| |
| |||||||
Log-Analyse und Auswertung: Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.jobWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.04.2010, 17:18
| #1 |
| |  Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job Hallo Leute, erstmal großes Lob an dieses Forum. Hat mir auch schon einige Male geholfen. Jetzt stehe ich aber seit einer Woche vor einer Herrausforderung. Habe mehrere Server am laufen die "befallen" sind. Versuche jetzt schon fast eine Woche zu bereinigen, doch bis jetzt nur mit mäßigem Erfolg. Ich poste hier mal die logs von 2 Servern. Server 2003 Standard, alle Windowsupdates, F-Secure 8 alle Updates. Der eine ist DC, File&Print, DNS usw. der andere ist ein TS mit Citrix Metaframe. Die größte Herrausforderung war, dass keine Windows Updates funktionierten. Alle Internetseiten die zB "Windows","bitdefender","f-secure" usw. enthielten konnten nicht aufgerufen werden. Also kein Onlinescan möglich. Nach mehrmaligem Scan mit F-Secure und Malwarebytes ging wenigstens das wieder. Aber F-Secure springt immer noch dauernd an und meldet den Downadup unter C:/Windows/system32/tusqh.rzh und C:/Windows/Tasks/AT1.job FixDownadup Tools(Symantec) haben auch nicht geholfen. Löschen im Safe Mode auch nicht. Wäre super wenn mir jemand helfen könnte... RSIT bringt leider eine Fehlermeldung. "Variable used without being declared" Da es nur die HjT Logs sind, poste ich sie direkt hier rein. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:12, on 08.04.2010 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure\Common\FNRB32.EXE C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure\Common\FSMA32.EXE C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe C:\Program Files\F-Secure\Common\FSMB32.EXE C:\WINDOWS\System32\ismserv.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Haufe\iDesk\iDeskService\ideskpython.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ntfrs.exe C:\Program Files\OmniBack\bin\omniinet.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snmp.exe C:\hp\hpsmh\bin\smhstart.exe C:\WINDOWS\system32\lserver.exe C:\hp\hpsmh\bin\hpsmhd.exe C:\Program Files\UPHClean\uphclean.exe C:\Program Files\UltraVNC\WinVNC.exe C:\Program Files\F-Secure\Common\FCH32.EXE C:\WINDOWS\System32\wins.exe C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe C:\WINDOWS\system32\CpqRcmc.exe C:\WINDOWS\system32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINDOWS\system32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\sysdown.exe C:\Program Files\F-Secure\Common\FAMEH32.EXE C:\Program Files\F-Secure\Anti-Virus\fsqh.exe C:\WINDOWS\system32\CPQMgmt\CqMgHost\cqmghost.exe C:\hp\hpsmh\bin\hpsmhd.exe C:\Program Files\F-Secure\Common\FIH32.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\Program Files\F-Secure\FSAUA\program\fsaua.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cpqteam.exe C:\Program Files\F-Secure\Common\FSM32.EXE C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\F-Secure\FSGUI\fsguidll.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\rdpclip.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Shortcut to Bginfo.lnk = C:\Documents and Settings\Administrator\Desktop\Bginfo.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: HP Power Manager Status.lnk = C:\Program Files\HP\Power Manager\BETaskMgr.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1270664421062 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\Software\..\Telephony: DomainName = xxx O17 - HKLM\System\CCS\Services\Tcpip\..\{279C327D-6658-4EA0-A1D0-6B61507C251F}: NameServer = 192.168.x.3,194.25.x.129 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\System\CS1\Services\Tcpip\..\{279C327D-6658-4EA0-A1D0-6B61507C251F}: NameServer = 192.168.x.3 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\System\CS2\Services\Tcpip\..\{279C327D-6658-4EA0-A1D0-6B61507C251F}: NameServer = 192.168.x.3,194.25.x.129 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\System\CS3\Services\Tcpip\..