LogoSendBash.exe

[Catscrash]

Huhu,
folgendes Problem:

von Zeit zu Zeit, aber in schöner Regelmäßigkeit tauchen bei mir 2 Prozesse mit dem Namen "LogoSendBash.exe" in der Prozessliste auf. Diese beanspruchen dann sofort 100% meiner Prozessorlast, sobald ich sie beende geht alles wieder, nach ein paar minuten (manchmal auch halbe stunde oder mehr) sind sie aber dann wieder da...

ich hab die registry danach durchforstet - nix. ich hab die datei gesucht, auch kein erfolg, bei google habe ich LogoSendBash auch nicht gefunden und alle antivirenproggis finden nix...

hat irgendjemand noch eine idee?

 

[ghostdog]

klingt nach nem selbstgeschriebenen Trojaner. Weil wenn Logosendbash nicht bei google zu finden ist ist es nix offizielles.

 

[Rushjo]

Schaue mal alternativ unter den gestarteten Netz-Diensten nach:

Start -> Ausführen -> cmd /k

C:\Dokumente und Einstellungen\rushjo>net start
Folgende Windows-Dienste sind gestartet:

Automatische Updates
COM+-Ereignissystem
DHCP-Client
DNS-Client
Druckwarteschlange
Ereignisprotokoll
Geschützter Speicher
...
Windows-Bilderfassung (WIA)
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
Überwachung verteilter Verknüpfungen (Client)

Der Befehl wurde erfolgreich ausgeführt.


C:\Dokumente und Einstellungen\rushjo>

Das ist auch eine nette Methode. Ansonsten in der Registry suchen nach dem "Dateinamen", aber ohne die Dateiendung. Gleiches gilt für das Suchen der Datei im Explorer.

rushjo

 

[Catscrash]

suche in der registry und im explorer hat nix gebracht

kann man irgendwie den pfad eines prozesses herausfinden wenn man die PID hat?

Folgende Windows-Dienste sind gestartet:

Acronis Scheduler2 Service
Arbeitsstationsdienst
Ati HotKey Poller
Autodesk Licensing Service
AVG7 Alert Manager Server
AVG7 Update Service
COM+-Ereignissystem
Computerbrowser
Creative Service for CDROM Access
DCOM-Server-Prozessstart
Designs
DHCP-Client
DNS-Client
Druckwarteschlange
Ereignisprotokoll
Fehlerberichterstattungsdienst
Gatewaydienst auf Anwendungsebene
Geschützter Speicher
Hilfe und Support
HTTP-SSL
IIS Admin
IPSEC-Dienste
Kerio Personal Firewall 4
Kompatibilität für schnelle Benutzerumschaltung
Kryptografiedienste
Machine Debug Manager
mysql
Netzwerkverbindungen
NLA (Network Location Awareness)
O&O Defrag
Plug & Play
RAS-Verbindungsverwaltung
Remote Administrator Service
Remote-Registrierung
Remoteprozeduraufruf (RPC)
Sekundäre Anmeldung
Serv-U FTP Server
Server
Shellhardwareerkennung
Sicherheitskontenverwaltung
SSDP-Suchdienst
StyleXPService
Systemereignisbenachrichtigung
Systemwiederherstellungsdienst
Taskplaner
TCP/IP-NetBIOS-Hilfsprogramm
Telefonie
Terminaldienste
Verwaltung logischer Datenträger
VisualCronService
WebClient
Windows Audio
Windows-Bilderfassung (WIA)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
WMDM PMSP Service
WWW-Publishing
Überwachung verteilter Verknüpfungen (Client)

Der Befehl wurde erfolgreich ausgeführt.

ist da was unauffälliges dran?

 

[sinalco]

such am besten erst einmal auf deiner festplatte nach der datei ansich und poste dann hier den kompletten pfad.

-sk0l
sinalco

 

[Catscrash]

das ist es ja, sie wird nciht gefunden...

 

[sinalco]

dann lass mal hijackthis drüberlaufen ( http://www.hijackthis.de ) - möglicherweise findet er damit etwas. und poste am besten dann das logfile.

-sk0l
sinalco

 

[+++ATH0]

Stinkt nach Rootkit.

Versuchs mal mit:

Rootkit Revealer
UnhackMe
VICE
System Virginity Verifier
BlackLight


Alles keine Wundertools. Aber da du meinem schon oft gegebenen Rat eh nicht folgen wirst: (Nämlich dein System neuzuinstallieren) gebe ich dir hiermit eine schlechte Alternative.