dienste angezeigt und trotzdem hat der Rechner weiter versucht Port 80 Verbindungen aufzubauen

Mit Tools wie Spybot und Co konnte ich keine Auffälligkeiten finden und im Hijack this Log ist mir auch nichts aufgefallen. Hoffe ihr könnt mir helfen. Ich bin langsam ratlos. Hier nun die Log's:

Zitat:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:34:01, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kavsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\klswd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dell Start Page
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Dell Start Page
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bei Dell nach Notebooks, Desktops, Servern, Druckern, Software, Monitoren und Services suchen.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Bei Dell nach Notebooks, Desktops, Servern, Druckern, Software, Monitoren und Services suchen.
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = Dell Start Page
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Dell Start Page
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.202:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P36 "EPSON Stylus CX6600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [KAVWks50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kav.exe" /minimize /chkas
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1154676698078
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meine Domain.de
O17 - HKLM\Software\..\Telephony: DomainName = meine Domain.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB31A6F7-1543-498A-BB96-80BFA6B4E962}: NameServer = xxx.xxx.xxx.xxx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meine Domain.de
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Kaspersky Anti-Virus Dienst (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kavsvc.exe
O23 - Service: Trend Micro Client-Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Client-Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

--
End of file - 9512 bytes
Und hier noch das log von Startuplist

Zitat:
StartupList report, 02.04.2007, 11:28:42
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Administrator.meine Domain\Lokale Einstellungen\Temp\StartupList.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kavsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\klswd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
G:\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator.meine Domain\Lokale Einstellungen\Temp\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
SunJavaUpdateSched = C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
IAAnotif = C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
SigmatelSysTrayApp = stsystra.exe
DLA = C:\WINDOWS\System32\DLA\DLACTRLW.EXE
ISUSPM Startup = C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
ISUSScheduler = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
OfficeScanNT Monitor = "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
EPSON Stylus CX6600 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
EPSON Stylus CX6600 Series (Kopie 1) = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P36 "EPSON Stylus CX6600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX6600"
KAVWks50 = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus SOS\kav.exe" /minimize /chkas
(Default) =

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
swg = C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\AutoCADScript\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE "%1"

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\WINDOWS\System32\DLA\DLASHX_W.DLL - {5CA3D70E-1895-11CF-8E15-001234567890}
(no name) - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
Browser Address Error Redirector - C:\Programme\BAE\BAE.dll - {CA6319C0-31B7-401E-A518-A07C3DB8F777}
(no name) - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}

--------------------------------------------------

Enumerating Download Program Files:

[OfficeScan Corp Edition Web-Deployment SetupINICtrl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\OfficeScanSetupINI.dll
CODEBASE = file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\setupini.cab

[OfficeScan Corp Edition Web-Deployment SetupCtrl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\OfficeScanSetup.dll
CODEBASE = file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\setup.cab

[OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\OfficeScanRemoveCtrl.dll
CODEBASE = file://\\Domain-sbs\ofcscan\Web_console\ClientInstall\RemoveCtrl.cab

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://update.microsoft.com/windowsu...?1154676698078

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 8.722 bytes
Report generated in 0,031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Grüße Hansheinz

Alt 02.04.2007, 14:18   #2
undoreal
/// AVZ-Toolkit Guru
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Hallo.

Mache bitte folgendes:

-einen eScan (Anleitung in meiner Signatur verlinkt)

-und lasse dein System mal auf Shields Up testen. Berichte was dabei so herausgekommen ist..

Gruß

Undoreal
__________________

__________________

Alt 02.04.2007, 15:30   #3
Hansheinz
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Shields Up wird wegen dem verwendeten Proxy nicht funktionieren. Wegen dem Rest werd ich mich ASAP melden.
__________________

