Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   zu hohe System Process aktivität (https://www.trojaner-board.de/49021-hohe-system-process-aktivitaet.html)

polonese 02.02.2008 21:50
zu hohe System Process aktivität
 
Hi,

wie es auch nicht anders sein sollte liege ich der Vermutung nahe das ich mir irgendwas auf mein System geholt habe was da nichts zu suchen hat. Habe mir von der Seite hier (EDIT: Link zu schädlicher Seite entfernt. schneipi) das dort offensichtliche runter geladen. Seit dem hab ich des öfteren von Antivir Meldungen bekommen das ein Trojanische Pferd gefunden wurde. Hab dann auf Löschen geklickt und anschliessend erstmal nen system scan gemacht, worauf er auch 30 Funde hatte. :balla:
Ausserdem zeigt mir seitdem TCPView auch eine sehr hohe AKtivität von [System Process]:0 und services.exe an. Hab schon im Netz gesucht und auch schon HijackThis laufen lassen und auf der homepage ausgewertet. Daraufhin habe ich die dinge gefixt die mir als schädlich angezeigt wurden. Hab trotzdem noch die hohe Aktivität von den beiden processen.
Hoffe ihr könnt mir weiter helfen.

Hier das Logfile und im Anhang das von TCPView:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

KarlKarl 03.02.2008 02:16
Herzlichen Glückwunsch!

Mit einem entschiedenen Doppelklick hast Du all das hier auf deinem System isntalliert:
Code:
Datei keygen.exe empfangen 2008.02.03 02:01:47 (CET)
Antivirus  Version letzte aktualisierung  Ergebnis
AhnLab-V3  2008.2.3.10 2008.02.02  Win-Trojan/Agent.4649
AntiVir 7.6.0.61    2008.02.01  TR/Dldr.Small.DDT.2
Authentium  4.93.8  2008.02.01  -
Avast  4.7.1098.0  2008.02.02  -
AVG 7.5.0.516  2008.02.02  Downloader.Generic6.AFBL
BitDefender 7.2 2008.02.03  BehavesLike:Win32.AV-Killer
CAT-QuickHeal  9.00    2008.02.01  TrojanDownloader.Agent.htu
ClamAV  0.92    2008.02.03  -
DrWeb  4.44.0.09170    2008.02.02  Trojan.DownLoader.45018
eSafe  7.0.15.0    2008.01.28  suspicious Trojan/Worm
eTrust-Vet  31.3.5504  2008.02.01  Win32/Harnig!generic
Ewido  4.0 2008.02.02  Downloader.Agent.htu
FileAdvisor 1  2008.02.03  -
Fortinet    3.14.0.0    2008.02.02  -
F-Prot  4.4.2.54    2008.02.02  W32/new-malware!Maximus
F-Secure    6.70.13260.0    2008.02.01  W32/DLoader.FJQV
Ikarus  T3.1.1.20  2008.02.03  BehavesLikeWin32.AV-Killer
Kaspersky  7.0.0.125  2008.02.03  Trojan-Downloader.Win32.Agent.htu
McAfee  5221    2008.02.01  Downloader-BDH
Microsoft  1.3204  2008.02.03  Backdoor:Win32/Small
NOD32v2 2845    2008.02.02  a variant of Win32/TrojanDownloader.Small.NRS
Norman  5.80.02 2008.02.01  W32/DLoader.FJQV
Panda  9.0.0.4 2008.02.02  Trj/Downloader.SHE
Prevx1  V2  2008.02.03  Heuristic: Suspicious File With Bad Child Associations
Rising  20.29.22.00 2008.01.30  -
Sophos  4.26.0  2008.02.02  Mal/Packer
Sunbelt 2.2.907.0  2008.02.02  Trojan-Downloader.Small.DDT.2
Symantec    10  2008.02.02  Downloader
TheHacker  6.2.9.206  2008.02.02  Trojan/Downloader.Agent.htu
VBA32  3.12.6.0    2008.02.02  Trojan-Downloader.Win32.Agent.htu
VirusBuster 4.3.26:9    2008.02.02  Packed/FSG
Webwasher-Gateway  6.6.2  2008.02.03  Trojan.Dldr.Small.DDT.2
weitere Informationen
File size: 4649 bytes
MD5: 1106648dc81228a20b5d863d25227623
SHA1: e3f6461819c28099a7b3e716aa98dd9481c09619
PEiD: FSG v2.0 -> bart/xt
packers: FSG
packers: FSG
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5B8AB8B929D638A6128D0067E7DC2F000001C40D

