Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojaner und würmer (https://www.trojaner-board.de/19454-trojaner-wuermer.html)

sladarae 01.07.2005 21:17
trojaner und würmer
 
hiho alle

seit ca. 1 woche plage ich mich mit trojanern und würmern rum die massenweise auch *.exe dateien erstellen, die permanent senden auf voller leistung.

namen z.B. :

internat.exe
spool... .exe
networksystem.exe
smsrv.exe
assassin.exe
yujixit.exe

arbeite mit Antivir, Sygatefirewall, mittlerweile auch mit hiJackThis und Killbox.

aber jedesmal wenn ich denke ... puhhh ... geschafft ( datenfluss gleich null wenn nichts am laufen ist ) dauerts max. eine stunde und es finden sich wieder welche *.exe dateien drauf.

ich weiss langsam nimmer weiter. bin für jede Hilfe dankbar :)

Gruss Pieter aus Berlin

chaosman 01.07.2005 21:28
@sladarae
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

sladarae 01.07.2005 21:36
Logfile of HijackThis v1.99.1
Scan saved at 22:35:51, on 01.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\poi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 c:\WINDOWS\SYSTEM\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5841B81-489E-45CB-8F0E-784FE40ECAA3}: NameServer = 195.50.140.250 145.253.2.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB87F0A3-C0D8-405A-9A1F-6F43DD914C66}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

gruss Sladarae

Cidre 01.07.2005 21:43
Hallo,

wenn ich mich auf diesen Thread beziehe, dann hast du aktive Bots auf deinem System. Diese verfügen, wie du bereits anhand des Traffics festgestellt hast, über Backdoor-Funktionalität, die Dritten einen Vollzugriff auf dein System gewähren.

Einzige und sichere Lösung deines Problems ist ein Neuaufsetzen deines Systems, da dies nicht mehr vertrauenswürdig ist, siehe meine Signatur.

chaosman 01.07.2005 21:46
@sladarae
wenn diesen Prozess auf dem rechner war smsrv.exe , dann war dieser im system
http://www.sophos.com/virusinfo/anal...2agobotsx.html

mache bitte was Cidre gepostet hat
sry
chaosman

sladarae 02.07.2005 08:41
dange dir trotzdem , werd dann mal mein sys neu aufsetzen .... :)

Sladarae


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19