Alt 02.04.2007, 15:38   #4
MightyMarc
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Zitat:
Zitat von Hansheinz Beitrag anzeigen
Um dadurch zu sehen welches Programm für den Port 80 Verbindungsversuch zuständig sind. Am Ende hat der Taskmanager nurnoch die Windowseigenen Dienste angezeigt und trotzdem hat der Rechner weiter versucht Port 80 Verbindungen aufzubauen.
Bringt netstat -ano etwas zusammen mit tasklist /M etwas mehr Aufschluss über die Quelle der Verbindungsversuche?
Wurde ein Rootkitscanner eingesetzt (z.B. Blacklight oder Gmer)?
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 10.04.2007, 07:16   #5
Hansheinz
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Habe alle mir empfohlenen Scans durchlaufen lassen. Das Ergebnis Blacklight und GMER haben keine Ergebnisse hervorgebracht. Auch Shields up hat ein angeblich wunderbar abgeschottetes System angezeigt. Jedoch hat eScan dies hier gefunden:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Apr 04 18:08:53 2007 => Version 9.1.8 (C:\DOKUME~1\ADMINI~1.JEN\LOKALE~1\Temp\mexe.com)
Wed Apr 04 18:01:45 2007 => Virus Database Date: 4/2/2007
Wed Apr 04 19:01:29 2007 => Virus Database Date: 4/2/2007
Wed Apr 04 19:01:40 2007 => Virus Database Date: 4/2/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 04 18:09:49 2007 => System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: No Action Taken.
Wed Apr 04 18:09:49 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\enum\root\legacy_svkp)! Action taken: No Action Taken.
Wed Apr 04 18:09:49 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Apr 04 18:09:49 2007 => Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wie werde ich diese Backdoor nun am einfachsten wieder restlos los?


Alt 10.04.2007, 13:51   #6
undoreal
/// AVZ-Toolkit Guru
 
Merkwürdiges Rechnerverhalten - Standard

Merkwürdiges Rechnerverhalten



Zitat:
Wie werde ich diese Backdoor nun am einfachsten wieder restlos los?
nur durch ein Neuaufsetzen des gesammten Systems. Danach ändere alle Passwörter..

Infos: Backdoor.Shangxing - Symantec.com

Anleitung findest du in meiner Signatur.

Liebe Grüße

Undoreal
__________________
--> Merkwürdiges Rechnerverhalten

Antwort

Themen zu Merkwürdiges Rechnerverhalten
appinit_dlls, association, bho, browser, browseui preloader, drivers, error, excel, frage, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, ip adressen, kaspersky, langsam, logfile, officescan, port, port 80, programm, registry, registry key, registry value, rundll, s-1-5-18, saver, screensaver, security, server, software, system, taskmanager, trend micro, usb, userinit.exe, windows xp



Ähnliche Themen: Merkwürdiges Rechnerverhalten


  1. Merkwürdiges Problem mit Windows-Fenstern
    Plagegeister aller Art und deren Bekämpfung - 07.06.2015 (19)
  2. PC Start merkwürdiges Verhalten-geht aus an
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (7)
  3. Merkwürdiges Verhalten nach Programminstallation
    Log-Analyse und Auswertung - 21.09.2014 (9)
  4. Merkwürdiges BIOS
    Netzwerk und Hardware - 27.02.2014 (4)
  5. Isearch AVG Toolbar, merkwürdiges Verhalten
    Plagegeister aller Art und deren Bekämpfung - 25.08.2013 (5)
  6. Merkwürdiges Popupfenster geht auf!
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (4)
  7. Windows entwickelt merkwürdiges Eigenleben
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (3)
  8. Merkwürdiges Problem unter Windows XP
    Alles rund um Windows - 24.10.2012 (1)
  9. Hinundwieder öffnet der IE ein merkwürdiges fenster.
    Log-Analyse und Auswertung - 24.04.2012 (2)
  10. Merkwürdiges Ergebnis bei aswMBR
    Log-Analyse und Auswertung - 20.11.2011 (2)
  11. Merkwürdiges Fenster auf dem Desktop. Was ist das ?
    Log-Analyse und Auswertung - 07.07.2010 (3)
  12. Merkwürdiges verhalten Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2009 (1)
  13. Merkwürdiges verhalten meines PCs
    Plagegeister aller Art und deren Bekämpfung - 17.08.2008 (2)
  14. Merkwürdiges Desktopverhalten…
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (0)
  15. Merkwürdiges Verhalten von IE 6: Unerwünschte Weiterleitung
    Plagegeister aller Art und deren Bekämpfung - 07.11.2007 (4)
  16. merkwürdiges Verhalten des Browsers
    Log-Analyse und Auswertung - 24.08.2007 (10)
  17. Ein merkwürdiges Problem.
    Log-Analyse und Auswertung - 09.11.2006 (3)

Zum Thema Merkwürdiges Rechnerverhalten - Ich habe hier mit einem Rechner Probleme. Hoffe mir kann jemand helfen. Wenn ich auf meine Firewall schaue (ne professionelle Hardwarefirewall) sehe ich etwa alle 10 sec eine ausgehende Anfrage - Merkwürdiges Rechnerverhalten...
Archiv
Du betrachtest: Merkwürdiges Rechnerverhalten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.