\{279C327D-6658-4EA0-A1D0-6B61507C251F}: NameServer = 192.168.x.3,194.25.x.129 O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\Cpqacuxe\Bin\hpapp.dll O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqRcmc.exe O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: HP Power Manager (DevManBE) - Unknown owner - C:\Program Files\HP\Power Manager\DevManBE.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE O23 - Service: Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Data Protector Inet (omniInet) - Hewlett-Packard - C:\Program Files\OmniBack\bin\omniinet.exe O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINDOWS\system32\sysdown.exe O23 - Service: HP System Management Homepage (SysMgmtHP) - Hewlett-Packard Company - C:\hp\hpsmh/bin/smhstart.exe O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe -- End of file - 8063 bytes UND HIER NUMMER 2.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 6:02:36 PM, on 4/8/2010 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959) Boot mode: Normal Running processes: C:\Documents and Settings\Administrator.FRA.000\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Altiris\AClient\AClient.exe C:\Compaq\vcagent\vcagent.exe C:\Program Files\Materials Control\watch.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure\Common\FNRB32.EXE C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure\Common\FSMA32.EXE C:\compaq\hpdiags\hpdiags.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\F-Secure\Common\FSMB32.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snmp.exe C:\Program Files\Scalix\Connect\sxservice.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\UPHClean\uphclean.exe C:\WINDOWS\System32\cdmsvc.exe C:\Program Files\F-Secure\Common\FCH32.EXE C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe C:\WINDOWS\system32\CpqRcmc.exe C:\WINDOWS\system32\CPQMgmt\CqMgServ\cqmgserv.exe C:\WINDOWS\system32\CPQMgmt\CqMgStor\cqmgstor.exe C:\WINDOWS\System32\ctxxmlss.exe C:\Program Files\F-Secure\Anti-Virus\fsqh.exe C:\WINDOWS\system32\encsvc.exe C:\Program Files\F-Secure\Common\FAMEH32.EXE C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe C:\WINDOWS\system32\mfcom.exe C:\WINDOWS\system32\sysdown.exe C:\WINDOWS\system32\CPQMgmt\CqMgHost\cqmghost.exe C:\WINDOWS\system32\CPQMgmt\cpqwmgmt.exe C:\Program Files\F-Secure\Common\FIH32.EXE C:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\Program Files\F-Secure\FSAUA\program\fsaua.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\WINDOWS\system32\winlogon.exe C:\Program Files\Citrix\ICA Client\ssonsvr.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cpqteam.exe C:\Program Files\Altiris\AClient\AClntUsr.EXE C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Citrix\System32\icabar.exe C:\Program Files\F-Secure\Common\FSM32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\F-Secure\FSGUI\fsguidll.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rezportal.rezidor.com/cs/Satellite?c=Page&cid=1150468121563&pagename=rezPortal/Page/rezRender R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://rezportal.rezidor.com/cs/Satellite?c=Page&cid=1150468121563&pagename=rezPortal/Page/rezRender R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [AClntUsr] C:\Program Files\Altiris\AClient\AClntUsr.EXE O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [InterBaseGuardian] C:\Program Files\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [IcaBar] C:\Program Files\Citrix\System32\icabar.exe /adminonly O4 - HKLM\..\Run: [DV4TS.EXE] c:\windows\system32\DV4TS.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator.fra.000\windows\system32\mswsock.dll' missing O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1102444995578 O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - hxxp://192.168.115.6:8080/EMC/setup.exe O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\Software\..\Telephony: DomainName = xxx O17 - HKLM\System\CCS\Services\Tcpip\..\{2CE2CD40-526E-4772-BA06-88A270DCB98E}: NameServer = 192.168.x.