Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.11.2007, 06:01   #1
Wildehorde
 
Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet - Standard

Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet



Hallo zusammen

Ich habe mir einen Root Server ( Windows 2003 WebeEdition mit Plesk ) zugelegt, vor 4 Wochen , der Kackt andauernd ab . Ich weiß nicht mehr weiter. Ich habe dann das Programm HijackThis drüber laufen lassen .

Das sind die Daten , hoffe mal das es so ok ist .

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\copSSH\bin\cygrunsrv.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\copSSH\bin\sshd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\SWSoft\Plesk\kav\kavsvc.exe
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MELSC.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEMTA.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOC.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOPS.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MESMTPC.EXE
C:\Program Files\SWSoft\Plesk\Databases\MSDEMSSQL\Binn\sqlservr.exe
C:\Program Files\SWSoft\Plesk\Databases\MySQL\bin\mysqld-nt.exe
C:\Program Files\SWSoft\Plesk\dns\bin\named.exe
C:\Program Files\SWSoft\Plesk\admin\bin\plesksrv.exe
C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
C:\Program Files\SWSoft\Plesk\Additional\Tomcat\bin\tomcat5.exe
C:\Program Files\SWSoft\Plesk\admin\bin\PopPassD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SWSoft\Plesk\admin\bin\PleskControlPanel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\FileZilla Server\FileZilla Server Interface.exe
C:\Program Files\SWSoft\Plesk\admin\bin\traymonitor.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\SWSoft\Plesk\admin\bin\stunnel.exe

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.googel.de/
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3153507152-341512085-1996815031-1029\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SvcCOPSSH')
O4 - HKUS\S-1-5-21-3153507152-341512085-1996815031-1029\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SvcCOPSSH')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Plesk Services Monitor.lnk = C:\Program Files\SWSoft\Plesk\admin\bin\traymonitor.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O15 - ESC Trusted Zone: http://mozilla.mirrors.easynews.com
O15 - ESC Trusted Zone: http://mozilla.mirror.facebook.com
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://mozilla.mirror.ac.za
O15 - ESC Trusted Zone: http://www.mozilla-europe.org
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://ftp-mozilla.netscape.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149752800553
O17 - HKLM\System\CCS\Services\Tcpip\..\{0673A16C-CDF7-421B-BF9D-3B81CE643089}: NameServer = 213.186.33.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A2BDFF3-C114-4C4E-B7B0-7426644239A8}: NameServer = 10.48.100.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{57444DEA-D812-427C-8161-4C82CA47CEE3}: NameServer = 10.48.100.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0673A16C-CDF7-421B-BF9D-3B81CE643089}: NameServer = 213.186.33.99
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Openssh SSHD (copSSHD) - Unknown owner - C:\Program Files\copSSH\bin\cygrunsrv.exe
O23 - Service: DrWebCom - Doctor Web Ltd. - C:\Program Files\SWSoft\Plesk\DrWeb\drwebcom.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Kaspersky Antivirus TM (kavsvc) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\kav\kavsvc.exe
O23 - Service: MailEnable List Connector (MELCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MELSC.EXE
O23 - Service: MailEnable Mail Transfer Agent (MEMTAS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEMTA.EXE
O23 - Service: MailEnable Postoffice Connector (MEPOCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOC.EXE
O23 - Service: MailEnable POP Service (MEPOPS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOPS.EXE
O23 - Service: MailEnable SMTP Connector (MESMTPCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MESMTPC.EXE
O23 - Service: MySQL Server (MySQL) - Unknown owner - C:\Program Files\SWSoft\Plesk\Databases\MySQL\bin\mysqld-nt.exe
O23 - Service: Plesk Name Server (named) - Unknown owner - C:\Program Files\SWSoft\Plesk\dns\bin\named.exe
O23 - Service: Plesk Control Panel Service (PleskControlPanel) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\PleskControlPanel.exe
O23 - Service: Plesk Management Service (plesksrv) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\plesksrv.exe
O23 - Service: Plesk PopPass Service (PopPassD) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\PopPassD.exe
O23 - Service: SiteBuilder for Windows Hosting Service (SBPreviewHost) - SWSoft Inc. - C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
O23 - Service: SiteBuilder for Windows Updater Service (SBUpdater) - SWSoft Inc. - C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
O23 - Service: Plesk SSL Wrapper Service (stunnel) - Unknown owner - C:\Program Files\SWSoft\Plesk\admin\bin\stunnel.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Program Files\SWSoft\Plesk\Additional\Tomcat\bin\tomcat5.exe


Ich bekomme immer Mails : Running task: C:\Program Files\SWSoft\Plesk\admin\bin\statistics.exe
ich Starte es auch dann immer , dann habe ich eine fehler Meldung w3wp ist off.

