Wo ist der Trojaner
 

Problem: svchost.exe (RPC-Dienst) ab Systhemstart Auslatung auf 100%
Prozeß killen möglich, da herunterfahren des PC deaktiert,
aber der Dienst startet immer wieder.
Vierenscanner McAfee nichts gefunden, Firewall Outpost nichts .....
diverse Tools Cleaner XP-SP1 Hotfixe, adaware spybot .... nichts.
Neue Firewall. Zonealarm 100% Auslastung zwischen lsass.exe und der Firewall vsmon.exe. Wenn Firewall deaktiviert Pc Auslatung (lsass) geht runter ., doch nach einniger Zeit svchost wieder hoch. Mit Panda Firewall das selbe.
Panda Virenscanner meldete: Mydoom.A
Auric Remove Tool: Win32Auric.A@mm
TC Monitor: 2 Skribte
Regestry nach jedem Neustart verseucht ..........obj[0]=Reg.Daten : scrfile\shell\open\command.........

jedes Tool und Virusdatei ist Aktuell!

Lösung: Format/C, aber ich hab Ergeiz ihn vorher zu finden
Kann mir jemand helfen???????

Logfile of HijackThis v1.98.0
Scan saved at 12:35:43, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

DA ist doch NIX!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\BMServ.exe
C:\Programme\Diskeeper\DkService.exe
C:\WINDOWS\System32\BMApp.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\DockApp.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Acer\Acer Wireless PCMCIA\RtlWake.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Würmer-Cleaner\hijackthis_198\HijackThis.exe
C:\WINDOWS\System32\NotePad.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [BayMgr] DockApp.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot\SpybotSD.exe" /autofix
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acer Wake.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

C:\WINDOWS\System32\BMServ.exe
C:\WINDOWS\System32\BMApp.exe
Weisst du wozu diese Dateien gehören?
Evtl. mal überprüfen: http://www.kaspersky.com/de/scanforvirus

Dies kann raus:
O4 - Global Startup: Acer Wake.lnk = ?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Explorer.exe

Ansonsten sieht man aber nix verdächtiges.

Schade nichts verdächtiges ...........

BMServ.exe und BMApp.exe sind vom BPM Studio (Audio Player)

Port Scan hat ergeben ........ Port 5000 ist offen.

Krieg ihn aber einfach nicht zu, weder mit Zone Alarm noch mit Sygate!
beide Firewalls nun paralell. "Brauch mal ne Anleitung für Doofe"

Kann mir einer sagen wie ......... mach ich den Sack zu!

DANKe, oder muß ich nun das Forum wechseln

Ps.: 208.185.174.52 svchost listen Lokel Port ..... ist da der "Stinker"?

kann die seite mal jemand prüfen