Hallo an alle da draussen...

Ich habe ein Böses Problem.


Ich habe in der Firma einen Windows Server 2003 auf dem alle möglichen Programme laufen. Seit einigen Tagen ist er langsamer geworden und mein Kaspersky Antivir hat versch. infizierte Dateien gefunden (und angeblich desifiziert)

gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fa Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX4AM8W5\n_b46860_d[1].htm
gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fp Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SKNL5GT\cheatguard[1].htm
gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fp Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\412LQR4B\cheatguard[1].htm
nicht gefunden: trojanisches Programm Exploit.JS.Pdfka.gu Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z9PZCQD1\count[1].htm
gelöscht: trojanisches Programm Trojan-Downloader.JS.Iframe.bie Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\412LQR4B\in[1].htm


desweiteren kann ich keine Updates etc. mehr installieren und auch wenn ich neue Programme installieren will kommen div. Fehlermeldungen. Besonders Windows Updates sind nicht mehr möglich.

nach einigem suchen bin ich auf den MIRC Virus gestoßen da sich bei mir wenn ich den Server neu Starte jedesmal MIRC öffnet und verbindet ich bin soweit gekommen das ich das öffnen des Mirc verhindern konnte.

Ich habe auch einige Anleitungen und Lösungsansätze im Netz gefunden leider fast alles für WinXP (z.B. Systemwiederherstellung deaktivieren... wie geht das bei nem 2003Server hat der da überhaupt??)

Ich bin für jede Hilfe Dankbar da ein neu aufsetzen ausgeschlossen ist...

anbei noch das Hijack Protokoll

Grüße und vielen Dankschonmal
Eyes



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:29, on 02.07.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AMTANGEE® IDEA\AMTANGEE.IDEA.Service.exe
d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
d:\David\APPS\DSERVER\CODE\DSERVER.EXE
d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
d:\David\APPS\MASERVER\CODE\MASERVER.EXE
d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
d:\David\APPS\REPLICA\CODE\REPLICA.EXE
d:\David\CODE\SL.EXE
d:\David\apps\showis\showis.exe
d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\drivers\lsass.exe
C:\WINDOWS\PIF\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wins.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Broadcom\BACS\BacsTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\drivers\system.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.5
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [bacstray] C:\Programme\Broadcom\BACS\BacsTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe"
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: EASYLOG V5.0 Server.lnk = D:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://www.ag-neovo.com
O15 - ESC Trusted Zone: http://dl.antivir.de
O15 - ESC Trusted Zone: http://www.antivir.de
O15 - ESC Trusted Zone: http://download0.avast.com
O15 - ESC Trusted Zone: http://download12.avast.com
O15 - ESC Trusted Zone: http://download14.avast.com
O15 - ESC Trusted Zone: http://download26.avast.com
O15 - ESC Trusted Zone: http://download30.avast.com
O15 - ESC Trusted Zone: http://download37.avast.com
O15 - ESC Trusted Zone: http://download42.avast.com
O15 - ESC Trusted Zone: http://download45.avast.com
O15 - ESC Trusted Zone: http://download5.avast.com
O15 - ESC Trusted Zone: http://the.earth.li
O15 - ESC Trusted Zone: http://www.ebay.de
O15 - ESC Trusted Zone: http://www.gmxattachments.net
O15 - ESC Trusted Zone: http://groups.google.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.mzag.com
O15 - ESC Trusted Zone: http://download.softpedia.com
O15 - ESC Trusted Zone: http://www.download.tobit.com
O15 - ESC Trusted Zone: http://xp-antispy.virenschutz.info
O15 - ESC Trusted IP range: http://194.64.230.13
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246106967809
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pmd.local
O17 - HKLM\Software\..\Telephony: DomainName = pmd.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{E75ABA42-2E1C-40FE-9878-0674F6572E5B}: NameServer = **IP ZENSIERT**
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pmd.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pmd.local
O23 - Service: AMTANGEE® Communication Foundation (AMTANGEE.IDEA.Service) - AMTANGEE Development GmbH - C:\Programme\AMTANGEE® IDEA\AMTANGEE.IDEA.Service.exe
O23 - Service: Adaptive Server Anywhere - ELServer (ASANYs_ELServer) - iAnywhere Solutions, Inc. - d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - d:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - d:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - d:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - d:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - d:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - d:\David\apps\showis\showis.exe
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - d:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - d:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Natmen Connections (Natmen) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
O23 - Service: LIamada a procedimlento remoto(RPC) (RpoSs) - Unknown owner - C:\WINDOWS\system32\drivers\lsass.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\PIF\smss.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8838 bytes

