|
Plagegeister aller Art und deren Bekämpfung: Glaub hab 'n Zombie-PcWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.10.2007, 20:05 | #1 |
| Glaub hab 'n Zombie-Pc Hallo, ich glaube ich habe mir einen Trojaner, oder so eingefangen. Kasperspy findet nichts, aber ich glaube der Pc, wird als klassischer "Zombie" Pc benutzt. Ich vermute, dass es entweder ein gefakter Systemprozess ist, oder ein infizierter. Ich bin irgendwie auf die svchost fixiert Noch zu erwähnen, ich habe einen svchost Prozess beendet, falls dieser nicht aufgelistet sein sollte. Normalerweise habe ich 5 svchost im Prozess. ------------------------------------------------------------ Habe mir grade noch die Dienste unter Verwaltung (Windows xp home) angeschaut, dort sind auch noch einige Ungereihmtheiten. ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## ##Id_String2.6844F930_1628_4223_B5CC_5BB94B879762## C:\Programme\Bonjour\mDNSResponder.exe ---------------------------------------------- MSSQL$PROVIDUSSTD C:\Programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe -sPROVIDUSSTD --------------------------------------- SurfStats Scheduler Ver 8.4.0.0 C:\Programme\Surfstats8400\SurfServ8400.exe Ich schicke auffällig viele Packete hin und her.(Empfangen/Senden) Auch wenn ich mit dem Browser nicht im Internet bin. Bin mir nicht sicher, aber ich glaube meine svchost ist befallen. Ist es normal, dass man 5 Stück hat? Einmal die Logfile Auswertung, da sind einige Ungklarheiten. Wäre um Hilfe dankbar. Habe schonmal versucht einige Prozesse zu fixen, aber die sind nach dem Neustart immer noch als aktiv in hijack markiert. Wäre dankbar für Lösungvorschläge. Ich habe euch noch unterhalb des Berichtes die TCPView Auflistung eingefügt, iich kann damit nix anfangen, aber vielleicht ihr. Logfile of HijackThis v1.99.1 Scan saved at 20:51:21, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\ax\Desktop\TcpView\Tcpview.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\ax\Desktop\hijackthis_199\HijackThis.exe O1 - Hosts: 72.167.37.76 Update.nprotect.com O1 - Hosts: 72.167.37.76 update.nprotect.net O1 - Hosts: 72.167.37.76 guard.gunbound.net O1 - Hosts: 72.167.37.76 Update.nprotect.com O1 - Hosts: 72.167.37.76 update.nprotect.net O1 - Hosts: 72.167.37.76 guard.gunbound.net O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [MarketerSOSoftwareUpdate] C:\WINDOWS\system32\MarketerSOSoftwareUpdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{598072DC-D882-4F2A-BEE9-FB6D05DC946A}: NameServer = 213.191.92.87 213.191.74.19 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\Kaspersky Internet Security 7.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing) O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: SurfStats Scheduler Ver 8.4.0.0 (SurfServer8400) - Unknown owner - C:\Programme\Surfstats8400\SurfServ8400.exe (file missing) O23 - Service: Trackback Poster (TS Poster) - GungHo Technologies LLC - C:\Programme\Trackback Spider\Poster Service.exe TCPView: [System Process]:0 TCP smb:epmap e176136212.adsl.alicedsl.de:4852 TIME_WAIT [System Process]:0 TCP smb:epmap e176175243.adsl.alicedsl.de:4560 TIME_WAIT [System Process]:0 TCP smb:epmap e176133023.adsl.alicedsl.de:3665 TIME_WAIT [System Process]:0 TCP smb:1229 fg-in-f147.google.com:http TIME_WAIT [System Process]:0 TCP smb:epmap e176241030.adsl.alicedsl.de:4015 TIME_WAIT [System Process]:0 TCP smb:epmap e176003216.adsl.alicedsl.de:1487 TIME_WAIT alg.exe:1280 TCP smb:1026 smb:0 LISTENING firefox.exe:1760 TCP smb:1191 localhost:1192 ESTABLISHED firefox.exe:1760 TCP smb:1189 localhost:1190 ESTABLISHED firefox.exe:1760 TCP smb:1190 localhost:1189 ESTABLISHED firefox.exe:1760 TCP smb:1192 localhost:1191 ESTABLISHED firefox.exe:1760 TCP smb:1273 mu-in-f147.google.com:http ESTABLISHED svchost.exe:1732 TCP smb:epmap smb:0 LISTENING svchost.exe:1832 UDP smb:1035 *:* svchost.exe:1832 UDP smb:1039 *:* svchost.exe:1832 UDP smb:1032 *:* svchost.exe:1832 UDP smb:1036 *:* svchost.exe:1832 UDP smb:1033 *:* svchost.exe:1832 UDP smb:1037 *:* svchost.exe:1832 UDP smb:1034 *:* svchost.exe:1832 UDP smb:1038 *:* System:4 TCP smb:microsoft-ds smb:0 LISTENING System:4 TCP smb:netbios-ssn smb:0 LISTENING System:4 UDP smb:netbios-ns *:* System:4 UDP smb:netbios-dgm *:* System:4 UDP smb:microsoft-ds *:* System:4 TCP smb:microsoft-ds e176083123.adsl.alicedsl.de:3705 ESTABLISHED System:4 TCP smb:microsoft-ds e176003216.adsl.alicedsl.de:1563 ESTABLISHED Geändert von robinhoden (23.10.2007 um 20:17 Uhr) |
23.10.2007, 21:27 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Glaub hab 'n Zombie-Pc Hallo.
__________________Du hast schonmal jedenfalls sehr fragwürdige hosts-Einträge: Code:
ATTFilter O1 - Hosts: 72.167.37.76 Update.nprotect.com O1 - Hosts: 72.167.37.76 update.nprotect.net O1 - Hosts: 72.167.37.76 guard.gunbound.net O1 - Hosts: 72.167.37.76 Update.nprotect.com O1 - Hosts: 72.167.37.76 update.nprotect.net O1 - Hosts: 72.167.37.76 guard.gunbound.net Code:
ATTFilter C:\WINDOWS\system32\MarketerSOSoftwareUpdate.exe C:\Programme\Surfstats8400\SurfServ8400.exe C:\Programme\Trackback Spider\Poster Service.exe
__________________ |
Themen zu Glaub hab 'n Zombie-Pc |
appinit_dlls, avp, avp.exe, bonjour, browser, computer, ctfmon.exe, desktop, einstellungen, firefox, hijack, hijackthis, home, internet, internet explorer, internet security, kaspersky, logfile, logfile auswertung, mozilla, mozilla firefox, nicht sicher, prozesse, security, server, svchost, systemprozess, trojaner, unknown file in winsock lsp, windows, windows xp |