Habe alles mögliche versucht (adaware,spybot,bitdefender,trendmicro.de online scan, und etrust antivirus findet sowieso nie was),

Verhalten weiterhin folgendes:
established eine connection nach 209.160.72.19 über Port 5000.

Bitte an die Experten um sachdienliche Hinweise!
Danke!!!!!

Logfile of HijackThis v1.99.1
Scan saved at 19:48:57, on 26.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\CA_LIC\LogWatNT.exe
C:\Notes\ntmulti.exe
C:\TNG\RCO\RCManClient.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Enabler\server\bin\OMSShutd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
D:\Eigene Dateien\Package\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Proxy-01.sozvers.at:8181
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 12.110.103.83,*.sozvers.at,www.sozialversicherung.at,www.svb.at,www.ooegkk.info,www.noegkk.at;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,"D:\Enabler\server\bin\OMSShutd.exe"
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O17 - HKLM\Software\..\Telephony: DomainName = at.emea.csc.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EMEA.GLOBALCSC.NET
O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O23 - Service: Asset Management Agent (AmoAgent) - Computer Associates International, Inc. - C:\WINDOWS\UMCSTUB.EXE
O23 - Service: Apache - Unknown owner - D:\Program Files\Component Factory\SELECT Shared\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\CA_LIC\LogWatNT.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Notes\ntmulti.exe
O23 - Service: RCManClient - Computer Associates International, Inc. - C:\TNG\RCO\RCManClient.exe
O23 - Service: Unicenter TNG RCO (RCOService) - Computer Associates International, Inc. - C:\TNG\RCO\RCOService.exe
O23 - Service: Softlab FAS (SoftlabEnabFAS) - Softlab - D:\Enabler\server\bin\fas_server.exe
O23 - Service: Softlab Enabler (SoftlabEnabler) - Softlab - D:\Enabler\server\bin\OMSServd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Tomcat - Unknown owner - D:\Program Files\Component Factory\Select Enterprise\Exe\Jre\1.3\bin\Server\jk_nt_service.exe (file missing)

Zitat:

C:\WINDOWS\system\smss.exe
D:\Ena bler\server\bin\OMSShutd.exe

Diese Dateien kommen mir nicht ganz koscher vor, lass die mal bei Jotti (oder Virustotal wenn Jotti auslastet ist) auswerten und poste die Ergebnisse.

Zudem ist Dein Windows ungepatcht!! Zumindest das SP2 fehlt!

Hallo,

Du hast diesen auf dem Rechner, gestatte mir weiterhin die Frage, wie dieser PC genutzt wird.
Für Dich heißt es das System neu Aufzusetzen, Anleitung in meiner Signaur.

Gruß

Schrulli

@Schrulli:
Sowas ähnliches hatte ich mir gedacht, wollte aber quasi den "Beweis" einer Hintertür. Den Link zu Sophos hatte ich aus unerklärlichen Gründen nich gefunden

Hallo Leute,

danke für die Info!

omsshutd.exe war sauber.
Für smss.exe hab ich bei Jotti tatsächlich was gefunden - allerdings 6 verschiedene Ergebnisse (???)

Datei: smss.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: NSPACK

AntiVir Worm/Caimbot gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus W32/Methodbod.A@dr - Packed gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.aj gefunden
NOD32 probably a variant of Win32/Agent.TV gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Malware.Agent.52 (paranoid heuristics) gefunden (mögliche Variante)

Hi Gerhard,

wie Schrulli bereits schrieb, hast Du einen Trojaner mit Backdoorfunktionalität auf Deinem Rechner. Einem normalen Nutzer wird ein Neuaufsetzen des Systems empfohlen. Dein System macht den Eindruck eines Produktivsystems was die Sache nicht besser macht.
Betreut ein Administrator Dein System (was ich mir nicht vorstellen kann - SP1 ) dann kontaktiere ihn schnellstens und berichte ihm von dem Fund (siehe Link von Schrulli). Bist Du selbst für die Sicherheit des Rechners verantwortlich, setze das System neu auf und bemühe Dich um ausreichend Lektüre zum Thema Computersicherheit.