| |
| |||||||
Log-Analyse und Auswertung: Wo ist der TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
31.07.2004, 10:26
| #1 |
| |  Wo ist der Trojaner Problem: svchost.exe (RPC-Dienst) ab Systhemstart Auslatung auf 100% Prozeß killen möglich, da herunterfahren des PC deaktiert, aber der Dienst startet immer wieder. Vierenscanner McAfee nichts gefunden, Firewall Outpost nichts ..... diverse Tools Cleaner XP-SP1 Hotfixe, adaware spybot .... nichts. Neue Firewall. Zonealarm 100% Auslastung zwischen lsass.exe und der Firewall vsmon.exe. Wenn Firewall deaktiviert Pc Auslatung (lsass) geht runter ., doch nach einniger Zeit svchost wieder hoch. Mit Panda Firewall das selbe. Panda Virenscanner meldete: Mydoom.A Auric Remove Tool: Win32Auric.A@mm TC Monitor: 2 Skribte Regestry nach jedem Neustart verseucht ..........obj[0]=Reg.Daten : scrfile\shell\open\command......... jedes Tool und Virusdatei ist Aktuell! Lösung: Format/C, aber ich hab Ergeiz ihn vorher zu finden Kann mir jemand helfen??????? Logfile of HijackThis v1.98.0 Scan saved at 12:35:43, on 31.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) DA ist doch NIX! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\BMServ.exe C:\Programme\Diskeeper\DkService.exe C:\WINDOWS\System32\BMApp.exe C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\System32\atiptaxx.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\DockApp.exe C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\Acer\Acer Wireless PCMCIA\RtlWake.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\ntvdm.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\Würmer-Cleaner\hijackthis_198\HijackThis.exe C:\WINDOWS\System32\NotePad.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [BayMgr] DockApp.exe O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Ad-aware 6\Ad-aware.exe +c O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot\SpybotSD.exe" /autofix O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acer Wake.lnk = ? O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll Geändert von peterchen (31.07.2004 um 11:36 Uhr) |
|
31.07.2004, 12:55
| #2 |
| Gast | Wo ist der Trojaner C:\WINDOWS\System32\BMServ.exe
__________________C:\WINDOWS\System32\BMApp.exe Weisst du wozu diese Dateien gehören? Evtl. mal überprüfen: http://www.kaspersky.com/de/scanforvirus Dies kann raus: O4 - Global Startup: Acer Wake.lnk = ? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe Ansonsten sieht man aber nix verdächtiges. |
|
31.07.2004, 17:02
| #3 |
| | Wo ist der Trojaner Schade nichts verdächtiges ...........
__________________BMServ.exe und BMApp.exe sind vom BPM Studio (Audio Player) Port Scan hat ergeben ........ Port 5000 ist offen. Krieg ihn aber einfach nicht zu, weder mit Zone Alarm noch mit Sygate! beide Firewalls nun paralell. "Brauch mal ne Anleitung für Doofe" Kann mir einer sagen wie ......... mach ich den Sack zu! DANKe, oder muß ich nun das Forum wechseln Ps.: 208.185.174.52 svchost listen Lokel Port ..... ist da der "Stinker"? kann die seite mal jemand prüfen Geändert von peterchen (31.07.2004 um 17:09 Uhr) |
|
| Themen zu Wo ist der Trojaner |
| .exe, ?????, ad-aware, adobe, antivirus, auslastung, besitzer, bho, desktop, einstellungen, explorer, firefox, firewall deaktiviert, helfen, herunterfahren, hijack, hijackthis, home, http://www.google.com, internet, internet explorer, monitor, mozilla, mozilla firefox, problem, rpc-dienst, scan, software, svchost.exe, system, trojane, trojaner, windows, windows xp |
Linear-Darstellung