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA38B96-89DF-40C0-8805-EC98D4DD3D8A}: NameServer = 192.168.x.3 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx O20 - AppInit_DLLs: mfaphook.dll O23 - Service: Altiris Client Service (AClient) - Altiris, Inc. - C:\Program Files\Altiris\AClient\AClient.exe O23 - Service: Client Network (CdmService) - Citrix Systems, Inc. - C:\WINDOWS\System32\cdmsvc.exe O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe O23 - Service: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINDOWS\system32\CpqRcmc.exe O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\Compaq\vcagent\vcagent.exe O23 - Service: HP Insight Web Agent (CpqWebMgmt) - HP Corporation - C:\WINDOWS\system32\CPQMgmt\cpqwmgmt.exe O23 - Service: HP Insight Foundation Agent (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgHost\cqmghost.exe O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgServ\cqmgserv.exe O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQMgmt\CqMgStor\cqmgstor.exe O23 - Service: Citrix XML Service (CtxHttp) - Citrix Systems, Inc. - C:\WINDOWS\System32\ctxxmlss.exe O23 - Service: DGService - Unknown owner - C:\Program Files\Materials Control\watch.exe O23 - Service: Encryption Service - Citrix Systems, Inc. - C:\WINDOWS\system32\encsvc.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID.EXE O23 - Service: HP Insight Diagnostics (hpdiags) - Unknown owner - C:\compaq\hpdiags\hpdiags.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Independent Management Architecture (IMAService) - Citrix Systems, Inc. - C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: MetaFrame COM Server (MFCom) - Citrix Systems, Inc. - C:\WINDOWS\system32\mfcom.exe O23 - Service: Scalix Service (SXService) - Unknown owner - C:\Program Files\Scalix\Connect\sxservice.exe O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINDOWS\system32\sysdown.exe -- End of file - 9858 bytes Ich hoffe ihr könnt helfen, ich bin echt am verzweifeln... Freue mich auf Antworten.... Gruß Steve Geändert von Vectra214 (08.04.2010 um 18:07 Uhr) |
|
08.04.2010, 17:48
| #2 |
  | Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job Server gehoeren eigentlich nicht bereinigt, sondern neu aufgesetzt (via Backup o.ae.). Du solltest in deinem Eingangsposting auch evtl. persoenliche Daten (O17) editieren. Bei tusqh.rzh klingelt hier irgendwas mit Backdoor/Keylogger. Mach dir die Muehe und setze die entsprechenden Server neu auf und achte darauf, was man wirklich auf einem Server installieren muss und was man lieber nicht installiert. Aus juc und dollerei, teste bitte C:\Documents and Settings\Administrator.FRA.000\WINDOWS\System32\smss.exe bei Virustotal.com und poste den Link zum Ergebniss, sofern eure Richtlinien soetwas erlauben...
__________________ |
|
08.04.2010, 18:20
| #3 |
| | Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job Hallo Raman,
__________________erstmal Danke für den Hinweis O17  Werde sie wohl in naher Zukunft neu aufsetzen müssen, wollte bis dahin aber so gut wie möglich bereinigen. Keylogger? nicht nett. Wie kommst du drauf, google hat mir da gar keine Ergebnisse geliefert. Seltsamerweise gibt es den Ordner system32 unter dem User Administrator.FRA.000 nicht, versteckt und system files sind eingeblendet. Und nun? |
|
08.04.2010, 18:57
| #4 |
| | Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job Ich weiss leider nicht, in wie weit HijackThis mit Win2003 kompatibel ist, zumindest zeigt es die Datei unter "Running processes". Schau dir mal die Datei C:/Windows/Tasks/AT1.job btw alle Dateien, die mit AT[zahl].job anfangen an. Dort wirst du den Aufruf fuer die Malwaredatei finden. Wegen dem Keylogger/Formgrabber, wenn ich es recht in Erinnerung habe erzeugt die MAlware Dateien mit "unsinniger" Dateiendung, die dann mit rundll32 ueber diese AT Jobs gestartet wird. Achso Nachtrag: Ich kann dir nicht weiterhelfen, da mir das Eisen viel zu heiss ist....
__________________ MfG Ralf |
|
| Themen zu Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job |
| administrator, adobe, bho, cid, computer, cs3, defender, desktop, diagnostics, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, homepage, infiziert, internet explorer, löschen, monitor, object, pdf, plug-in, seiten, server, server 2003, shortcut, software, super, symantec, userinit.exe, w32/downadupjob.gen!a, windows, windows updates |
Linear-Darstellung
