Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit/Trojaner on board?

Rootkit/Trojaner on board?


Log-Analyse und Auswertung: Rootkit/Trojaner on board?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 25.08.2007, 21:29   #1
Injection
 
Rootkit/Trojaner on board? - Standard

Rootkit/Trojaner on board?


Hallo zusammen,

ich möchte euch gern mal mein Log-File posten.

Mein Rechner scheint ständig irgendetwas zu empfangen wenn ich dem glaube was Zonelabs anzeigt. Das Lämpchen bei eingehemden Traffic blinkt permanent.
Bei den Prozessen die oben rechts anzeigen welches Programm aufs Netz zugreift od. so ähnlich handelt es sich um:

*Generic Host
*ICQ Libary: Anschlusserkennung an folgenden Ports gesperrt: TCP ***
*Generic Host
*Firefox: Anschlusserkennung an folgenden Ports gesperrt: TCP ***, TCP ***

Stutzig macht mich auch, dass seit heute der Prozess smss.exe gestartet ist. Das war sonst nie der Fall.

Trotz installiertem Antivir bekomme ich im Sicherheitscenter die Meldung " ANTIVIR HAT GEMELDET DASS ES DEAKTIVIERT IST..... "

Beim Starten von DCOMCONFIG hat zonealarm gemeldet, dass dllhost.exe verbindung zu ip ***.***.***.** aufnehmen wollte. Das ist doch auch nicht normal, oder!?
Das Log-File von Zonelabs weist unmengen an einträgen wie

ACCESS,2007/08/24,21:22:06 +2:00 GMT,FlashGet wurde blockiert von eine Verbindung akzeptiert von, das Internet (**.***.**.***:MTP).,N/A,N/A

ACCESS,2007/08/24,21:22:06 +2:00 GMT,FlashGet wurde blockiert von eine Verbindung akzeptiert von, das Internet (**.***.***.***:Port 3004).,N/A,N/A

FWOUT,2007/08/24,21:27:18 +2:00 GMT,192.***.**.***:4664,192.***.**.***:53,UDP

Wo bei der FWOUT eintrag nur einmal drin steht und es sich bei der ip um meine handelt.

Beim Ausführen von netstat erhalte ich einige einträge die wie folgt aussehen. Da stimmt doch irgendwas nicht oder?!

UDP 0.0.0.0:1026 *:* 768
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
-- unbekannte Komponente(n) -- Da wird doch etwas versteckt?!
[svchost.exe]

UDP 0.0.0.0:1047 *:* 768
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

Vor ein paar Tagen hat Antivir beim Scannen die Viren :
*Virus JAVA/RedBrowser.A.2
*Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.PL.1
Die Dateien wurden gelöscht.

Hier jetzt mein Log-File

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 21:03:03, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\digi96.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\JackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RMETray] digi96.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\DOKUME~1\TEIBER~1\LOKALE~1\Temp\E_S1CF.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D0FEE89-3756-4F61-B0FB-BB259619F71D}: NameServer = 192.2*.***.**
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D0FEE89-3756-4F61-B0FB-BB259619F71D}: NameServer = 192.2*.***.**
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Es wäre nett von euch wenn ihr mir helfen könntet.
Geändert von Injection (25.08.2007 um 21:39 Uhr)

 

Themen zu Rootkit/Trojaner on board?
antivir, avira, bho, blinkt, blockiert, dllhost.exe, drivers, firefox, handel, helfen, hijack, hijackthis, internet, internet explorer, monitor, mozilla, mozilla firefox, netstat, programm, prozesse, scan, software, solution, starten, svchost.exe, system, tcp, träge, viren, virus, windows, windows xp


« Hijackthis Log auswerten, tastatur geht ncht mehr, wegen würmern | Log's lesen und deuten »


Ähnliche Themen: Rootkit/Trojaner on board?


  1. Erfolgreich vom Trojaner befreit - Vielen Dank Cosinus & Trojaner Board
    Lob, Kritik und Wünsche - 14.09.2013 (1)
  2. Erfolgreich vom Trojaner befreit - Vielen Dank Cosinus & Trojaner Board
    Lob, Kritik und Wünsche - 10.09.2013 (0)
  3. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  4. Trojaner an Board
    Log-Analyse und Auswertung - 27.12.2011 (3)
  5. Trojaner an Board!?
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (1)
  6. Trojaner an Board ?
    Plagegeister aller Art und deren Bekämpfung - 19.05.2011 (24)
  7. h**p://trojaner-board.de.
    Log-Analyse und Auswertung - 27.02.2011 (1)
  8. habe glaub ich üblen Trojaner, kann nicht auf Trojaner board, malbytes Seiten
    Plagegeister aller Art und deren Bekämpfung - 29.06.2009 (2)
  9. Trojaner an Board?
    Log-Analyse und Auswertung - 07.05.2009 (1)
  10. Trojaner an Board.
    Log-Analyse und Auswertung - 07.12.2008 (3)
  11. Zurück Trojaner-Board > Sicherheit - Trojaner-Info.de Forum > Plagegeister aller
    Mülltonne - 11.09.2008 (1)
  12. Trojaner an Board!? !!SOS!!
    Plagegeister aller Art und deren Bekämpfung - 04.08.2007 (3)
  13. Trojaner an Board!!
    Plagegeister aller Art und deren Bekämpfung - 17.12.2006 (2)
  14. Trojaner an Board
    Plagegeister aller Art und deren Bekämpfung - 07.07.2006 (24)
  15. h**p://trojaner-board.de.
    Log-Analyse und Auswertung - 12.09.2005 (5)
  16. Trojaner on Board
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (14)
  17. Trojaner-Board
    Lob, Kritik und Wünsche - 07.08.2004 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit/Trojaner on board? - Hallo zusammen, ich möchte euch gern mal mein Log-File posten. Mein Rechner scheint ständig irgendetwas zu empfangen wenn ich dem glaube was Zonelabs anzeigt. Das Lämpchen bei eingehemden Traffic blinkt - Rootkit/Trojaner on board?...
Archiv
Du betrachtest: Rootkit/Trojaner on board? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19