Wahrscheinlich Trojaner?

Paulik · 10.08.2009, 12:36

Hallo,

mein Internet-Provider teilte mir mit, dass von meiner IP-Adresse aus Spam versendet worden sei und ich warscheinlich einen Trojaner habe. Antivir und Symantec-Online-Suche fanden erstmal nichts und ich war erleichtert. Zu früh gefreut: Mit CPorts habe ich gesehen, dass sich laufend verschiedene Prozesse (darunter services.exe aber auch "unknown processes") mit jeder Menge unseriösen Adressen verbinden. Das sieht dann z.B. so aus (nur ein kleiner Ausschnitt; Browser war zu diesem Zeitpunkt nicht geöffnet):

Code:

ATTFilter

Process Name 	Process ID 	Protocol 	Local Port 	Local Address 	Remote Port 	Remote Port Name 	Remote Address 	Remote Host Name 	State 
services.exe	780	TCP	2114	192.168.2.2	25	smtp	213.133.104.14	www14.your-server.de	Established
services.exe	780	TCP	2067	192.168.2.2	25	smtp	208.124.172.182	mail.skilcor.com	Established
services.exe	780	TCP	2178	192.168.2.2	25	smtp	209.85.135.114	mu-in-f114.google.com	Established
services.exe	780	TCP	2152	192.168.2.2	25	smtp	206.222.171.20	ironport01.academy.com	Close Wait
services.exe	780	TCP	2177	192.168.2.2	25	smtp	65.55.88.22	mail.global.frontbridge.com	Sent
services.exe	780	TCP	2174	192.168.2.2	25	smtp	200.199.212.34	janus.solar.com.br	Established
services.exe	780	TCP	2130	192.168.2.2	25	smtp	209.85.210.2	mail-yx0-f2.google.com	Established
services.exe	780	TCP	2128	192.168.2.2	25	smtp	64.191.223.42	p2.nsm.ctmail.com	Established
services.exe	780	TCP	2179	192.168.2.2	25	smtp	216.237.12.147	sna2.ihostsxode.net	Sent
services.exe	780	TCP	2169	192.168.2.2	25	smtp	208.65.144.3	mxl144v3.mxlogic.net	Established
services.exe	780	TCP	2081	192.168.2.2	25	smtp	208.65.144.1	mxl144v1.mxlogic.net	Established
services.exe	780	TCP	2156	192.168.2.2	25	smtp	88.39.36.4	host4-36-static.39-88-b.business.telecomitalia.it	Sent
services.exe	780	TCP	2159	192.168.2.2	25	smtp	64.18.4.10	s5a1.psmtp.com	Established
services.exe	780	TCP	2148	192.168.2.2	25	smtp	98.137.54.237	mta-v1.mail.vip.sp2.yahoo.com	Established
services.exe	780	TCP	2165	192.168.2.2	25	smtp	213.92.98.23	mail.italialavoro.it	Close Wait
services.exe	780	TCP	2131	192.168.2.2	25	smtp	195.205.116.39	mail.mikrotech.pl	Established
services.exe	780	TCP	2108	192.168.2.2	25	smtp	64.18.7.11	s8a2.psmtp.com	Established
services.exe	780	TCP	2163	192.168.2.2	25	smtp	85.17.206.9	wsspam01.livemail.nl	Sent
services.exe	780	TCP	2102	192.168.2.2	25	smtp	208.81.230.188	mail.tandemfs.org	Sent
services.exe	780	TCP	2145	192.168.2.2	25	smtp	64.18.5.14	s6b2.psmtp.com	Established
services.exe	780	TCP	2164	192.168.2.2	25	smtp	192.42.4.201	mx3.state.ms.us	Established
services.exe	780	TCP	2133	192.168.2.2	25	smtp	209.85.129.27	fk-in-f27.google.com	Established
services.exe	780	TCP	2143	192.168.2.2	25	smtp	203.30.164.72	ozhmx3.ozhosting.com	Established
services.exe	780	TCP	2175	192.168.2.2	25	smtp	168.61.70.17	 	Sent
services.exe	780	TCP	2155	192.168.2.2	25	smtp	190.7.61.205	hydra.hosting-ar.com	Established
services.exe	780	TCP	2167	192.168.2.2	25	smtp	148.226.1.9	gw3.uv.mx	Established
services.exe	780	TCP	2142	192.168.2.2	25	smtp	69.68.121.38	mn-69-68-121-38.sta.embarqhsd.net	Sent
services.exe	780	TCP	2124	192.168.2.2	25	smtp	192.5.209.6	relay4i.sun.com	Established
services.exe	780	TCP	2166	192.168.2.2	25	smtp	213.206.237.11	ns1.atlan.nl	Established
services.exe	780	TCP	2137	192.168.2.2	25	smtp	208.84.64.204	208-84-64-204.proofpoint.com	Established
services.exe	780	TCP	2140	192.168.2.2	25	smtp	64.18.4.13	s5b1.psmtp.com	Established
services.exe	780	TCP	2176	192.168.2.2	25	smtp	208.80.204.32	smtp432.redcondor.net	Established
services.exe	780	TCP	2153	192.168.2.2	25	smtp	47.234.0.38	mail2a.nortel.com	Sent
services.exe	780	TCP	2170	192.168.2.2	25	smtp	208.66.134.13	store.5ninesdata.com	Established
services.exe	780	TCP	2125	192.168.2.2	25	smtp	192.115.106.20	mx.bezeqint.net	Sent
services.exe	780	TCP	2141	192.168.2.2	25	smtp	199.34.4.25	smtp.catholichealth.net	Sent
Unknown		0	TCP	3419	192.168.2.2	80	http	85.13.137.249	dd17134.kasserver.com	Time Wait

Für Hilfe wäre ich sehr dankbar!

- CCleaner habe ich ausgeführt.

- Malwarebytes hat was gefunden, allerdings nicht im Speicher:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2590
Windows 5.1.2600 Service Pack 3

10.08.2009 12:39:03
mbam-log-2009-08-10 (12-39-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 207917
Laufzeit: 48 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\zaponce53290.dat (Worm.Koobface) -> Quarantined and deleted successfully.

Wahrscheinlich Trojaner?

Plagegeister aller Art und deren Bekämpfung: Wahrscheinlich Trojaner?

Wahrscheinlich Trojaner?

Ähnliche Themen: Wahrscheinlich Trojaner?