Wenn ich den Task-Manageran mache , dann habe ich fast eine 100 % auslastung durch das program
cidaemon.exe , das läuft auch komicher weise 2 mal .

Es wäre toll wenn mir einer Helfen könnte .

gruß Wilde

Alt 20.11.2007, 17:05   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet - Standard

Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet



Sry, aber brauchst du wirklich einen Rootserver? Ich habe den Eindruck du bist damit ein wenig überfordert und das kann ganz schön gefährlich werden. Wenn das Teil nämlich wegen mangelnder Absiherung kompromittiert wird und in ein Botnetz gelangt, könntest du ziemlich schnell massive Probleme bekommen, z.B. Schadensersatzforderungen von geschädigten Firmen.

Wenn du einen Root hast, bist du selbst voll und ganz für diesen auch verantwortlich!

Zitat:
Wenn ich den Task-Manageran mache , dann habe ich fast eine 100 % auslastung durch das program
cidaemon.exe , das läuft auch komicher weise 2 mal .
Knips den Indexdienst unter services.msc mal aus. Beobachte dann ob das Problem immer noch besteht.
Desweiteren wäre ein vollständiges, unverfälschtes Logfile erforderlich. Im bisherigen seh ich aber keine Schädlinge.
__________________

__________________

Antwort

Themen zu Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet
100 % auslastung, agent, antivirus, auslastung, fehler, free, gservice, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, kaspersky, mail, microsoft, mysql server, nicht mehr, office, pcs, plesk, programm, s-1-5-18, server, software, start, system, system32, tools, trend, trend micro, windows



Ähnliche Themen: Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet


  1. Ich habe schon seit einigen Wochen das TR/Patched.Ren.Gen auf dem Pc und bekomme es nicht weg
    Plagegeister aller Art und deren Bekämpfung - 07.08.2015 (24)
  2. Habe Telekom Rechnung geöffnet! Bin mir nicht sicher, ob ich einen Trjoaner eingefangen habe
    Plagegeister aller Art und deren Bekämpfung - 08.06.2014 (15)
  3. Internet zeit 2 Wochen extrem langsam....
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (11)
  4. Ich habe 2 DllHost.exe Prozesse, Habe ich mir einen Virus eingefangen?
    Log-Analyse und Auswertung - 29.08.2013 (9)
  5. Auch ich habe seit ein paar Wochen beim Start von meinem Windows XP den Hinweis: -TBUploader.dll- nicht gefunden.
    Plagegeister aller Art und deren Bekämpfung - 07.08.2013 (5)
  6. Ich habe die Ganze Zeit Werbung im Internet (facebook,google,web.de usw )
    Plagegeister aller Art und deren Bekämpfung - 01.08.2013 (16)
  7. Habe einen virus! aber was für einen ?
    Log-Analyse und Auswertung - 17.07.2013 (8)
  8. Seit 2 Wochen habe ich das Problem mit diesem Programm UI.EXE
    Log-Analyse und Auswertung - 28.06.2013 (4)
  9. PC deaktiviert Internetzugang nach einiger Zeit und hindert mich zu einen Neustart
    Log-Analyse und Auswertung - 10.06.2013 (5)
  10. 2x | Habe einen virus !aber was für einen?
    Mülltonne - 20.05.2013 (0)
  11. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  12. ich glaub ich habe einen virus(trojaner>JS/Exploit-Blacole.ht< unter anderen.) sorry habe im ersten thema so ziemlich alles falsch gemacht
    Mülltonne - 21.12.2012 (4)
  13. Benötige einen Check meiner Dienste, evtl. habe ich einen Virus, der meinen PC überwacht!
    Log-Analyse und Auswertung - 19.12.2011 (10)
  14. Onlinebanking Trojaner (Delfsnif.DX.81) – Zur Formatierung erst in zwei Wochen Zeit, wie verhalten?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2010 (7)
  15. Windows XP Pro Service Pack 3 rebootet nach einiger zeit ohne grund .
    Alles rund um Windows - 03.04.2010 (1)
  16. Guten Morgen ich habe ein Gefühl ich habe nun einen Virus/Trojaner
    Log-Analyse und Auswertung - 23.12.2009 (1)
  17. Verdacht auf Virus(hatte vor 2 Wochen einen Trojaner)
    Mülltonne - 23.11.2008 (0)

Zum Thema Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet - Hallo zusammen Ich habe mir einen Root Server ( Windows 2003 WebeEdition mit Plesk ) zugelegt, vor 4 Wochen , der Kackt andauernd ab . Ich weiß nicht mehr weiter. - Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet...
Archiv
Du betrachtest: Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.