dfrgfat16.exe macht mich zu schaffen

catlaz · 25.06.2005, 15:44

Hi,

bin neu im forum und hoffe, dass mir jemand helfen kann. seit 2 tagen läuft im task manager dieses programm: dfrfat16.exe das ich nicht stoppen kann. löschen im C:/Windows/system32/dfrgfat16.exe zwecklos, es lässt sich nicht löschen. hijack kann das problem nicht "fixen". als der"memory usage" vom dfrfat16.exe über 6000 KB erreicht fangen die probleme an. ich kann keine seite im IE mehr sehen obwohl meine verbindung steht. als "workaround" kill ich das prozess, das auch gleich wieder erscheint aber mit weniger usage also kann ich wieder im internet browsen, aber das ist natürlich keine lösung.

ich konnte nirgendwo im netz was über dieses malware finden. kann mir jemand helfen? antivirus program, adware und spyware finden nichts. hier mein hijack log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Windows\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\OfficeScan\ntrtscan.exe
C:\OfficeScan\OfcPfwSvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan\tmlisten.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\OfficeScan\pccntmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\OfficeScan\Pop3Trap.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\OfficeScan\pccntupd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\TEMP\VLB2DC.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Hijackthis\hijackthis\HijackThis.exe
C:\WINDOWS\system32\dfrgfat16.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan\pccntmon.exe" -HideWindow
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = D:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: HPVC component - http://vrm04.win2000.hpe-learning.com/hpvcpw/lib/hp/dc/lib/component4100.cab
O16 - DPF: HPVC resources - http://vrm04.win2000.hpe-learning.com/hpvcpw/lib/hp/dc/lib/resources4100.cab
O16 - DPF: HPVC signed - http://vrm04.win2000.hpe-learning.com/hpvcpw/lib/hp/dc/lib/signed4100.cab
O16 - DPF: HPVC support - http://vrm04.win2000.hpe-learning.com/hpvcpw/lib/hp/dc/lib/support4100.cab
O16 - DPF: HPVC vminfo - http://vrm07.win2000.hpe-learning.com/Room1//requirements/vminfo.cab
O16 - DPF: IMWMLauncherCab - http://wbbc.mci.com/imwm/dotnet/IMWMLauncher.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://vapwcb.ops.placeware.com/etc/place/CHAIR/VACpws-b1/5.1.5.222/lib/quicksilver.cab
O16 - DPF: {555500CD-CB54-11D6-8DB9-0000864598B3} (Diagmgr Class) - http://ispe.sdc.hp.com/awebui/jsp/answerweb/applets/HPISDiagManager.CAB
O16 - DPF: {C4F8560C-708E-4553-B82A-AD0F236EDEEB} - https://na1.salesforce.com/setup/outlook/setups/outlook.cab
O16 - DPF: {DCB98BE9-88EE-4AD0-9790-2B169E8D5BBB} (HumanConcepts Organization) - http://www.humanconcepts.com/viewer/hcinstall.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://mci.webex.com/client/v_mywebex-mciprodins/webex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intra.trados.com
O17 - HKLM\Software\..\Telephony: DomainName = intra.trados.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{62182253-91B5-44EF-8590-334CA006EFC1}: NameServer = 62.94.8.246 62.94.8.245
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intra.trados.com
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\system32\dfrgfat16.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett Packard - C:\Windows\Cpqdiag\Cpqdfwag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\SCardClnt.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: MSSvc spoolsnet (spoolsnet) - Unknown owner - c:\RECYCLER\system32\MSSvc.EXE (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan\tmlisten.exe
O23 - Service: TRADOS FLEXlm License Server - Macrovision Corporation - C:\Program Files\TRADOS\License Server\Lmgrd.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe" -service (file missing)
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Cidre · 25.06.2005, 16:13

Hallo,

wie hast du es geschafft, daß du uns ein unvollständiges Log-File postest?!

Die wichtigen Systeminfos, die zur Systemanalyse herangezogen werden und Aufschluß über deiner derzeitigen Patchstand liefern, hast du unterschlagen!

Scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

btw:
Beachte meine Anmerkung in deinem Post!

catlaz · 26.06.2005, 14:32

danke fuer deine antwort. ich habe den inhalt vom log file im message-body kopiert, anstatt die log-datei upzuloaden. vielleicht fehlen deswegen die wichtigste infos.. anyway, ich habe versucht mich im abgesicherten modus einzuloggen, aber meine "normalen" logins werden nicht akzeptiert! mein laptop gehoert meiner firma, warscheinlich liegt es daran dass ich keine admin rechte habe (ich dachte bis jetzt ich haette sie!). also jetzt bin ich blockiert: ich kann mich nicht in safe mode einloggen, und kann auch nicht zum "normalen" windows mode zurueckkehren. ich habe ueber F8 probiert aber obwohl ich "Normal"auswaehle werde ich immer nur ueber safe mode eingeloggt und habe das gleiche problem.

ganz schoen bloed... hast du ein tip?

gruss

c.

dfrgfat16.exe macht mich zu schaffen

Log-Analyse und Auswertung: dfrgfat16.exe macht mich zu schaffen