|
Services.exe 100% Auslastung unter XP nach ICQ Trojaner! Hi Jungs, hab gestern einen Trojaner über ICQ runtergeladen und die betroffenden Dateien mit Avenger entfernt... Seiddem macht meine Services.exe Probleme... Einmal ist es sogar dazu gekommen das es mein PC hat runterfahren lassen... Hab schon alle Möglichen Checks durchgeführt jedoch ohne Erfolg... Habe folgedessen mal über cmd angepingt und das ist dabei rausgekommen: Die 548 ist übrigens die genannte Services.exe Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\User>netstat -o Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status PID TCP rose-5d38e2b4c1:1031 localhost:18350 HERGESTELLT 1476 TCP rose-5d38e2b4c1:1032 localhost:1042 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1032 localhost:2529 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1032 localhost:2533 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1032 localhost:4383 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1032 localhost:4384 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1042 localhost:1032 HERGESTELLT 1304 TCP rose-5d38e2b4c1:1135 localhost:40041 HERGESTELLT 2860 TCP rose-5d38e2b4c1:1730 localhost:1731 HERGESTELLT 3556 TCP rose-5d38e2b4c1:1731 localhost:1730 HERGESTELLT 3556 TCP rose-5d38e2b4c1:2529 localhost:1032 HERGESTELLT 1304 TCP rose-5d38e2b4c1:2533 localhost:1032 HERGESTELLT 1304 TCP rose-5d38e2b4c1:4383 localhost:1032 HERGESTELLT 1304 TCP rose-5d38e2b4c1:4384 localhost:1032 HERGESTELLT 1304 TCP rose-5d38e2b4c1:18350 localhost:1031 HERGESTELLT 1620 TCP rose-5d38e2b4c1:40041 localhost:1135 HERGESTELLT 2860 TCP rose-5d38e2b4c1:1039 205.188.7.209:https HERGESTELLT 1304 TCP rose-5d38e2b4c1:1129 195.13.63.169:8200 HERGESTELLT 2112 TCP rose-5d38e2b4c1:1139 213.248.123.53:3724 HERGESTELLT 2860 TCP rose-5d38e2b4c1:1618 mx4.hotmail.com:smtp HERGESTELLT 548 TCP rose-5d38e2b4c1:1735 bu-in-f93.google.com:http HERGESTELLT 3556 TCP rose-5d38e2b4c1:2577 fk-in-f99.google.com:http HERGESTELLT 3556 TCP rose-5d38e2b4c1:2789 bu-in-f93.google.com:http HERGESTELLT 3556 TCP rose-5d38e2b4c1:2876 ed-in-f104.google.com:http HERGESTELLT 3556 TCP rose-5d38e2b4c1:2967 ed-in-f104.google.com:http HERGESTELLT 3556 TCP rose-5d38e2b4c1:3170 imc1.mailgate.sykes.com:smtp FIN_WARTEN_2 54 8 TCP rose-5d38e2b4c1:3182 mail.slk-ites.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3188 213.82.118.40:smtp WARTEND 0 TCP rose-5d38e2b4c1:3189 mx.bol.com.br:smtp WARTEND 0 TCP rose-5d38e2b4c1:3190 mail2.whitneybank.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3191 mta-v8.level3.mail.vip.mud.yahoo.com:smtp WARTE ND 0 TCP rose-5d38e2b4c1:3192 spike.jmcs.net.au:smtp WARTEND 0 TCP rose-5d38e2b4c1:3193 59-120-208-170.HINET-IP.hinet.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3194 202.104.32.246:smtp ZULETZT_ACK 548 TCP rose-5d38e2b4c1:3195 202.104.32.246:smtp ZULETZT_ACK 548 TCP rose-5d38e2b4c1:3197 UNKNOWN-4-79-181-15.yahoo.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3199 mta1.biz.level3.mail.vip.re2.yahoo.com:smtp WAR TEND 0 TCP rose-5d38e2b4c1:3202 *.s5a1.psmtp.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3205 163.247.43.71:smtp WARTEND 0 TCP rose-5d38e2b4c1:3207 *.s6a1.psmtp.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3208 mail.mobikom.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3210 mx01.duke-energy.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3211 mxl145v2.mxlogic.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3212 smtpsvc1.mindspring.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3214 pc103.pehwhk.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3215 221.4.140.42:smtp WARTEND 0 TCP rose-5d38e2b4c1:3216 62-90-235-49.barak.net.il:smtp WARTEND 0 TCP rose-5d38e2b4c1:3217 smtp3.petrokazakhstan.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3219 83-103-76-86.ip.fastwebnet.it:smtp WARTEND 0 TCP rose-5d38e2b4c1:3220 smtp.crcn.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3222 mail.global.frontbridge.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3225 lbh-t.spamh.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3226 ygw02.ynot.co.jp:smtp WARTEND 0 TCP rose-5d38e2b4c1:3227 mail.jumpy.it:smtp WARTEND 0 TCP rose-5d38e2b4c1:3228 mail.jumpy.it:smtp WARTEND 0 TCP rose-5d38e2b4c1:3230 mail.global.frontbridge.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3231 fritaleco.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3232 m1.dnsix.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3233 m1.dnsix.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3234 mail.ggbreathe.org:smtp WARTEND 0 TCP rose-5d38e2b4c1:3235 mail123.messagelabs.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3241 mail.bricebuilding.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3243 210-54-120-187.adsl.xtra.co.nz:smtp FIN_WARTEN_ 1 548 TCP rose-5d38e2b4c1:3246 wilk.lupus.pl:smtp WARTEND 0 TCP rose-5d38e2b4c1:3247 jor-l.pns.networktel.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3249 dmail1.cobaltgroup.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3250 ciicsh.