Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Glaub hab 'n Zombie-Pc

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.10.2007, 20:05   #1
robinhoden
 
Glaub hab 'n Zombie-Pc - Standard

Glaub hab 'n Zombie-Pc



Hallo, ich glaube ich habe mir einen Trojaner, oder so eingefangen.

Kasperspy findet nichts, aber ich glaube der Pc, wird als klassischer "Zombie" Pc benutzt.

Ich vermute, dass es entweder ein gefakter Systemprozess ist, oder ein infizierter. Ich bin irgendwie auf die svchost fixiert

Noch zu erwähnen, ich habe einen svchost Prozess beendet, falls dieser nicht aufgelistet sein sollte.

Normalerweise habe ich 5 svchost im Prozess.

------------------------------------------------------------
Habe mir grade noch die Dienste unter Verwaltung (Windows xp home) angeschaut, dort sind auch noch einige Ungereihmtheiten.

##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##

##Id_String2.6844F930_1628_4223_B5CC_5BB94B879762##

C:\Programme\Bonjour\mDNSResponder.exe
----------------------------------------------
MSSQL$PROVIDUSSTD

C:\Programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe -sPROVIDUSSTD
---------------------------------------
SurfStats Scheduler Ver 8.4.0.0

C:\Programme\Surfstats8400\SurfServ8400.exe


Ich schicke auffällig viele Packete hin und her.(Empfangen/Senden) Auch wenn ich mit dem Browser nicht im Internet bin.

Bin mir nicht sicher, aber ich glaube meine svchost ist befallen. Ist es normal, dass man 5 Stück hat?

Einmal die Logfile Auswertung, da sind einige Ungklarheiten. Wäre um Hilfe dankbar.


Habe schonmal versucht einige Prozesse zu fixen, aber die sind nach dem Neustart immer noch als aktiv in hijack markiert.

Wäre dankbar für Lösungvorschläge.


Ich habe euch noch unterhalb des Berichtes die TCPView Auflistung eingefügt, iich kann damit nix anfangen, aber vielleicht ihr.

Logfile of HijackThis v1.99.1
Scan saved at 20:51:21, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\ax\Desktop\TcpView\Tcpview.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ax\Desktop\hijackthis_199\HijackThis.exe

O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MarketerSOSoftwareUpdate] C:\WINDOWS\system32\MarketerSOSoftwareUpdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{598072DC-D882-4F2A-BEE9-FB6D05DC946A}: NameServer = 213.191.92.87 213.191.74.19
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\Kaspersky Internet Security 7.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SurfStats Scheduler Ver 8.4.0.0 (SurfServer8400) - Unknown owner - C:\Programme\Surfstats8400\SurfServ8400.exe (file missing)
O23 - Service: Trackback Poster (TS Poster) - GungHo Technologies LLC - C:\Programme\Trackback Spider\Poster Service.exe



TCPView:

[System Process]:0 TCP smb:epmap e176136212.adsl.alicedsl.de:4852 TIME_WAIT
[System Process]:0 TCP smb:epmap e176175243.adsl.alicedsl.de:4560 TIME_WAIT
[System Process]:0 TCP smb:epmap e176133023.adsl.alicedsl.de:3665 TIME_WAIT
[System Process]:0 TCP smb:1229 fg-in-f147.google.com:http TIME_WAIT
[System Process]:0 TCP smb:epmap e176241030.adsl.alicedsl.de:4015 TIME_WAIT
[System Process]:0 TCP smb:epmap e176003216.adsl.alicedsl.de:1487 TIME_WAIT
alg.exe:1280 TCP smb:1026 smb:0 LISTENING
firefox.exe:1760 TCP smb:1191 localhost:1192 ESTABLISHED
firefox.exe:1760 TCP smb:1189 localhost:1190 ESTABLISHED
firefox.exe:1760 TCP smb:1190 localhost:1189 ESTABLISHED
firefox.exe:1760 TCP smb:1192 localhost:1191 ESTABLISHED
firefox.exe:1760 TCP smb:1273 mu-in-f147.google.com:http ESTABLISHED
svchost.exe:1732 TCP smb:epmap smb:0 LISTENING
svchost.exe:1832 UDP smb:1035 *:*
svchost.exe:1832 UDP smb:1039 *:*
svchost.exe:1832 UDP smb:1032 *:*
svchost.exe:1832 UDP smb:1036 *:*
svchost.exe:1832 UDP smb:1033 *:*
svchost.exe:1832 UDP smb:1037 *:*
svchost.exe:1832 UDP smb:1034 *:*
svchost.exe:1832 UDP smb:1038 *:*
System:4 TCP smb:microsoft-ds smb:0 LISTENING
System:4 TCP smb:netbios-ssn smb:0 LISTENING
System:4 UDP smb:netbios-ns *:*
System:4 UDP smb:netbios-dgm *:*
System:4 UDP smb:microsoft-ds *:*
System:4 TCP smb:microsoft-ds e176083123.adsl.alicedsl.de:3705 ESTABLISHED
System:4 TCP smb:microsoft-ds e176003216.adsl.alicedsl.de:1563 ESTABLISHED

