Glaub hab 'n Zombie-Pc
 

Hallo, ich glaube ich habe mir einen Trojaner, oder so eingefangen. :headbang:

Kasperspy findet nichts, aber ich glaube der Pc, wird als klassischer "Zombie" Pc benutzt.

Ich vermute, dass es entweder ein gefakter Systemprozess ist, oder ein infizierter. Ich bin irgendwie auf die svchost fixiert

Noch zu erwähnen, ich habe einen svchost Prozess beendet, falls dieser nicht aufgelistet sein sollte.

Normalerweise habe ich 5 svchost im Prozess.

------------------------------------------------------------
Habe mir grade noch die Dienste unter Verwaltung (Windows xp home) angeschaut, dort sind auch noch einige Ungereihmtheiten.

##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##

##Id_String2.6844F930_1628_4223_B5CC_5BB94B879762##

C:\Programme\Bonjour\mDNSResponder.exe
----------------------------------------------
MSSQL$PROVIDUSSTD

C:\Programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe -sPROVIDUSSTD
---------------------------------------
SurfStats Scheduler Ver 8.4.0.0

C:\Programme\Surfstats8400\SurfServ8400.exe


Ich schicke auffällig viele Packete hin und her.(Empfangen/Senden) Auch wenn ich mit dem Browser nicht im Internet bin.

Bin mir nicht sicher, aber ich glaube meine svchost ist befallen. Ist es normal, dass man 5 Stück hat?

Einmal die Logfile Auswertung, da sind einige Ungklarheiten. Wäre um Hilfe dankbar.


Habe schonmal versucht einige Prozesse zu fixen, aber die sind nach dem Neustart immer noch als aktiv in hijack markiert.

Wäre dankbar für Lösungvorschläge.:heilig:


Ich habe euch noch unterhalb des Berichtes die TCPView Auflistung eingefügt, iich kann damit nix anfangen, aber vielleicht ihr.

Logfile of HijackThis v1.99.1
Scan saved at 20:51:21, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\ax\Desktop\TcpView\Tcpview.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ax\Desktop\hijackthis_199\HijackThis.exe

O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
O1 - Hosts: 72.167.37.76 Update.nprotect.com
O1 - Hosts: 72.167.37.76 update.nprotect.net
O1 - Hosts: 72.167.37.76 guard.gunbound.net
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MarketerSOSoftwareUpdate] C:\WINDOWS\system32\MarketerSOSoftwareUpdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{598072DC-D882-4F2A-BEE9-FB6D05DC946A}: NameServer = 213.191.92.87 213.191.74.19
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\Kaspersky Internet Security 7.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SurfStats Scheduler Ver 8.4.0.0 (SurfServer8400) - Unknown owner - C:\Programme\Surfstats8400\SurfServ8400.exe (file missing)
O23 - Service: Trackback Poster (TS Poster) - GungHo Technologies LLC - C:\Programme\Trackback Spider\Poster Service.exe



TCPView:

[System Process]:0 TCP smb:epmap e176136212.adsl.alicedsl.de:4852 TIME_WAIT
[System Process]:0 TCP smb:epmap e176175243.adsl.alicedsl.de:4560 TIME_WAIT
[System Process]:0 TCP smb:epmap e176133023.adsl.alicedsl.de:3665 TIME_WAIT
[System Process]:0 TCP smb:1229 fg-in-f147.google.com:http TIME_WAIT
[System Process]:0 TCP smb:epmap e176241030.adsl.alicedsl.de:4015 TIME_WAIT
[System Process]:0 TCP smb:epmap e176003216.adsl.alicedsl.de:1487 TIME_WAIT
alg.exe:1280 TCP smb:1026 smb:0 LISTENING
firefox.exe:1760 TCP smb:1191 localhost:1192 ESTABLISHED
firefox.exe:1760 TCP smb:1189 localhost:1190 ESTABLISHED
firefox.exe:1760 TCP smb:1190 localhost:1189 ESTABLISHED
firefox.exe:1760 TCP smb:1192 localhost:1191 ESTABLISHED
firefox.exe:1760 TCP smb:1273 mu-in-f147.google.com:http ESTABLISHED
svchost.exe:1732 TCP smb:epmap smb:0 LISTENING
svchost.exe:1832 UDP smb:1035 *:*
svchost.exe:1832 UDP smb:1039 *:*
svchost.exe:1832 UDP smb:1032 *:*
svchost.exe:1832 UDP smb:1036 *:*
svchost.exe:1832 UDP smb:1033 *:*
svchost.exe:1832 UDP smb:1037 *:*
svchost.exe:1832 UDP smb:1034 *:*
svchost.exe:1832 UDP smb:1038 *:*
System:4 TCP smb:microsoft-ds smb:0 LISTENING
System:4 TCP smb:netbios-ssn smb:0 LISTENING
System:4 UDP smb:netbios-ns *:*
System:4 UDP smb:netbios-dgm *:*
System:4 UDP smb:microsoft-ds *:*
System:4 TCP smb:microsoft-ds e176083123.adsl.alicedsl.de:3705 ESTABLISHED
System:4 TCP smb:microsoft-ds e176003216.adsl.alicedsl.de:1563 ESTABLISHED

Hallo.

Du hast schonmal jedenfalls sehr fragwürdige hosts-Einträge:
Werte sicherheitshalber mal diese Dateien:

bei Virustotal aus und poste sämtliche Ergebnisse. Dann sehen wir weiter.