| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mirc Virus bei Windows Server2003 *HILFE*Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.07.2009, 23:19
| #1 |
| |  Mirc Virus bei Windows Server2003 *HILFE* Hallo an alle da draussen... Ich habe ein Böses Problem. Ich habe in der Firma einen Windows Server 2003 auf dem alle möglichen Programme laufen. Seit einigen Tagen ist er langsamer geworden und mein Kaspersky Antivir hat versch. infizierte Dateien gefunden (und angeblich desifiziert) gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fa Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX4AM8W5\n_b46860_d[1].htm gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fp Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SKNL5GT\cheatguard[1].htm gelöscht: trojanisches Programm Trojan-Clicker.JS.Agent.fp Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\412LQR4B\cheatguard[1].htm nicht gefunden: trojanisches Programm Exploit.JS.Pdfka.gu Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z9PZCQD1\count[1].htm gelöscht: trojanisches Programm Trojan-Downloader.JS.Iframe.bie Datei: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\412LQR4B\in[1].htm desweiteren kann ich keine Updates etc. mehr installieren und auch wenn ich neue Programme installieren will kommen div. Fehlermeldungen. Besonders Windows Updates sind nicht mehr möglich. nach einigem suchen bin ich auf den MIRC Virus gestoßen da sich bei mir wenn ich den Server neu Starte jedesmal MIRC öffnet und verbindet ich bin soweit gekommen das ich das öffnen des Mirc verhindern konnte. Ich habe auch einige Anleitungen und Lösungsansätze im Netz gefunden leider fast alles für WinXP (z.B. Systemwiederherstellung deaktivieren... wie geht das bei nem 2003Server hat der da überhaupt??) Ich bin für jede Hilfe Dankbar da ein neu aufsetzen ausgeschlossen ist... anbei noch das Hijack Protokoll Grüße und vielen Dankschonmal Eyes Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:16:29, on 02.07.2009 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\Programme\AMTANGEE® IDEA\AMTANGEE.IDEA.Service.exe d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE d:\David\APPS\DSERVER\CODE\DSERVER.EXE d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE d:\David\APPS\MASERVER\CODE\MASERVER.EXE d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE d:\David\APPS\REPLICA\CODE\REPLICA.EXE d:\David\CODE\SL.EXE d:\David\apps\showis\showis.exe d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\drivers\svchost.exe C:\WINDOWS\system32\ntfrs.exe C:\WINDOWS\system32\drivers\lsass.exe C:\WINDOWS\PIF\smss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wins.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\Exchsrvr\bin\exmgmt.exe C:\Programme\Exchsrvr\bin\mad.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Broadcom\BACS\BacsTray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\drivers\system.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.5 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [bacstray] C:\Programme\Broadcom\BACS\BacsTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe" O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: EASYLOG V5.0 Server.lnk = D:\EASYLOG V5.0\SqlAny9\dbsrv9.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://companyweb O15 - ESC Trusted Zone: http://www.ag-neovo.com O15 - ESC Trusted Zone: http://dl.antivir.de O15 - ESC Trusted Zone: http://www.antivir.de O15 - ESC Trusted Zone: http://download0.avast.com O15 - ESC Trusted Zone: http://download12.avast.com O15 - ESC Trusted Zone: http://download14.avast.com O15 - ESC Trusted Zone: http://download26.avast.com O15 - ESC Trusted Zone: http://download30.avast.com O15 - ESC Trusted Zone: http://download37.avast.com O15 - ESC Trusted Zone: http://download42.avast.com O15 - ESC Trusted Zone: http://download45.avast.com O15 - ESC Trusted Zone: http://download5.avast.com O15 - ESC Trusted Zone: http://the.earth.li O15 - ESC Trusted Zone: http://www.ebay.de O15 - ESC Trusted Zone: http://www.gmxattachments.net O15 - ESC Trusted Zone: http://groups.google.de O15 - ESC Trusted Zone: http://www.google.de O15 - ESC Trusted Zone: http://www.mzag.com O15 - ESC Trusted Zone: http://download.softpedia.com O15 - ESC Trusted Zone: http://www.download.tobit.com O15 - ESC Trusted Zone: http://xp-antispy.virenschutz.info O15 - ESC Trusted IP range: http://194.64.230.13 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246106967809 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pmd.local O17 - HKLM\Software\..\Telephony: DomainName = pmd.local O17 - HKLM\System\CCS\Services\Tcpip\..\{E75ABA42-2E1C-40FE-9878-0674F6572E5B}: NameServer = **IP ZENSIERT** O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pmd.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pmd.local O23 - Service: AMTANGEE® Communication Foundation (AMTANGEE.IDEA.Service) - AMTANGEE Development GmbH - C:\Programme\AMTANGEE® IDEA\AMTANGEE.IDEA.Service.exe O23 - Service: Adaptive Server Anywhere - ELServer (ASANYs_ELServer) - iAnywhere Solutions, Inc. - d:\EASYLOG V5.0\SqlAny9\dbsrv9.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - d:\David\APPS\CLIPINC\CODE\CLIPINC.EXE O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - d:\David\APPS\DSERVER\CODE\DSERVER.EXE O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - d:\David\APPS\DVGRAB\CODE\DVGRAB.EXE O23 - Service: DvISE Host (DavidHost) - Tobit Software - d:\David\APPS\DVHOST\CODE\DVHOST.EXE O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - d:\David\APPS\MASERVER\CODE\MASERVER.EXE O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - d:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - d:\David\APPS\POSTMAN\CODE\POSTMAN.EXE O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - d:\David\APPS\REPLICA\CODE\REPLICA.EXE O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - d:\David\CODE\SL.EXE O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - d:\David\apps\showis\showis.exe O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - d:\David\APPS\TVINDEX\TVINDEX.EXE O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - d:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - d:\David\APPS\WEBBOX\CODE\WEBBOX.EXE O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Natmen Connections (Natmen) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe O23 - Service: LIamada a procedimlento remoto(RPC) (RpoSs) - Unknown owner - C:\WINDOWS\system32\drivers\lsass.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\PIF\smss.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 8838 bytes |
| Themen zu Mirc Virus bei Windows Server2003 *HILFE* |
| administrator, adobe, antivir, bho, content.ie5, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, infizierte, infizierte dateien, internet, internet explorer, kaspersky, mozilla, mssql, neu aufsetzen, plug-in, programme, server, server 2003, software, suche, trojanisches programm, updates, virus, windows, windows updates, öffnet |
Baum-Darstellung