| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Prblem mit poller.exe auf W2kServerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.07.2005, 08:16
| #1 |
 |  Prblem mit poller.exe auf W2kServer Hallo, ich habe seit Tagen ein Problem mit einer Trojaner, der die Datei poller.exe auf dem Server ablegt. Mein Virusscanner hat schon heute 3 Mal hintereinander die Datei gelöscht, da muss noch irgendwas am Server sein, da diese immer wieder kommt. Ich habe den HijackThis drüber laufen lassen. Code:
ATTFilter Logfile of HijackThis v1.99.0 Scan saved at 08:41:26, on 14.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\VERITAS\Backup Exec\NT\beremote.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\llssrv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe C:\WINNT\system32\ntfrs.exe e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\snmp.exe C:\compaq\survey\Surveyor.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe F:\SUS\wusync\WUSyncSvc.exe C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe C:\WINNT\System32\CpqRcmc.exe C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\sysdown.exe C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\Explorer.exe C:\WINNT\system32\MSTask.exe c:\winnt\system32\mmcehmr.exe C:\WINNT\lgrqrlr.exe E:\BMD_PROD\BMDNTCS.exe F:\Tools\antispy\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem301.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [BGInfo] c:\winnt\bginfo.exe /ic:\winnt\background.bgi /timer:00" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe O4 - HKLM\..\Run: [hybxzd] c:\winnt\system32\mmcehmr.exe r O4 - Startup: Datenbank starten.lnk = ? O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CCS\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS1\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS2\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O23 - Service: Backup Exec Remote Agent for Windows Servers - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe O23 - Service: Backup Exec Agent Browser - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec Device & Media Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe O23 - Service: Backup Exec Job Engine - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec Naming Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe O23 - Service: Backup Exec Server - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: BMD Server - England Technical Services, Inc. - E:\bmd\BIN\BMDServer.exe O23 - Service: HP Insight NIC Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe O23 - Service: Compaq Remote Monitor Service - Compaq - C:\WINNT\System32\CpqRcmc.exe O23 - Service: HP Insight Web Agent - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe O23 - Service: HP Insight Foundation Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ExecView Communication Module (ECM) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe O23 - Service: Event Log Watch - Unknown - C:\WINNT\LogWatNT.exe O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: OracleBMD_HOMETNSListener - Unknown - e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe O23 - Service: OracleServiceBMD - Oracle Corporation - e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE O23 - Service: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE O23 - Service: System Startup Service - Unknown - C:\WINNT\svcproc.exe O23 - Service: HP ProLiant System Shutdown Service - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe Code:
ATTFilter O23 - Service: System Startup Service - Unknown - C:\WINNT\svcproc.exe
|
| Themen zu Prblem mit poller.exe auf W2kServer |
| adobe, antivirus, antivirus scan, bho, browser, computer, datei gelöscht, explorer, gelöscht, hijack, hijackthis, home, immer wieder, internet, internet explorer, microsoft, monitor, mssql, prblem, problem, programme, registry, rundll, server, shutdown, software, symantec, system, trojaner, windows |
Baum-Darstellung