Hallo!
Meine Kerio Firewall entdeckt Pakete, die nach aussen gesendet werden sollen. Mittels PocessExplorer habe ich folgendes entdeckt: lsass.exe startet cmd.exe welches wiederum ftp.exe startet.
Wenn es ein Virus ist, warum entdeckt Antivir diesen nicht?
Wenn es ein Trojaner ist, kann mir einer sagen, welcher es ist? Wie kann ich das Problem los werden? Danke...
Tin
----------------------------
Logfile of HijackThis v1.99.0
Scan saved at 13:24:49, on 16.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\AVPersonal\AVGNT.EXE
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe
D:\WINDOWS\System32\ctfmon.exe
F:\ProgData\Proxomitron 4.51\Proxomitron.exe
F:\ProgData\WinLirc065\Irex\irex\irex.exe
F:\ProgData\WinLirc065\winlirc.exe
D:\Program Files\GrabIt\GrabIt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Camel's MPEGJoin\CaMPGj.exe
D:\Program Files\Camel's MPEGJoin\CaMPGj.exe
D:\WINDOWS\System32\taskmgr.exe
D:\Program Files\Windows NT\Accessories\wordpad.exe
D:\WINDOWS\system32\cmd.exe
D:\Program Files\WinRAR\WinRAR.exe
D:\DOCUME~1\M\LOCALS~1\Temp\Rar$EX00.663\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/Daten/homepage/startpage/Startseite.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [EasyMessage] D:\Program Files\Easy Message\em2.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~2\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Eyeball Chat] "D:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: irex.exe.lnk = F:\ProgData\WinLirc065\Irex\irex\irex.exe
O4 - Startup: winlirc.exe.lnk = F:\ProgData\WinLirc065\winlirc.exe
O4 - Global Startup: Shortcut to Proxomitron.exe.lnk = F:\ProgData\Proxomitron 4.51\Proxomitron.exe
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan....er/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...ry/msgrchkr.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan....r/axscanner.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.pattayali...sCamControl.cab
O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} (MSN Money Charting) - http://moneycentral....s/pmupdate2.exe
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/gs/instal...edsolutions.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/...loadcontrol.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.h.../qdiagh.cab?316
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Seite 1 von 1
Hilfe! Lsass.exe Sendet Packete Via Cmd/ftp ?
Anzeige
#2
geschrieben 16. Januar 2005 - 14:17
Dein IE ist nicht aktuell ...
Werte mal bitte dein Logfile automatisch aus (s. meine Signatur).
Werte mal bitte dein Logfile automatisch aus (s. meine Signatur).
#3
geschrieben 16. Januar 2005 - 14:20
Hier die Auswertung deines Logfiles: http://www.hijackthis.de/logfiles/5514ce74...f1ab78e421.html
#5
geschrieben 16. Januar 2005 - 14:33
Die programme die als Unbekannt angezeigt werden kennst du die ?
Der Rote (BÖSE) Eintrag is nich so schlimm, den mußt du im abgesicherten modus, bei deaktivierter systemwiderherstellung Fixen
Der Rote (BÖSE) Eintrag is nich so schlimm, den mußt du im abgesicherten modus, bei deaktivierter systemwiderherstellung Fixen
#6
geschrieben 16. Januar 2005 - 15:07
Zitat
Wenn es ein Virus ist, warum entdeckt Antivir diesen nicht?
Weil Virenscanner prinzipbedingt unvollständig sind?
Zitat
Wie kann ich das Problem los werden?
fdisk /mbr
format c:
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 16. Januar 2005 - 16:26
Zuerst mal Danke für alle Meldungen. (Auch wenn format nicht in Frage kommt :-)
Doch ich komm trotzdem nicht weiter. Wie kann sich den überhaupt ein Prozess in die Datei lsass.exe hinein wursteln? Irgendwie muss sich das doch debuggen lassen.. ich vermute mal, dass ich einen Trojaner/Virus habe, welcher nicht weit verbreitet oder neu ist.. schließlich hab eich einige Virenscanner und AntiTrojaner Tools ausprobiert...
Vielleicht hilft mir sfc weiter?
Nun gut, für weitere Ratschläge bin ich dankbar...
Tin
Doch ich komm trotzdem nicht weiter. Wie kann sich den überhaupt ein Prozess in die Datei lsass.exe hinein wursteln? Irgendwie muss sich das doch debuggen lassen.. ich vermute mal, dass ich einen Trojaner/Virus habe, welcher nicht weit verbreitet oder neu ist.. schließlich hab eich einige Virenscanner und AntiTrojaner Tools ausprobiert...
Vielleicht hilft mir sfc weiter?
Nun gut, für weitere Ratschläge bin ich dankbar...
Tin
#8 _FF1980_
geschrieben 16. Januar 2005 - 17:02
Naja, wenn du denkst, dass verschiedene Virenscanner alles erkennen.... Der Tipp von Rika ist der einzig richtige, wenn du deinem System wieder vertrauen können willst, da jede Malware irgendwo Sachen hinterlässt und so Neuinfektionen gefördert werden.
#9
geschrieben 16. Januar 2005 - 18:44
Ich habe den Virus/Wurm/Trojaner erst mal weg bekommen. Ich denke, dass er in irgendeinem Freeware Tool versteckt ist. Wegbekommen habe ich ihn wohl mit einem Online-Viren-Scanner, der eine Zeit lang lief. Vielleicht war's doch AntiVir, Hauptsache weg... SystemRestore hatte ich ausgeschalten, da es ohnehin nicht mehr funktionierte...
Früher oder später hilft nur eine Neuinstallation, klar... SP2 würde auch nicht schaden. Und vielleicht solle man auf diesem Computer nicht mehr mit AdminRechten sufen.
Aber jetzt kann ich mit dem System noch leben...
Gruß,
Tin
Früher oder später hilft nur eine Neuinstallation, klar... SP2 würde auch nicht schaden. Und vielleicht solle man auf diesem Computer nicht mehr mit AdminRechten sufen.
Aber jetzt kann ich mit dem System noch leben...
Gruß,
Tin
#10
geschrieben 16. Januar 2005 - 19:35
Viel Spaß, ich gebe dir noch maximal eine Woche bis zur nächsten Infektion...
EDIT: Mein 500er *froi*
EDIT: Mein 500er *froi*
Dieser Beitrag wurde von Graumagier bearbeitet: 16. Januar 2005 - 19:35
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#11
geschrieben 16. Januar 2005 - 19:41
Hmm, wenn du dir nicht mal sicher sein kannst das der Trojaner weg ist würd ich das System wirklich neu formatieren.
Iss ja ein Wunder dass noch niemand auf "Was Tun, Wenn Der Pc Kompromittiert Wurde?" verlinkt hat.
Graumagier: Glückwunsch
Iss ja ein Wunder dass noch niemand auf "Was Tun, Wenn Der Pc Kompromittiert Wurde?" verlinkt hat.
Graumagier: Glückwunsch
lG Joe
Thema verteilen:
Seite 1 von 1