Hallo zusammen,

gestern habe ich in o.g. Verzeichnis eine EXE Datei gefunden, für die ich leider keine Erklärung habe.
Folgendes Szenario:
Die Datei ist 168 KB groß, hat als Icon einen kleinen braunen Hund und lässt sich schlichtweg nicht löschen. Im Tastmanager ist die Datei als aktiver Task geführt, der sich jedoch nicht beenden lässt. Nach einem Neustart des Systems präsentiert sich die Datei wie oben beschrieben, jedoch mit einem anderen Namen. Gestern hieß die Datei LW831A.EXE, heute z.B. FNFAE1.EXE. Trendmicro und Symantec reagieren nicht auf das File, ebensowenig Spybot und Ad-Aware.
Das alles passiert auf einem Windows 2000 System.

Hat von Euch jemand eine Ahnung, um was es sich dabei handeln könnte???

Vielen Dank für Eure Antworten.

Gruß, Sledge

Posste zunächst einen Hijackthis-Log .

Hallo,

hier also der gewünschte Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:44:09, on 07.06.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\TEMP\FNFAE1.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\workx\Active Web Reader\Active Web Reader.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINNT\TransparentW.exe
C:\Programme\**********************************
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\programme\internet explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\k2201\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4788
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laserplus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AutoDiscovery Class - {CAB710D6-532E-4B68-97AE-398477FA5524} - D:\workx\Active Web Reader\IERSSFeedDiscovery.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Active Web Reader] D:\workx\Active Web Reader\Active Web Reader.exe -background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Verknüpfung mit TransparentW.exe.lnk = C:\WINNT\TransparentW.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.trustcenter.de/activex/xenroll.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****************
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****************
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****************
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

In diesem Beispiel heißt die Datei um die es sich dreht: FNFAE1.EXE

Gruß, Sledge
_____________
Anm.
Aktive Links editiert!
Mit Hilfe des Editieren Buttons kannst du auch noch nachträglich dein Beiträge bearbeiten.


LG Cidre
S-Mod TB

Ups, sorry, ich dachte, ich hätte den Haken bezüglich der Links gesetzt
Ich hoffe, ihr vergebt einem Newbie

Gruß, Sledge

Hallo,

zumindest war oder ist noch immer ein Browser Hijacker auf deinem System aktiv.
Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.
Lösche danach mit den beschriebenen Möglichkeiten die verbliebene Malware und auch die FNFAE1.EXE.

Warum wurde das SP4 nicht installiert?

moin hab mich grad frisch registriert denn ich habe dieses phenomän bei nem user im verlag auch... weis jemand um welchen worm troj malware etc das ist, ist der neu oder wird der nur nicht erkannt ??

Thx...

PS.: wenn man ihn löscht kommt er wieder unter einem anderen namen, kein autostart etc...

total shice

Sorry,

moin ich muss unbedingt pushen... da ich nicht weiss ob ich neu installieren soll, oder ob es reicht mit einem speziellen tool das ganze anzugehen...

keiner ne idee oder n tipp... oder weiss es vielleicht doch jemand was das fürn teil is ?

Thx

Servus Momsy,

ist auf dem betroffenen System zufällig der Office Scan von Trendmicro installiert? Mit dem Tool Anti-Spy.Info konnte ich mittlerweile herausfinden, dass diese Datei von einer Hauptdatei des Office-Scan gestartet wird. Wenn ich zeitlich dazu komme, werde ich mal noch TrendMicro direkt befragen, ob dem so ist.

Greez, Sledge

Servus Sledge, toll das doch nochmal leben hier rein kommt

also Trendmicro Office scan läuft tatsächlich! der sollte auch Up To Date sein und ich habe wie gesagt mit allen möglichen Tools den rechner gescannt und diese Datei im Temp ist die einzige die mir suspekt ist!

VErwendete Tools:
Adware
SpySubtract
CWS-Shredder

wie gesagt, die datei heisst immer anderst und wird nach löschen und einem neustart wieder gestartet... ich weiss nicht weiter..

Für hilfe bin ich (und andere denke ich auch) dankbar

Ciao Momsy

@Sledge71

Zitat:

Das alles passiert auf einem Windows 2000 System

...., das mit Security Patches nicht ausreichend geschützt ist.

Zitat:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

Schon seit Langem gibt es SP4 + jede Menge Updates danach.

schlau schlau

bei mir isses n xp mit SP1 und den wichtigsten updates da firmennetz mit firewall und zentraler virenlösung... toller post .. ja ich weiss das kann durch den browser gekommen sein aber... ach egal...

Solange kein Ergebnis des eScans vorliegt, kann hier auch keiner weiterhelfen.
Siehe Post von Cidre.

Meines Wissens wird diese Datei von Trendmicro Office Scan erzeugt.
Stoppt man den Dienst, ist die Datei auch verschwunden, sollte also kein Trojaner kein.
Gruss Ecki

jungens.. ich denke das kann ich bestätigen, habe einige pcs angesehen, das symbol is ja n hund... eventuell vom watchdog also...

also ich habe entwarnung gegeben

ciao Momsy