WinFuture-Forum.de: Hilfe! Lsass.exe Sendet Packete Via Cmd/ftp ? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Hilfe! Lsass.exe Sendet Packete Via Cmd/ftp ?


#1 Mitglied ist offline   tin77 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 15. Januar 05
  • Reputation: 0

geschrieben 16. Januar 2005 - 14:10

Hallo!

Meine Kerio Firewall entdeckt Pakete, die nach aussen gesendet werden sollen. Mittels PocessExplorer habe ich folgendes entdeckt: lsass.exe startet cmd.exe welches wiederum ftp.exe startet.
Wenn es ein Virus ist, warum entdeckt Antivir diesen nicht?
Wenn es ein Trojaner ist, kann mir einer sagen, welcher es ist? Wie kann ich das Problem los werden? Danke...

Tin

----------------------------

Logfile of HijackThis v1.99.0
Scan saved at 13:24:49, on 16.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\AVPersonal\AVGNT.EXE
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe
D:\WINDOWS\System32\ctfmon.exe
F:\ProgData\Proxomitron 4.51\Proxomitron.exe
F:\ProgData\WinLirc065\Irex\irex\irex.exe
F:\ProgData\WinLirc065\winlirc.exe
D:\Program Files\GrabIt\GrabIt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Camel's MPEGJoin\CaMPGj.exe
D:\Program Files\Camel's MPEGJoin\CaMPGj.exe
D:\WINDOWS\System32\taskmgr.exe
D:\Program Files\Windows NT\Accessories\wordpad.exe
D:\WINDOWS\system32\cmd.exe
D:\Program Files\WinRAR\WinRAR.exe
D:\DOCUME~1\M\LOCALS~1\Temp\Rar$EX00.663\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/Daten/homepage/startpage/Startseite.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [EasyMessage] D:\Program Files\Easy Message\em2.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~2\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Eyeball Chat] "D:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: irex.exe.lnk = F:\ProgData\WinLirc065\Irex\irex\irex.exe
O4 - Startup: winlirc.exe.lnk = F:\ProgData\WinLirc065\winlirc.exe
O4 - Global Startup: Shortcut to Proxomitron.exe.lnk = F:\ProgData\Proxomitron 4.51\Proxomitron.exe
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan....er/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...ry/msgrchkr.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan....r/axscanner.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.pattayali...sCamControl.cab
O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} (MSN Money Charting) - http://moneycentral....s/pmupdate2.exe
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/gs/instal...edsolutions.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/...loadcontrol.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.h.../qdiagh.cab?316
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
0

Anzeige



#2 Mitglied ist offline   sensi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 276
  • Beigetreten: 21. April 04
  • Reputation: 1

geschrieben 16. Januar 2005 - 14:17

Dein IE ist nicht aktuell ... :D

Werte mal bitte dein Logfile automatisch aus (s. meine Signatur).
0

#3 Mitglied ist offline   stefanra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.208
  • Beigetreten: 13. September 04
  • Reputation: 1

geschrieben 16. Januar 2005 - 14:20

Hier die Auswertung deines Logfiles: http://www.hijackthis.de/logfiles/5514ce74...f1ab78e421.html
0

#4 Mitglied ist offline   sensi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 276
  • Beigetreten: 21. April 04
  • Reputation: 1

geschrieben 16. Januar 2005 - 14:25

Eine recht übersichtliche Seite.
0

#5 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 16. Januar 2005 - 14:33

Die programme die als Unbekannt angezeigt werden kennst du die ?


Der Rote (BÖSE) Eintrag is nich so schlimm, den mußt du im abgesicherten modus, bei deaktivierter systemwiderherstellung Fixen
0

#6 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 16. Januar 2005 - 15:07

Zitat

Wenn es ein Virus ist, warum entdeckt Antivir diesen nicht?

Weil Virenscanner prinzipbedingt unvollständig sind?

Zitat

Wie kann ich das Problem los werden?

fdisk /mbr
format c:
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#7 Mitglied ist offline   tin77 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 15. Januar 05
  • Reputation: 0

geschrieben 16. Januar 2005 - 16:26

Zuerst mal Danke für alle Meldungen. (Auch wenn format nicht in Frage kommt :-)
Doch ich komm trotzdem nicht weiter. Wie kann sich den überhaupt ein Prozess in die Datei lsass.exe hinein wursteln? Irgendwie muss sich das doch debuggen lassen.. ich vermute mal, dass ich einen Trojaner/Virus habe, welcher nicht weit verbreitet oder neu ist.. schließlich hab eich einige Virenscanner und AntiTrojaner Tools ausprobiert...
Vielleicht hilft mir sfc weiter?

Nun gut, für weitere Ratschläge bin ich dankbar...

Tin
0

#8 _FF1980_

  • Gruppe: Gäste

geschrieben 16. Januar 2005 - 17:02

Naja, wenn du denkst, dass verschiedene Virenscanner alles erkennen.... Der Tipp von Rika ist der einzig richtige, wenn du deinem System wieder vertrauen können willst, da jede Malware irgendwo Sachen hinterlässt und so Neuinfektionen gefördert werden.
0

#9 Mitglied ist offline   tin77 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 15. Januar 05
  • Reputation: 0

geschrieben 16. Januar 2005 - 18:44

Ich habe den Virus/Wurm/Trojaner erst mal weg bekommen. Ich denke, dass er in irgendeinem Freeware Tool versteckt ist. Wegbekommen habe ich ihn wohl mit einem Online-Viren-Scanner, der eine Zeit lang lief. Vielleicht war's doch AntiVir, Hauptsache weg... SystemRestore hatte ich ausgeschalten, da es ohnehin nicht mehr funktionierte...
Früher oder später hilft nur eine Neuinstallation, klar... SP2 würde auch nicht schaden. Und vielleicht solle man auf diesem Computer nicht mehr mit AdminRechten sufen.
Aber jetzt kann ich mit dem System noch leben...

Gruß,
Tin
0

#10 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 16. Januar 2005 - 19:35

Viel Spaß, ich gebe dir noch maximal eine Woche bis zur nächsten Infektion...

EDIT: Mein 500er *froi*

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Januar 2005 - 19:35

"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#11 Mitglied ist offline   burning-joe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 669
  • Beigetreten: 19. Juli 04
  • Reputation: 0
  • Wohnort:Österreich

geschrieben 16. Januar 2005 - 19:41

Hmm, wenn du dir nicht mal sicher sein kannst das der Trojaner weg ist würd ich das System wirklich neu formatieren.

Iss ja ein Wunder dass noch niemand auf "Was Tun, Wenn Der Pc Kompromittiert Wurde?" verlinkt hat.

Graumagier: Glückwunsch :angry:
lG Joe
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0