Datei install.exe empfangen 2008.02.03 02:01:15 (CET)
Antivirus  Version letzte aktualisierung  Ergebnis
AhnLab-V3  2008.2.3.10 2008.02.02  Win32/Virut.B
AntiVir 7.6.0.61    2008.02.01  TR/Dldr.Small.gmd
Authentium  4.93.8  2008.02.01  W32/Virut.7116
Avast  4.7.1098.0  2008.02.02  Win32:Tiny-NT
AVG 7.5.0.516  2008.02.02  Win32/Virut
BitDefender 7.2 2008.02.03  Win32.Virtob.BQ
CAT-QuickHeal  9.00    2008.02.01  TrojanDownloader.Small.gmd
ClamAV  0.92    2008.02.03  W32.Virut-17
DrWeb  4.44.0.09170    2008.02.02  Trojan.DownLoader.36395
eSafe  7.0.15.0    2008.01.28  Win32.Small.gmd
eTrust-Vet  31.3.5504  2008.02.01  Win32/Virut.7115
Ewido  4.0 2008.02.02  -
FileAdvisor 1  2008.02.03  High threat detected
Fortinet    3.14.0.0    2008.02.02  W32/Small.GM!tr.dldr
F-Prot  4.4.2.54    2008.02.02  W32/Downldr2.AIND
F-Secure    6.70.13260.0    2008.02.01  W32/DLoader.DXZV
Ikarus  T3.1.1.20  2008.02.03  Trojan-Downloader.Win32.Small.gmd
Kaspersky  7.0.0.125  2008.02.03  Virus.Win32.Virut.av
McAfee  5221    2008.02.01  W32/Virut.gen.a
Microsoft  1.3204  2008.02.03  Virus:Win32/Virut.AC
NOD32v2 2845    2008.02.02  Win32/Virut.AV
Norman  5.80.02 2008.02.01  W32/DLoader.DXZV
Panda  9.0.0.4 2008.02.02  W32/Virutas.Z
Prevx1  V2  2008.02.03  W32.PEINFECTOR.GEN
Rising  20.29.22.00 2008.01.30  Trojan.DL.Win32.Mnless.bi
Sophos  4.26.0  2008.02.02  W32/Virut-W
Sunbelt 2.2.907.0  2008.02.02  VIPRE.Suspicious
Symantec    10  2008.02.02  W32.Virut.W
TheHacker  6.2.9.206  2008.02.02  -
VBA32  3.12.6.0    2008.02.02  Virus.Win32.Virut.2
VirusBuster 4.3.26:9    2008.02.02  Win32.Virut.Gen.4
Webwasher-Gateway  6.6.2  2008.02.03  Trojan.Dldr.Small.gmd
weitere Informationen
File size: 9728 bytes
MD5: d141d0dd2149a611ea60cc474f0c80c5
SHA1: 361fb59f1e985b7640014caeca11776f25cebdb6
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=d141d0dd2149a611ea60cc474f0c80c5
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AB0E5486009AE557269E0083213F45008AF4351E
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Datei serial.exe empfangen 2008.02.03 02:02:00 (CET)
Antivirus  Version letzte aktualisierung  Ergebnis
AhnLab-V3  2008.2.3.10 2008.02.02  -
AntiVir 7.6.0.61    2008.02.01  TR/Crypt.PEC2X.Gen
Authentium  4.93.8  2008.02.01  -
Avast  4.7.1098.0  2008.02.02  -
AVG 7.5.0.516  2008.02.02  Dialer.RIF
BitDefender 7.2 2008.02.03  Trojan.Mezzia.CY
CAT-QuickHeal  9.00    2008.02.01  Win32.Trojan.Dialer.yz
ClamAV  0.92    2008.02.03  -
DrWeb  4.44.0.09170    2008.02.02  -
eSafe  7.0.15.0    2008.01.28  Win32.Dialer.yz
eTrust-Vet  31.3.5504  2008.02.01  -
Ewido  4.0 2008.02.02  -
FileAdvisor 1  2008.02.03  Low threat detected
Fortinet    3.14.0.0    2008.02.02  -
F-Prot  4.4.2.54    2008.02.02  W32/Mezzia.A.gen!Eldorado
F-Secure    6.70.13260.0    2008.02.01  W32/Dialer.BYHR
Ikarus  T3.1.1.20  2008.02.03  Trojan.Mezzia.CY
Kaspersky  7.0.0.125  2008.02.03  Trojan.Win32.Dialer.yz
