Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wo ist der Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.07.2004, 10:26   #1
peterchen
 
Wo ist der Trojaner - Standard

Wo ist der Trojaner



Problem: svchost.exe (RPC-Dienst) ab Systhemstart Auslatung auf 100%
Prozeß killen möglich, da herunterfahren des PC deaktiert,
aber der Dienst startet immer wieder.
Vierenscanner McAfee nichts gefunden, Firewall Outpost nichts .....
diverse Tools Cleaner XP-SP1 Hotfixe, adaware spybot .... nichts.
Neue Firewall. Zonealarm 100% Auslastung zwischen lsass.exe und der Firewall vsmon.exe. Wenn Firewall deaktiviert Pc Auslatung (lsass) geht runter ., doch nach einniger Zeit svchost wieder hoch. Mit Panda Firewall das selbe.
Panda Virenscanner meldete: Mydoom.A
Auric Remove Tool: Win32Auric.A@mm
TC Monitor: 2 Skribte
Regestry nach jedem Neustart verseucht ..........obj[0]=Reg.Daten : scrfile\shell\open\command.........

jedes Tool und Virusdatei ist Aktuell!

Lösung: Format/C, aber ich hab Ergeiz ihn vorher zu finden
Kann mir jemand helfen???????

Logfile of HijackThis v1.98.0
Scan saved at 12:35:43, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

DA ist doch NIX!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\BMServ.exe
C:\Programme\Diskeeper\DkService.exe
C:\WINDOWS\System32\BMApp.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\DockApp.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Acer\Acer Wireless PCMCIA\RtlWake.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Würmer-Cleaner\hijackthis_198\HijackThis.exe
C:\WINDOWS\System32\NotePad.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [BayMgr] DockApp.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot\SpybotSD.exe" /autofix
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acer Wake.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Geändert von peterchen (31.07.2004 um 11:36 Uhr)

Alt 31.07.2004, 12:55   #2
*Christian*
Gast
 
Wo ist der Trojaner - Standard

Wo ist der Trojaner



C:\WINDOWS\System32\BMServ.exe
C:\WINDOWS\System32\BMApp.exe
Weisst du wozu diese Dateien gehören?
Evtl. mal überprüfen: http://www.kaspersky.com/de/scanforvirus

Dies kann raus:
O4 - Global Startup: Acer Wake.lnk = ?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe

Ansonsten sieht man aber nix verdächtiges.
__________________


Alt 31.07.2004, 17:02   #3
peterchen
 
Wo ist der Trojaner - Standard

Wo ist der Trojaner



Schade nichts verdächtiges ...........

BMServ.exe und BMApp.exe sind vom BPM Studio (Audio Player)

Port Scan hat ergeben ........ Port 5000 ist offen.

Krieg ihn aber einfach nicht zu, weder mit Zone Alarm noch mit Sygate!
beide Firewalls nun paralell. "Brauch mal ne Anleitung für Doofe"

Kann mir einer sagen wie ......... mach ich den Sack zu!

DANKe, oder muß ich nun das Forum wechseln

Ps.: 208.185.174.52 svchost listen Lokel Port ..... ist da der "Stinker"?

kann die seite mal jemand prüfen
__________________

Geändert von peterchen (31.07.2004 um 17:09 Uhr)

Antwort

Themen zu Wo ist der Trojaner
.exe, ?????, ad-aware, adobe, antivirus, auslastung, besitzer, bho, desktop, einstellungen, explorer, firefox, firewall deaktiviert, herunterfahren, hijack, hijackthis, home, http://www.google.com, internet, internet explorer, monitor, mozilla, mozilla firefox, problem, rpc-dienst, scan, software, svchost.exe, system, trojane, trojaner, windows, windows xp



Zum Thema Wo ist der Trojaner - Problem: svchost.exe (RPC-Dienst) ab Systhemstart Auslatung auf 100% Prozeß killen möglich, da herunterfahren des PC deaktiert, aber der Dienst startet immer wieder. Vierenscanner McAfee nichts gefunden, Firewall Outpost nichts ..... - Wo ist der Trojaner...
Archiv
Du betrachtest: Wo ist der Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.