Geändert von robinhoden (23.10.2007 um 20:17 Uhr)

Alt 23.10.2007, 21:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Glaub hab 'n Zombie-Pc - Standard

Glaub hab 'n Zombie-Pc



Hallo.

Du hast schonmal jedenfalls sehr fragwürdige hosts-Einträge:
Code:
ATTFilter
O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
         
Werte sicherheitshalber mal diese Dateien:

Code:
ATTFilter
C:\WINDOWS\system32\MarketerSOSoftwareUpdate.exe
C:\Programme\Surfstats8400\SurfServ8400.exe
C:\Programme\Trackback Spider\Poster Service.exe
         
bei Virustotal aus und poste sämtliche Ergebnisse. Dann sehen wir weiter.
__________________

__________________

Antwort

Themen zu Glaub hab 'n Zombie-Pc
appinit_dlls, avp, avp.exe, bonjour, browser, computer, ctfmon.exe, desktop, einstellungen, firefox, hijack, hijackthis, home, internet, internet explorer, internet security, kaspersky, logfile, logfile auswertung, mozilla, mozilla firefox, nicht sicher, prozesse, security, server, svchost, systemprozess, trojaner, unknown file in winsock lsp, windows, windows xp




Ähnliche Themen: Glaub hab 'n Zombie-Pc


  1. Zombie news
    Plagegeister aller Art und deren Bekämpfung - 23.03.2015 (7)
  2. Windows7 und Zombie Invasion
    Plagegeister aller Art und deren Bekämpfung - 02.03.2015 (15)
  3. Zombie News
    Plagegeister aller Art und deren Bekämpfung - 17.02.2015 (8)
  4. Zombie Invasion eingefangen
    Plagegeister aller Art und deren Bekämpfung - 30.01.2015 (26)
  5. Zombie Alert entfernen
    Anleitungen, FAQs & Links - 21.03.2014 (2)
  6. Ist der PC ein Zombie // Urheber ermitteln
    Plagegeister aller Art und deren Bekämpfung - 21.06.2013 (1)
  7. Malware die meinen PC zum Zombie machte
    Log-Analyse und Auswertung - 05.01.2012 (6)
  8. Botnetz zombie ?
    Plagegeister aller Art und deren Bekämpfung - 15.12.2011 (35)
  9. Bin ich ein Zombie in einem Botnet?
    Log-Analyse und Auswertung - 25.02.2011 (8)
  10. Habe ich einen Zombie-PC?
    Log-Analyse und Auswertung - 02.12.2010 (5)
  11. Das Zombie-Cookie
    Nachrichten - 23.09.2010 (0)
  12. Twitter und der XSS-Zombie
    Nachrichten - 22.09.2010 (0)
  13. Verdacht auf Botnet/Zombie PC
    Log-Analyse und Auswertung - 07.08.2010 (9)
  14. Zombie Rechner ?
    Mülltonne - 31.12.2008 (0)
  15. zombie?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2008 (1)
  16. Zombie in der Domain?
    Überwachung, Datenschutz und Spam - 16.05.2007 (2)
  17. glaub ich hab nen nen problem - glaub worm/VB.DZ.1.....
    Log-Analyse und Auswertung - 20.04.2006 (2)

Zum Thema Glaub hab 'n Zombie-Pc - Hallo, ich glaube ich habe mir einen Trojaner, oder so eingefangen. Kasperspy findet nichts, aber ich glaube der Pc, wird als klassischer "Zombie" Pc benutzt. Ich vermute, dass es entweder - Glaub hab 'n Zombie-Pc...
Archiv
Du betrachtest: Glaub hab 'n Zombie-Pc auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.