|
Plagegeister aller Art und deren Bekämpfung: Prblem mit poller.exe auf W2kServerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.07.2005, 08:16 | #1 |
| Prblem mit poller.exe auf W2kServer Hallo, ich habe seit Tagen ein Problem mit einer Trojaner, der die Datei poller.exe auf dem Server ablegt. Mein Virusscanner hat schon heute 3 Mal hintereinander die Datei gelöscht, da muss noch irgendwas am Server sein, da diese immer wieder kommt. Ich habe den HijackThis drüber laufen lassen. Code:
ATTFilter Logfile of HijackThis v1.99.0 Scan saved at 08:41:26, on 14.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\VERITAS\Backup Exec\NT\beremote.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\llssrv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe C:\WINNT\system32\ntfrs.exe e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\snmp.exe C:\compaq\survey\Surveyor.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe F:\SUS\wusync\WUSyncSvc.exe C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe C:\WINNT\System32\CpqRcmc.exe C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\sysdown.exe C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\Explorer.exe C:\WINNT\system32\MSTask.exe c:\winnt\system32\mmcehmr.exe C:\WINNT\lgrqrlr.exe E:\BMD_PROD\BMDNTCS.exe F:\Tools\antispy\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem301.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [BGInfo] c:\winnt\bginfo.exe /ic:\winnt\background.bgi /timer:00" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe O4 - HKLM\..\Run: [hybxzd] c:\winnt\system32\mmcehmr.exe r O4 - Startup: Datenbank starten.lnk = ? O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CCS\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS1\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS2\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O23 - Service: Backup Exec Remote Agent for Windows Servers - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe O23 - Service: Backup Exec Agent Browser - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec Device & Media Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe O23 - Service: Backup Exec Job Engine - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec Naming Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe O23 - Service: Backup Exec Server - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: BMD Server - England Technical Services, Inc. - E:\bmd\BIN\BMDServer.exe O23 - Service: HP Insight NIC Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe O23 - Service: Compaq Remote Monitor Service - Compaq - C:\WINNT\System32\CpqRcmc.exe O23 - Service: HP Insight Web Agent - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe O23 - Service: HP Insight Foundation Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ExecView Communication Module (ECM) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe O23 - Service: Event Log Watch - Unknown - C:\WINNT\LogWatNT.exe O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: OracleBMD_HOMETNSListener - Unknown - e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe O23 - Service: OracleServiceBMD - Oracle Corporation - e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE O23 - Service: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE O23 - Service: System Startup Service - Unknown - C:\WINNT\svcproc.exe O23 - Service: HP ProLiant System Shutdown Service - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe Code:
ATTFilter O23 - Service: System Startup Service - Unknown - C:\WINNT\svcproc.exe |
14.07.2005, 08:47 | #2 |
| Prblem mit poller.exe auf W2kServer Hallo fly007,
__________________arbeite dies durch: http://forum.hijackthis.de/showthread.php?t=3172 "Zufallsname" in Deinem Fall --> "mmcehmr.exe" Wenn Du wie dort beschrieben im abgesicherten Modus bist, fixe auch: O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem301.dll Lösche die entsprechenden Dateien ebenfalls. Diese Datei sagt mir nichts: C:\WINNT\lgrqrlr.exe Bitte hier online scannen und das Ergebnis posten: http://virusscan.jotti.org/de dartus
__________________ |
14.07.2005, 09:36 | #3 |
| Prblem mit poller.exe auf W2kServer Hallo dartus,
__________________danke für die ausführliche Antwort! Die Datei lgrqrlr.exe habe ich online gescannt: Code:
ATTFilter Auslastung: 0% 100% Datei: lgrqrlr.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH AntiVir TR/Hijack.Ausos gefunden ArcaVir Keine Viren gefunden Avast Win32:Trojano-1714 gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.ExplorerHijack gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web not a virus Adware.BetterInternet gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Sandbox: W32/Malware; [ General information ] * File length: 221184 bytes. [ Changes to filesystem ] * Deletes file C:\WINDOWS\dvrszibcpua.exe. * Creates file C:\WINDOWS\jwfbcd.exe. [ Process/window information ] * Creates a mutex amanlcprhxjgmhnuuyfbkxhmp. * Enumerates running processes. * Enumerates running processes several parses.... * Modifies other process memory. * Creates a remote thread. gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden |
14.07.2005, 15:22 | #4 |
| Prblem mit poller.exe auf W2kServer Nachdem im abgesicherter Modus die 3 Dateien beseitigt habe bzw. Windows hochgefahren habe, hat es sich wieder einige Trojaner eingefangen... Folgende Dateien wyvvfwr.exe pgnvpg.exe hat die Anwendung zkaelv.exe hereingeschleusst... Wo ist denn mein Fehler, dass immer wieder Trojaner hereingeschleusst werden??? Viruscanner ist aktuell und Windows Update werde ich dann machen, ist aber nicht zuviel zum Updaten... Folgendes hat HijackThis ermittelt: Code:
ATTFilter Logfile of HijackThis v1.99.0 Scan saved at 16:21:26, on 14.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\VERITAS\Backup Exec\NT\beremote.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\llssrv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe C:\WINNT\system32\ntfrs.exe e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\System32\locator.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\snmp.exe C:\compaq\survey\Surveyor.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe F:\SUS\wusync\WUSyncSvc.exe C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe C:\WINNT\System32\CpqRcmc.exe C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\sysdown.exe C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.exe C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\zkaelv.exe C:\WINNT\system32\zkaelv.exe F:\Tools\antispy\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [BGInfo] c:\winnt\bginfo.exe /ic:\winnt\background.bgi /timer:00" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe O4 - HKLM\..\Run: [drcoijx] c:\winnt\system32\zkaelv.exe r O4 - Startup: Datenbank starten.lnk = ? O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CCS\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS1\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS2\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O23 - Service: Backup Exec Remote Agent for Windows Servers - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe O23 - Service: Backup Exec Agent Browser - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec Device & Media Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe O23 - Service: Backup Exec Job Engine - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec Naming Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe O23 - Service: Backup Exec Server - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: BMD Server - England Technical Services, Inc. - E:\bmd\BIN\BMDServer.exe O23 - Service: HP Insight NIC Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe O23 - Service: Compaq Remote Monitor Service - Compaq - C:\WINNT\System32\CpqRcmc.exe O23 - Service: HP Insight Web Agent - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe O23 - Service: HP Insight Foundation Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ExecView Communication Module (ECM) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe O23 - Service: Event Log Watch - Unknown - C:\WINNT\LogWatNT.exe O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: OracleBMD_HOMETNSListener - Unknown - e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe O23 - Service: OracleServiceBMD - Oracle Corporation - e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE O23 - Service: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE O23 - Service: System Startup Service - Unknown - C:\WINNT\svcproc.exe O23 - Service: HP ProLiant System Shutdown Service - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe |
14.07.2005, 16:33 | #5 |
| Prblem mit poller.exe auf W2kServer Hallo fly007, Du solltest auch meinen Link beachten! Der Zufallsname lautet nun: zkaelv.exe. Diese Datei ändert bei jedem Neustart seinen Namen. Im Logfile steht dort stets ein kleines "r" hinter. dartus
__________________ Kein Support per PN |
14.07.2005, 17:08 | #6 | |
| Prblem mit poller.exe auf W2kServerZitat:
Sorry, ja, ich hatte vergessen vorher den ABIRemover auf den Server zu spielen und konnte im Abgesicherte Modus nichts tun und versuchte es zu ignorieren. Jetzt sehe ich es, dass alles wieder OK sein sollte. Hier zur Sicherheit nochmal den Logfile, mir ist nichts mehr aufgefallen. Jetzt werde ich dann den Online Virusscanner laufen lassen... Code:
ATTFilter Logfile of HijackThis v1.99.0 Scan saved at 18:07:05, on 14.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\VERITAS\Backup Exec\NT\beremote.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\llssrv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe C:\WINNT\system32\ntfrs.exe e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\System32\locator.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\snmp.exe C:\compaq\survey\Surveyor.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe F:\SUS\wusync\WUSyncSvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe C:\WINNT\System32\CpqRcmc.exe C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\sysdown.exe C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\cpqteam.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe F:\Tools\antispy\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [BGInfo] c:\winnt\bginfo.exe /ic:\winnt\background.bgi /timer:00" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe O4 - Startup: Datenbank starten.lnk = ? O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CCS\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS1\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = straeussl.local O17 - HKLM\System\CS2\Services\Tcpip\..\{6A622C3A-F38C-42C0-9C5F-ECA60AA377EC}: NameServer = 10.45.94.11 O23 - Service: Backup Exec Remote Agent for Windows Servers - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe O23 - Service: Backup Exec Agent Browser - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec Device & Media Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe O23 - Service: Backup Exec Job Engine - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec Naming Service - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe O23 - Service: Backup Exec Server - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: BMD Server - England Technical Services, Inc. - E:\bmd\BIN\BMDServer.exe O23 - Service: HP Insight NIC Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQNiMgt\cpqnimgt.exe O23 - Service: Compaq Remote Monitor Service - Compaq - C:\WINNT\System32\CpqRcmc.exe O23 - Service: HP Insight Web Agent - HP Corporation - C:\WINNT\System32\CPQMgmt\cpqwmgmt.exe O23 - Service: HP Insight Foundation Agent - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents - Hewlett-Packard Company - C:\WINNT\System32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ExecView Communication Module (ECM) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe O23 - Service: Event Log Watch - Unknown - C:\WINNT\LogWatNT.exe O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: OracleBMD_HOMETNSListener - Unknown - e:\BMD_PROD\DBMGR\ORA81\BIN\TNSLSNR.exe O23 - Service: OracleServiceBMD - Oracle Corporation - e:\bmd_prod\dbmgr\ora81\bin\ORACLE.EXE O23 - Service: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE O23 - Service: HP ProLiant System Shutdown Service - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe |
Themen zu Prblem mit poller.exe auf W2kServer |
adobe, antivirus, antivirus scan, bho, browser, computer, datei gelöscht, explorer, gelöscht, hijack, hijackthis, home, immer wieder, internet, internet explorer, microsoft, monitor, mssql, prblem, problem, programme, registry, rundll, server, shutdown, software, symantec, system, trojaner, windows |