McAfee  5221    2008.02.01  -
Microsoft  1.3204  2008.02.03  Dialer:Win32/Obfp.A
NOD32v2 2845    2008.02.02  -
Norman  5.80.02 2008.02.01  W32/Dialer.BYHR
Panda  9.0.0.4 2008.02.02  Adware/OuterInfo
Prevx1  V2  2008.02.03  Heuristic: Suspicious Tampers With Firewall Settings
Rising  20.29.22.00 2008.01.30  -
Sophos  4.26.0  2008.02.02  Mal/EncPk-AX
Sunbelt 2.2.907.0  2008.02.02  VIPRE.Suspicious
Symantec    10  2008.02.02  -
TheHacker  6.2.9.206  2008.02.02  Trojan/Dialer.yz
VBA32  3.12.6.0    2008.02.02  Trojan.Win32.Dialer.yz
VirusBuster 4.3.26:9    2008.02.02  -
Webwasher-Gateway  6.6.2  2008.02.03  Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 33280 bytes
MD5: e767342b4fc08d52694b6b9202a573cd
SHA1: 252928b92d2cc3c160e4d10df9bc45abf35c732c
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e767342b4fc08d52694b6b9202a573cd
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=37E75AC100E383BA82880084468D65005EFA8DC1
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Datei crack.exe empfangen 2008.02.03 02:02:16 (CET)
Antivirus  Version letzte aktualisierung  Ergebnis
AhnLab-V3  2008.2.3.10 2008.02.02  -
AntiVir 7.6.0.61    2008.02.01  ADSPY/Virtumonde.dux.2
Authentium  4.93.8  2008.02.01  -
Avast  4.7.1098.0  2008.02.02  -
AVG 7.5.0.516  2008.02.02  Lop
BitDefender 7.2 2008.02.03  -
CAT-QuickHeal  9.00    2008.02.01  AdWare.Virtumonde.dux (Not a Virus)
ClamAV  0.92    2008.02.03  -
DrWeb  4.44.0.09170    2008.02.02  Trojan.Virtumod.240
eSafe  7.0.15.0    2008.01.28  AdWare.Win32.Virtumo
eTrust-Vet  31.3.5504  2008.02.01  -
Ewido  4.0 2008.02.02  -
FileAdvisor 1  2008.02.03  -
Fortinet    3.14.0.0    2008.02.02  Adware/VirtuMonde
F-Prot  4.4.2.54    2008.02.02  -
F-Secure    6.70.13260.0    2008.02.01  -
Ikarus  T3.1.1.20  2008.02.03  -
Kaspersky  7.0.0.125  2008.02.03  not-a-virus:AdWare.Win32.Virtumonde.dux
McAfee  5221    2008.02.01  -
Microsoft  1.3204  2008.02.03  Trojan:Win32/Vundo.gen!A
NOD32v2 2845    2008.02.02  -
Norman  5.80.02 2008.02.01  -
Panda  9.0.0.4 2008.02.02  Spyware/Virtumonde
Prevx1  V2  2008.02.03  Heuristic: Suspicious File With Code Injection Technology
Rising  20.29.22.00 2008.01.30  -
Sophos  4.26.0  2008.02.02  -
Sunbelt 2.2.907.0  2008.02.02  -
Symantec    10  2008.02.02  -
TheHacker  6.2.9.206  2008.02.02  Adware/Virtumonde.dux
VBA32  3.12.6.0    2008.02.02  AdWare.Win32.Virtumonde.dux
VirusBuster 4.3.26:9    2008.02.02  Adware.Vundo.V.Gen
Webwasher-Gateway  6.6.2  2008.02.03  Ad-Spyware.Virtumonde.dux.2
weitere Informationen
File size: 56320 bytes
MD5: 802707ce4bc0be3e510874238dcfb7bf
SHA1: 30a7017ca53904580d8f4bfe47dc560819b88332
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6FAE3B4E00B7326DDC10001789B3B1009B069F52
Vermutlich haben die dann noch einige weitere Schädlinge eingeladen an der Party teilzunehmen. Dein tcpview-Log beweist, dass dein System im Akkort Spam versendet.

