|
Prozess "SYSTEM" als Trojaner? Hallo Leute, seit gestern meldet meine Firewall, dass ein Prozess mit Namen "System" nach draußen funken will. Dabei gibt es bis zu 60 Versuche in zwei Minuten, immer von Port ca. 1600 - 2500 an ganz verschiedene Remote-IPs. Es nervt! Unten seht Ihr das Bild einer Meldung. Firewall ist von Filseclab. Was ist das, und was kann ich dagegen tun? Danke! http://www.b-f-r.com/div/firewall.JPG |
Servus! Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! stupormundi |
Hallo, ist zufällig Versatel dein Provider? Grüße Wildone |
Zitat:
Hallo Wildone, wir nutzen ein Gemeinschaftsnetz, den Provider weiss ich nicht - Versatel kann aber gut sein. Werde mal nachfrgen und eine andere Netzwerkumgebung ausprobieren. Zitat:
Hallo stupormundi, hier die HJT-File. Gruß und Dank! Logfile of HijackThis v1.99.1 Scan saved at 12:12:10, on 15.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Filseclab Firewall\xfilter\xfilter.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\DeskLook\DeskLook.exe C:\Programme\Eumex 504PC USB\Capictrl.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\PerfectDisk\PDSched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Opera\Opera.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Oleco\_oleco.exe E:\Installation\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [XFILTER] "C:\Programme\Filseclab Firewall\xfilter\xfilter.exe" -a O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [avgnt] "C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [DeskLook] C:\Programme\DeskLook\DeskLook.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B90CA6-9EEB-465D-B741-614FBC30F763}: NameServer = 213.20.148.143 193.189.244.205 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDSched.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
Servus wieder! Bis auf ein bisschen Adware und ein nicht aktuelles System (SP2 fehlt-->nachholen) kann ich in diesem Log mal nichts entdecken. Versuche mal, den "system"-Prozess (system.exe -->wo genau) bei Jotti und/oder virustotal unter die Lupe nehmen zu lassen. Poste das/die Ergenbisse. Falls Du die Prozessdatei nicht gleich findest, schau' Dir mal die in meiner Signatur verlinkte Anleitung zum Auffinden von Dateien an. stupormundi |
Hallo, da scheint etwas fieses auf deinem System zu sein. Lade mal die Datei hier hoch und poste das Ergebnis. Und mache mal im Moment auf keinen Fall Onlinebanking oder Ebay... Edit @stupormundi Na so harmlos scheint mir die "Adware" nicht zu sein, lies dir mal die Beaschreibung genauer durch Edit2 Ist wohl doch nicht so dramatisch, habe da etwas beim lesen in den falschen Hals bekommen Grüße Wildone |
@ wildone: Zitat:
Du hast schon recht, unterschätzen darf man wohl gar nichts ... Aber im Vergleich zu möglichen anderen bösen Backdoors und rootkits erscheint es mir doch eher harmlos bis denn, stupormundi :party: ~~Edit~~ Hallo, wildone: Du editierst ja schneller als die Polizei erlaubt ... Sonst aber full ack und gruß :party: ~~/edit~~ |
Hallo, bin ja schon mit Edit2 zurückgerudert. Bin mir nicht ganz sicher ob eine System.exe hier überhaupt vorliegt. Der von der Firewall festgestellte Verbindungsversuch könnte aber von der Adware stammen: Zitat:
Grüße Wildone |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
wo ist denn dieser Prozess? Ich habe die Anleitung gelesen, aber so eine Datei gibt es nicht, nur system32\system.drv. Angehängt die Information zum Prozess. Wenn man versucht, ihn zu beenden, dann fährt Windows runter. Etwas verwirrend... |
Servus wieder! Wie schon wildone vermutet, gibt es so eine "system.exe" wahrscheinlich gar nicht! Der von Dir zitierte Treiber (*.drv) gehört zum System - daher fährt Win beim beenden runter! Dennoch - schauen wir mal genauer. Lass daher mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:43 Uhr. |
Copyright ©2000-2024, Trojaner-Board