Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Services.Exe macht Smtp Verbindungen auf und legt alles lahm.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.12.2007, 13:11   #1
rkrueger75
 
Services.Exe macht Smtp Verbindungen auf und legt alles lahm. - Standard

Services.Exe macht Smtp Verbindungen auf und legt alles lahm.



Hallo,

ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?
Habe dann mal mit Active Ports geguckt welches Programm da mein Internet vollpumpt und habe gesehen, das es die services.exe ist. Die remote Adressen sind dann solche teile: p3presmtp01-v01.prod.phx3.secureserver.net:smtp und noch ca. 200 andere.

Könnt ihr mir sagen, wie ich den Müll wieder weg kriege.

Hier mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:31, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Lexmark 3400 Series\lxcymon.exe
C:\Programme\Lexmark 3400 Series\ezprint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\odbcasvc.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\lxcycoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Bärbel\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [lxcymon.exe] "C:\Programme\Lexmark 3400 Series\lxcymon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 3400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6156 bytes

Alt 11.12.2007, 15:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Services.Exe macht Smtp Verbindungen auf und legt alles lahm. - Standard

Services.Exe macht Smtp Verbindungen auf und legt alles lahm.



Hi.

Zitat:
ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?
Das klingt bei dir schon ziemlich nach Rootkit/Backdoorbefall. Hatte letztens erst hier einen ähnlichen Fall gehabt. Ein paar Schädlingseinträge sind auf jeden Fall schonmal da:

Code:
ATTFilter
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll
         
Sehr fraglich, ob sich überhaupt noch eine Bereinigung lohnt. Eher nicht würde ich sagen. Mach erstmal nen Check mit Blacklight und poste das Logfile.
__________________

__________________

Alt 11.12.2007, 18:53   #3
rkrueger75
 
Services.Exe macht Smtp Verbindungen auf und legt alles lahm. - Standard

Services.Exe macht Smtp Verbindungen auf und legt alles lahm.



Hallo, danke für deine Antwort. Hab das mit dem Blacklight gemacht. So wie ich das sehe ist das Logfile ziemlich nichtssagend aber du kannst ja mal gucken.

HTML-Code:
12/12/07 19:50:10 [Info]: BlackLight Engine 1.0.67 initialized
12/12/07 19:50:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/12/07 19:50:10 [Note]: 7019 4
12/12/07 19:50:10 [Note]: 7005 0
12/12/07 19:50:12 [Note]: 7006 0
12/12/07 19:50:12 [Note]: 7011 1844
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:13 [Note]: FSRAW library version 1.7.1024
12/12/07 19:51:39 [Note]: 7007 0
Vielen Dank
__________________

Alt 14.12.2007, 16:25   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Services.Exe macht Smtp Verbindungen auf und legt alles lahm. - Standard

Services.Exe macht Smtp Verbindungen auf und legt alles lahm.



Na, so schlimm scheints nicht zu sein. Jedenfalls wird kein Rootkit bei dir gefunden.

Führ dann jetzt mal diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Services.Exe macht Smtp Verbindungen auf und legt alles lahm.
adobe, bho, dateien, desktop, dll, drivers, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet explorer, log, messenger, micro, microsoft, nvidia, programm, programme, rundll, s-1-5-18, services.exe, software, spam, system, trend micro, wieder weg, windows, windows xp



Ähnliche Themen: Services.Exe macht Smtp Verbindungen auf und legt alles lahm.


  1. Upload des Pcs ist konstant hoch und legt alles lahm
    Log-Analyse und Auswertung - 27.06.2015 (15)
  2. Herunterfahren nicht möglich, Versuch über "ausführen" legt alles lahm, nun keine Aktionen mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 10.02.2015 (13)
  3. Browser legt PC kurzzeitig lahm , alles Ruckelt..
    Plagegeister aller Art und deren Bekämpfung - 24.11.2013 (22)
  4. GVU legt XP lahm
    Log-Analyse und Auswertung - 11.09.2013 (7)
  5. BKA Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  6. Secure Sphere legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (7)
  7. services.exe öffnet dutzende TCP-Verbindungen - Hijack Log
    Log-Analyse und Auswertung - 30.08.2010 (3)
  8. Zig Verbindungen bei netstat, alle :smtp
    Log-Analyse und Auswertung - 12.01.2010 (8)
  9. Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 30.08.2009 (6)
  10. Keine Virenfunde, aber massig SMTP Verbindungen
    Plagegeister aller Art und deren Bekämpfung - 16.04.2009 (0)
  11. Nichts geht mehr rundll legt alles lahm. HILFE
    Plagegeister aller Art und deren Bekämpfung - 29.03.2009 (0)
  12. Bitte bitte helft mir trojaner legt alles lahm :(wichtiges dokument noch bis morgen.
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (10)
  13. Trojaner legt alles lahm
    Log-Analyse und Auswertung - 14.01.2009 (4)
  14. Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 29.12.2008 (0)
  15. Vistamixer macht alles lahm!
    Plagegeister aller Art und deren Bekämpfung - 03.05.2008 (6)
  16. Brauche dringend Hilfe: services.exe legt Core Duo lahm
    Log-Analyse und Auswertung - 23.08.2007 (6)
  17. Ausgehende SMTP Verbindungen, Virus? Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2006 (3)

Zum Thema Services.Exe macht Smtp Verbindungen auf und legt alles lahm. - Hallo, ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen - Services.Exe macht Smtp Verbindungen auf und legt alles lahm....
Archiv
Du betrachtest: Services.Exe macht Smtp Verbindungen auf und legt alles lahm. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.