Nutzt du auf deinem Server Remot-Administration-Tools names "Natmen Connections", "LIamada a procedimlento remoto" oder "Remote Administrator Service (r_server)"?

Falls diese nicht zu dir gehören sieht es nicht gut aus.

Bitte lad folgende Datein mal bei Virustotal.com hoch und poste dann das Ergebniss:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\drivers\lsass.exe
C:\WINDOWS\PIF\smss.exe
C:\WINDOWS\system32\drivers\system.exe
         

Lass nebenbei dann schon einmal einen Scan von Malwarebytes-Anti-Malware durchlaufen und poste davon bitte auch das Ergebniss.

http://www.trojaner-board.de/51187-a...i-malware.html

Mfg

Hallo,

Sorry das ich mich so lange nicht gemeldet habe es haben sich einige änderungen ergeben...
Am tag nach meinem Post hier habe ich mit dem Programm TR-Trojaner remover versucht das mistding zu finden was ein folgenschwerer fehler war (ich muss gestehen das ich als ich auf den Button infizierte objekte löschen geklickt habe schon ziemlich übermüdet war...)
auf jeden fall ließ sich der server danach nicht mehr starten!!!

Ich habe es dann geschafft mithilfe der System CD und --> Reparieren das Sytem wieder hochzufahren allerdings habe ich das gleiche Problem wieder sobald ich ihen neu starten will (er bleibt jedesmal bei "Computereinstellungen werden geladen" hängen und startet nach 10 min. neu)

als das system lief habe ich dann Malwarebytes-Anti-Malware drüberlaufen lassen und 18 infizierte gefunden (und gelöscht beim neustart gleiche sache wieder nur mit system cd möglich)

ein weiterer scan mit Malwarebytes-Anti-Malware brachte dann keine funde mehr

Die Dateien:
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\drivers\lsass.exe
C:\WINDOWS\system32\drivers\system.exe

Existieren NICHT!!!

als ich die datei
C:\WINDOWS\PIF\smss.exe
bei virus total hochgeladen habe war das ergebniss böse...

::// EDIT ausserdem habe ich gerade bemerkt das Hijack this fehlermeldungen beim scannen produziert das werde ich gleich mal testen und neuinstallieren...

Vielen Dankschonmal für die antworten....
Grüße
Eyes

nach einigen schwierigkeitenh hier das logfile...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:51, on 05.07.2009
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\WINDOWS\system32\cisvc.exe
d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
d:\David\APPS\DSERVER\CODE\DSERVER.EXE
d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
d:\David\APPS\MASERVER\CODE\MASERVER.EXE
d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
d:\David\APPS\REPLICA\CODE\REPLICA.EXE
d:\David\CODE\SL.EXE
d:\David\apps\showis\showis.exe
d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Broadcom\BACS\BacsTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.5
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [bacstray] C:\Programme\Broadcom\BACS\BacsTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: EASYLOG V5.0 Server.lnk = D:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O15 - ESC Trusted Zone: http://www.ag-neovo.com
O15 - ESC Trusted Zone: http://trendsecure.custhelp.com
O15 - ESC Trusted Zone: http://www.ebay.de
O15 - ESC Trusted Zone: http://www.gmxattachments.net
O15 - ESC Trusted Zone: http://groups.google.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.mzag.com
O15 - ESC Trusted Zone: http://www.pcmasters.de
O15 - ESC Trusted Zone: http://download.softpedia.com
O15 - ESC Trusted Zone: http://www.download.tobit.com
O15 - ESC Trusted Zone: http://hjt-data.trendmicro.com
O15 - ESC Trusted Zone: http://www.trendsecure.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://194.64.230.13
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246106967809
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pmd.local
O17 - HKLM\Software\..\Telephony: DomainName = pmd.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{E75ABA42-2E1C-40FE-9878-0674F6572E5B}: NameServer = 192.168.16.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pmd.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pmd.local
O23 - Service: AMTANGEE® Communication Foundation (AMTANGEE.IDEA.Service) - AMTANGEE Development GmbH - C:\Programme\AMTANGEE® IDEA\AMTANGEE.IDEA.Service.exe
O23 - Service: Adaptive Server Anywhere - ELServer (ASANYs_ELServer) - iAnywhere Solutions, Inc. - d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - d:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - d:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - d:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - d:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - d:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - d:\David\apps\showis\showis.exe
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - d:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - d:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Remote Administrator Service (r_server) - Realtek Semiconductor Corporation - (no file)
O23 - Service: WINS (Windows Internet Name Service) (WINS) - Unknown owner - C:\WINDOWS\System32\wins.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8292 bytes




Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.02.27 RemoteAccess.Win32.GhostRadmin!IK
AhnLab-V3 5.0.0.2 2009.02.27 Win-Trojan/Remoteadmin.245760
AntiVir 7.9.0.98 2009.02.27 TR/RemoteAdmin.O
Authentium 5.1.0.4 2009.02.27 W32/RemoteAdmin.A
Avast 4.8.1335.0 2009.02.26 -
AVG 8.0.0.237 2009.02.27 RemoteAdmin.O
BitDefender 7.2 2009.02.27 -
CAT-QuickHeal 10.00 2009.02.27 -
ClamAV 0.94.1 2009.02.27 PUA.RAT.RAdmin-38
Comodo 986 2009.02.20 ApplicUnsaf.Win32.RemoteAdmin
DrWeb 4.44.0.09170 2009.02.27 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.26 W32/RemoteAdmin.A
F-Secure 8.0.14470.0 2009.02.27 Riskware:W32/RAdmin.B
Fortinet 3.117.0.0 2009.02.27 RAT/RAdmin
GData 19 2009.02.27 -
Ikarus T3.1.1.45.0 2009.02.27 RemoteAccess.Win32.GhostRadmin
K7AntiVirus 7.10.649 2009.02.27 Non-Virus:RemoteAdmin.Win32.RAdmin.21
Kaspersky 7.0.0.125 2009.02.27 not-a-virus:RemoteAdmin.Win32.RAdmin.21
McAfee 5538 2009.02.27 -
McAfee+Artemis 5538 2009.02.27 -
Microsoft 1.4306 2009.02.27 RemoteAccess:Win32/GhostRadmin
NOD32 3894 2009.02.27 Win32/RemoteAdmin
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.27 -
Panda 10.0.0.10 2009.02.26 Suspicious file
PCTools 4.4.2.0 2009.02.27 -
Prevx1 V2 2009.02.27 Medium Risk Malware
Rising 21.18.42.00 2009.02.27 -
SecureWeb-Gateway 6.7.6 2009.02.27 Trojan.RemoteAdmin.O
Sophos 4.39.0 2009.02.27 RemoteAdmin
Sunbelt 3.2.1858.2 2009.02.26 Trojan.RemoteAdmin.O
Symantec 10 2009.02.27 -
TheHacker 6.3.2.5.267 2009.02.27 -
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.02.26 -
ViRobot 2009.2.27.1627 2009.02.27 -
VirusBuster 4.5.11.0 2009.02.27 -
weitere Informationen
File size: 245760 bytes
MD5 : 58aa9c1c75bfd50fe0dd98dff7934250
SHA1 : 659085afa2dab8ee8abca7071e329f13b003051b
SHA256: 122080d3f810d1e32206bf8dd23dee3fee26fe1ab562dff1f61acc1353a5b2ec
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xD816
timedatestamp.....: 0x3D3EC4A9 (Wed Jul 24 17:15:53 2002)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xFB7E 0x10000 6.22 b394fc87735d6e803debf2793367f11a
.rdata 0x11000 0x19EC 0x2000 5.04 6ae1b116a38a7fc638a5391b79f15220
.data 0x13000 0x43A0 0x4000 2.04 10d4f06fcabbbdd020a7e967902eb5a0
.rsrc 0x18000 0x246C4 0x25000 7.75 65441c4009c60ed21f0d103fb0951edc