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3251 gecko.sbs.de:smtp WARTEND 0 TCP rose-5d38e2b4c1:3253 static-64-223-47-37.PROV.east.verizon.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3255 purplesquared.co.uk:smtp WARTEND 0 TCP rose-5d38e2b4c1:3257 mail.domtex.kiev.ua:smtp WARTEND 0 TCP rose-5d38e2b4c1:3258 mail.global.frontbridge.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3261 web.infocom-consulting.it:smtp WARTEND 0 TCP rose-5d38e2b4c1:3264 smtp.navegante.com.sv:smtp WARTEND 0 TCP rose-5d38e2b4c1:3267 mx-smtp1.npgco.com:smtp WARTEND 0 TCP rose-5d38e2b4c1:3268 mr51-iz.mailpoalim.co.il:smtp HERGESTELLT 5 48 TCP rose-5d38e2b4c1:3270 ms15.hinet.net:smtp WARTEND 0 TCP rose-5d38e2b4c1:3271 mailgate01.oca.ch:smtp HERGESTELLT 548 TCP rose-5d38e2b4c1:3272 mail.finish.cl:smtp HERGESTELLT 548 TCP rose-5d38e2b4c1:3273 isxmsw1.effem.com:smtp HERGESTELLT 548 TCP rose-5d38e2b4c1:3274 www.compuserve.com:smtp SYN_GESENDET 548 TCP rose-5d38e2b4c1:3275 mx2.mgrav.com:smtp SYN_GESENDET 548 TCP rose-5d38e2b4c1:3276 ales-pas.ispvds.com:smtp HERGESTELLT 548 C:\Dokumente und Einstellungen\User> bin ratlos danke für hilfe sascha |
Hallo Sascha, willkommen hier im Forum ;) Poste bitte als erstes ein Hijacklog, Anleitung dazu gibt es hier -> Anleitung Dann wollen wir mal schauen was da alles so im Hintergrund läuft, dein netstat-Log sieht meiner Ansicht nach nicht so toll aus! Hast zur Zeit des Scans mit irgendwelchen MAIL-Programmen (Outlook-Express, Thunderbird etc.) gearbeitet? Gruß Sunny |
So hier die File : Logfile of HijackThis v1.99.1 Scan saved at 19:08:35, on 20.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe I:\Hjjack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.osnanet.de:8080 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbuF\toolbaru.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuF\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: vb5dmspo.dll confbrw.dll brwstat.dll O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Scanne bitte zusätlich mal dein System mit eScan -> hier die Anleitung Eigentlich wäre der Fall für mich klar, es ist immer noch ein Trojaner im System welcher dritten den Zugriff ermöglicht! Zitat:
Aber ich will wissen was eScan noch alles findet, lies dich hier trotzdem schonmal langsam ein -> Neuaufsetzen des Systems Gruß Sunny |
Hab nen Scan gemacht... wurde jedoch nichts gefunden.... Also einzige Möglichkeit ist formatieren?... Kann man die Service.exe nicht einfach ersetzten durch eine von der Windows CD? Gruss LotuS |
Zitat:
Zitat:
Zitat:
Zitat:
|
Hab nochmal bissl rumexpirementiert.... services.exe pingt jetzt nix mehr an Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\User>netstat -o Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status PID TCP rose-5d38e2b4c1:1025 localhost:1051 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1025 localhost:1076 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1025 localhost:1077 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1033 localhost:18350 WARTEND 0 TCP rose-5d38e2b4c1:1051 localhost:1025 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1076 localhost:1025 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1077 localhost:1025 HERGESTELLT 1636 TCP rose-5d38e2b4c1:1134 localhost:1135 HERGESTELLT 3684 TCP rose-5d38e2b4c1:1135 localhost:1134 HERGESTELLT 3684 TCP rose-5d38e2b4c1:1142 localhost:18350 WARTEND 0 TCP rose-5d38e2b4c1:1143 localhost:18350 HERGESTELLT 3800 TCP rose-5d38e2b4c1:18350 localhost:1143 HERGESTELLT 1956 TCP rose-5d38e2b4c1:1045 205.188.7.209:https HERGESTELLT 1636 TCP rose-5d38e2b4c1:1125 195.13.63.169:8200 HERGESTELLT 2624 TCP rose-5d38e2b4c1:1141 sb.l.google.com:http HERGESTELLT 3684 TCP rose-5d38e2b4c1:1144 h942344.serverkompetenz.net:http HERGESTELLT 3684 TCP rose-5d38e2b4c1:1145 h942344.serverkompetenz.net:http HERGESTELLT 3684 TCP rose-5d38e2b4c1:1147 netzwerkleiste.gamigo.de:http WARTEND 0 TCP rose-5d38e2b4c1:1157 netzwerkleiste.gamigo.de:http WARTEND 0 TCP rose-5d38e2b4c1:1165 Google HERGESTELLT 3684 C:\Dokumente und Einstellungen\User> ist das positiv? ^^ hier noch nen check: Logfile of HijackThis v1.99.1 Scan saved at 20:35:20, on 20.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Winamp\winampa.exe C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\system32\taskmgr.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe I:\Hjjack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search Results R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.osnanet.de:8080 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbuF\toolbaru.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuF\toolbaru.dll O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Zitat:
Ohne das du was davon mitbekommst ... :teufel3: Gruß Sunny |
joa... ist jedoch nichts wichtiges hier drauf... das ist mein spiele pc... hab noch nen anderen an dem ich arbeite... hier ist höchstens das pw für wow zu knacken^^ ... denke mal solange es stabil läuft lass ich es erstmal so ty für die hilfe gruss sascha |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:19 Uhr. |
Copyright ©2000-2024, Trojaner-Board