das muss belohnt werden: Du hast eine Runderneuerung deines Systems gewonnen. Einmal die Festplatte formatieren und neu installieren :D

Gruß, Karl

polonese 03.02.2008 02:34
reicht es wenn ich die partition auf der ich das "installiert" habe formatiere bzw einfach ne systemwiederherstellung mache?

KarlKarl 03.02.2008 02:48
Unter den Schädlingen, die Du dir installiert hast, ist auch Virut. Der infiziert EXE- und SCR-Dateien, ist ein Netzwerkwurm und eine Backdoor. Deshalb musst Du außer der Systempartition alle anderen Partitionen, auf denen sich Programme befinden, ebenfalls formatieren. Eine einzige vergessene EXE- oder SCR-Datei aus dem alten System würde die Seuche in das neue reintragen. Nur Partitionen, auf denen sich garantiert nichts ausführbares befindet, darfst du auslassen. Die osllten aber nach der Neuinstallation vor Nutzung gründlich gescant werden, am besten mit mehreren Scannern.

So und jetzt verschwinde aus dem Internet bis Du ein neu installierts System hast. Jede Sekunde, die Du länger online bistgeht Spam raus. du willst doch nicht, dass eine Beshcwerde an deinen Provider geht und der dich kickt, oder?

Schneipi 03.02.2008 03:18
Moin Polonese,
beachte bitte, dass das Bereitstellen von gefährlichen Links prinzipiell zur Verbreitung der Malware führen kann. Da unser größtes Interesse darin besteht, dies zu verhindern, möchte ich Dich bitten, dies in Zukunft zu unterlassen. Unseren engagierten Helfern reichen in der Regel die Spuren auf Deinem Rechner :)

Danke für's Melden Karl :) Habe den Link entfernt.

Grüße, schneipi

polonese 03.02.2008 12:56
bin mit meinem rechner schon garnich mehr online. schreibe die ganze zeit schon mit dem rechner meiner freundin. also dürfte das jetzt nich das problem darstellen.
Nagut dann bleibt mir wohl nichts anderes übrig als ein neues system auf zu setzen. Kannst du mir scanner empfehlen die ich am besten dafür verwenden sollte?

Und sorry für die falsch gesetzte URL. Werd mich bessern.

KarlKarl 03.02.2008 19:11
Mein Favorit bei den Virenscannern ist Antivir Classic. Sehr gute Erkennungrate und Heuristik und belastet das System relativ wenig. Falls Du meinst das Risiko eingehen zu wollen, auf anderen Partitionen was aufzubewahren (ich würde bei der Infektion alles plattmachen), könntest Du dazu noch ein paar Onlinescans ergänzen. Eine kleine Auswahl:
Es gibt aber was viel wichtigeres: Auf Software aus solchen Quellen verzichten. Solange Du das nicht konsequent durchziehst, wird es nur eine Frage der Zeit sein, bis man dich wieder ausgetrickst hat. Ein Virenscanner ist nur eine Hilfe für den Fall, dass mal alles andere unverschuldet schief geht. Er ist keine Garantie auf ein sauberes System. Umgekehrt kann man ein sauberes System auch ohne ihn haben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19