( 2 imports )

> kernel32.dll: HeapReAlloc, GetModuleHandleA, GetModuleFileNameW, LockResource, LoadResource, FindResourceA, LoadLibraryA, VirtualFree, VirtualAlloc, FreeEnvironmentStringsA, UnhandledExceptionFilter, RtlUnwind, HeapAlloc, HeapFree, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, GetStringTypeA, GetStringTypeW, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, MultiByteToWideChar, LCMapStringA, LCMapStringW
> user32.dll: MessageBoxA

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 3072:GIOSB7tbD02So+0pOTOTO3YFnsN16KyqoOGqowclRp5T6ORd2dziuOXstU1H2db5:GitVDh02cGqFcrDTZQdvOXstC2db5
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=06A4AFCA0021DBE9C0C703C74593810000332411
PEiD : Armadillo v1.71
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=58aa9c1c75bfd50fe0dd98dff7934250
RDS : NSRL Reference Data Set
-

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Der HijackThis log sieht nun schon besser aus.
Bitte Fix folgenden Eintrag:

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: Remote Administrator Service (r_server) - Realtek Semiconductor Corporation - (no file)
         

Um sicher zu gehen das du alles erwischt hast, bitte ich dich noch einmal mit Superantispayware zu scannen.

http://www.trojaner-board.de/51871-a...tispyware.html

Bitte poste danach wieder den log, falls etwas gefunden werden sollte.

Mir ist noch aufgefallen das du die ältere 6er Version von Kaspersky installiert hast, falls es möglich ist, würde ich dir empfehlen diese zu updaten.

Download von Kaspersky Anti-Virus, Kaspersky Internet Security und anderen Produkten (Programm-Dateien, Handbücher, Antiviren-Datenbanken)

Hallo,

sorry das ich mich solange nicht gemeldet habe ich hab den virus/trojaner was auch immer das genau war weg weder kaspersky noch antivir, malewarebytes oder adaware haben noch irgendwas gefunden.

mein hauptproblem ist das das programm windows dateien gelöscht hat die zum starten des servers benötigt werden und ich keine möglichkeit habe das zu reparieren (server läuft normal läßt sich auch herunterfahren aber beim neustart bleibt er am punkt "computereinstellungen werden übernommen" hängen und startet neu... ) ich habe es dann geschaft über die windows system cd mit der option reparieren den server wieder zuz starten aber sobald ich ihn neustarten will gleiches problem....

wenn noch einer en tip hat immer her damit ansonsten werde ich wohl ums neuaufsetzten nicht drumrum kommen....

Grüße
und Danke
eyes

also ich bin mir nich sicher ob es bei windows server funzt aber bei XP gings wenn systemdateien fehlen und du weißt welche, dann schau dass du die von einem anderen windows server kopierst und dort einfügst bei mir hat auch die datei gefehlt die zum hochfahren nötig war aber der bios war schlau hats ohne geschafft und da die datei wieer weg is, vllt. wars n virus, wird windows nun vom bios manuell gestartet lustig oder?


also versuch einfach die datei von nem anderen PC (gleiches betriebssystem) zu kopieren... müsste dann eig. klappen

viel glück

habe ich auch schon drangedacht... wwie kann ich herrausfinden welche systemdateien fehlen gibt es ein tool das mir das herausfindet?

grüße
eyes

versuch am besten mal, dass du wenn du den server von der CD/DvD startest, das du den ganzen ordner (ausser registry) auf die festplatte rüberkopierst also bis auf registry und treiber/programme das ganze windows kopieren wird zwar ends lange dauern aber müsste klappen
grüsse nico

das habe ich schon probiert ich hab bereits mehrmals windows komplett drüber installiert leider ohne erfolg