Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Services.Exe macht Smtp Verbindungen auf und legt alles lahm. (https://www.trojaner-board.de/46835-services-exe-macht-smtp-verbindungen-legt-alles-lahm.html)

rkrueger75 10.12.2007 14:11
Services.Exe macht Smtp Verbindungen auf und legt alles lahm.
 
Hallo,

ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?
Habe dann mal mit Active Ports geguckt welches Programm da mein Internet vollpumpt und habe gesehen, das es die services.exe ist. Die remote Adressen sind dann solche teile: p3presmtp01-v01.prod.phx3.secureserver.net:smtp und noch ca. 200 andere.

Könnt ihr mir sagen, wie ich den Müll wieder weg kriege.

Hier mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:31, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Lexmark 3400 Series\lxcymon.exe
C:\Programme\Lexmark 3400 Series\ezprint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\odbcasvc.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\lxcycoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Bärbel\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [lxcymon.exe] "C:\Programme\Lexmark 3400 Series\lxcymon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 3400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6156 bytes

cosinus 11.12.2007 16:51
Hi.

Zitat:
ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?
Das klingt bei dir schon ziemlich nach Rootkit/Backdoorbefall. Hatte letztens erst hier einen ähnlichen Fall gehabt. Ein paar Schädlingseinträge sind auf jeden Fall schonmal da:

Code:
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll
Sehr fraglich, ob sich überhaupt noch eine Bereinigung lohnt. Eher nicht würde ich sagen. Mach erstmal nen Check mit Blacklight und poste das Logfile.

rkrueger75 11.12.2007 19:53
Hallo, danke für deine Antwort. Hab das mit dem Blacklight gemacht. So wie ich das sehe ist das Logfile ziemlich nichtssagend aber du kannst ja mal gucken.

HTML-Code:
12/12/07 19:50:10 [Info]: BlackLight Engine 1.0.67 initialized
12/12/07 19:50:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/12/07 19:50:10 [Note]: 7019 4
12/12/07 19:50:10 [Note]: 7005 0
12/12/07 19:50:12 [Note]: 7006 0
12/12/07 19:50:12 [Note]: 7011 1844
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:13 [Note]: FSRAW library version 1.7.1024
12/12/07 19:51:39 [Note]: 7007 0
Vielen Dank

cosinus 14.12.2007 17:25
Na, so schlimm scheints nicht zu sein. Jedenfalls wird kein Rootkit bei dir gefunden.

Führ dann jetzt mal diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131