| |
| |||||||
Log-Analyse und Auswertung: Probleme mit W32.FakerecyWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.11.2009, 15:00
| #1 |
| |  Probleme mit W32.Fakerecy Servus, habe seit kurzem ein Problem mit dem W32.Fakerecy. Er setzt sich regelmäßig (ca. alle 20sec.) in den Ordner D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht, das Problem ist nur das ich den Virus nicht finde, welcher diesen Befehl ausführt. Habe schon etliche komplett Scan´s durchgeführt aber den Virus nicht gefunden. Aus der HijackThis Logfile werde ich auch nicht schlau, aber vielleicht könnt Ihr mir ja weiterhelfen. P.S. das Betriebssystem ist Windows 2000 Server. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:10:34, on 23.11.2009 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINNT\system32\spoolsv.exe C:\Programme\SAV\DefWatch.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\system32\cba\pds.exe C:\WINNT\System32\llssrv.exe C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE C:\WINNT\system32\ntfrs.exe C:\PVSW\BIN\W3SQLMGR.EXE C:\PVSW\BIN\NTBTRV.EXE C:\WINNT\system32\regsvc.exe C:\PVSW\BIN\NTDBSMGR.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe C:\WINNT\System32\locator.exe C:\WINNT\system32\MSTask.exe D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\SAV\Rtvscan.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\termsrv.exe C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe C:\Programme\Pwrchute\ups.exe C:\Programme\iMatePro Server\UPServ.exe c:\programme\gemeinsame dateien\vidicom\vcmserver.exe C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\dns.exe C:\WINNT\system32\ams_ii\hndlrsvc.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\system32\ams_ii\iao.exe C:\Programme\iMatePro Server\UPSmart.EXE C:\WINNT\system32\cba\xfr.exe C:\WINNT\System32\ismserv.exe C:\WINNT\System32\msdtc.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe C:\WINNT\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SAV\VPTray.exe C:\WINNT\system32\internat.exe C:\WinZip\WZQKPICK.EXE C:\Programme\VERITAS\Backup Exec\NT\bkupexec.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe O4 - HKLM\..\Run: [UPSmart] C:\Programme\iMatePro Server\UPSmart.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINNT\TEMP\E_S177.tmp" /EF "HKCU" O4 - HKCU\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S94.tmp" /EF "HKCU" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: SDASSIST.LNK = D:\DAT2\SDII\D\D\EXE.W95\SDASSIST.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Strohm.local O17 - HKLM\System\CCS\Services\Tcpip\..\{999E2FCD-AE0D-4262-A8B0-9811DDC45E3A}: NameServer = 192.168.100.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Strohm.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Strohm.local O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Backup Exec 8.x Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec 8.x Alert Server (BackupExecAlertServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\alertServer.exe O23 - Service: Backup Exec 8.x Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe O23 - Service: Backup Exec 8.x Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec 8.x Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe O23 - Service: Backup Exec 8.x Notification Server (BackupExecNotificationServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\nsvr.exe O23 - Service: Backup Exec 8.x Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\SAV\DefWatch.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Intel Alert Handler - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\hndlrsvc.exe O23 - Service: Intel Alert Originator - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\iao.exe O23 - Service: Intel File Transfer - LANDesk Software Ltd. - C:\WINNT\system32\cba\xfr.exe O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINNT\system32\cba\pds.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: Symantec System Center Discovery-Dienst (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE O23 - Service: Pervasive.SQL 2000 (relational) - Pervasive Software Inc. - C:\PVSW\BIN\W3SQLMGR.EXE O23 - Service: Pervasive.SQL 2000 (transactional) - Unknown owner - C:\PVSW\BIN\NTBTRV.EXE O23 - Service: Reporting Agents (Reporting) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe O23 - Service: SD2MUX32 - Transaction Software, D 81829 Munich - D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\SAV\Rtvscan.exe O23 - Service: TSMDataEngine - Tyan Computer Corp - C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programme\Pwrchute\ups.exe O23 - Service: UPSmart - Unknown owner - C:\Programme\iMatePro Server\UPServ.exe O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe O23 - Service: VidiReg Server - vidicom GmbH - C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe -- End of file - 8467 bytes Vielen Dank im Vorraus!!! |
| Themen zu Probleme mit W32.Fakerecy |
| 1.exe, adobe, alert, antivirus, bho, computer, dll, explorer, gservice, hijack, hijackthis, hijackthis logfile, hotkey, internet, internet explorer, logfile, microsoft, monitor, notification, ordner, problem, programme, rundll, software, symantec, temp, virus, windows |
Baum-Darstellung