| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm_downad.ad ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.04.2010, 09:51
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Worm_downad.ad ? Im OSAM Log vom Server 2003 hab ich diese Einträge gefunden: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
22.04.2010, 10:15
| #17 |
 | Worm_downad.ad ? Heisst das die Dateien erst deaktivieren und dann müssten sie als Datei zu finden sein? Dann mit Virustotal scannen und dann?
__________________ |
|
22.04.2010, 12:00
| #18 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ?Zitat:
 ).Zitat:
__________________ |
|
22.04.2010, 12:10
| #19 |
| | Worm_downad.ad ? Wie gesagt auf dem einen Client deaktiviert und gelöscht die Meldung kommt aber trotzdem noch! Gibt es noch ne andere Alternative? Gruß |
|
22.04.2010, 12:36
| #20 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ?Zitat:
Zitat:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.04.2010, 08:11
| #21 |
| | Worm_downad.ad ? Hallo, also auf dem Client hat das ComboFix folgendes herausgegeben: ComboFix 10-04-21.01 - schoenea 22.04.2010 14:26:29.1.2 - x86 ausgeführt von:: c:\dokumente und einstellungen\schoenea.STW\Desktop\Cofi.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\Cache c:\windows\system32\noruns.reg . ((((((((((((((((((((((( Dateien erstellt von 2010-03-22 bis 2010-04-22 )))))))))))))))))))))))))))))) . 2010-04-22 07:45 . 2010-04-22 07:52 -------- d-----w- c:\dokumente und einstellungen\schoenea.STW\Anwendungsdaten\Online Solutions 2010-04-20 11:26 . 2010-04-20 11:26 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2010-04-20 10:05 . 2010-04-20 10:05 -------- d-sh--w- c:\dokumente und einstellungen\schoenea.STW\PrivacIE 2010-04-20 06:56 . 2010-04-20 06:56 -------- d-sh--w- c:\dokumente und einstellungen\schoenea.STW\IETldCache 2010-04-20 06:53 . 2010-04-20 06:53 -------- d-----w- c:\windows\ie8updates 2010-04-20 06:52 . 2010-04-20 06:53 -------- d-----w- c:\windows\system32\de-DE 2010-04-20 06:52 . 2010-04-20 06:53 -------- dc-h--w- c:\windows\ie8 2010-04-20 06:36 . 2010-04-20 06:36 -------- d-----w- c:\programme\MSXML 4.0 2010-04-20 06:33 . 2008-02-26 11:59 294912 ------w- c:\windows\system32\dllcache\msctf.dll 2010-04-20 06:33 . 2010-02-25 06:15 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll 2010-04-20 06:33 . 2010-02-25 06:14 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll 2010-04-20 06:33 . 2010-02-25 06:15 12800 ------w- c:\windows\system32\dllcache\xpshims.dll 2010-04-20 06:33 . 2010-02-25 06:15 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll 2010-04-20 06:33 . 2010-02-25 06:15 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll 2010-04-20 06:31 . 2010-02-16 04:50 64000 ------w- c:\windows\system32\dllcache\iecompat.dll 2010-04-20 06:26 . 2010-04-20 06:26 -------- d-----w- c:\windows\ServicePackFiles 2010-04-20 06:23 . 2010-04-20 06:23 -------- d-----w- c:\windows\system32\KB905474 2010-04-20 06:23 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe 2010-04-20 06:23 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe 2010-04-20 06:22 . 2010-04-20 06:22 -------- d-----w- c:\programme\MSXML 6.0 2010-04-20 06:16 . 2010-02-24 12:31 454016 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2010-04-20 06:15 . 2009-10-23 14:27 3555328 ------w- c:\windows\system32\dllcache\moviemk.exe 2010-04-20 06:15 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2010-04-20 06:15 . 2009-12-31 16:14 352640 ------w- c:\windows\system32\dllcache\srv.sys 2010-04-20 06:13 . 2009-10-15 17:20 82432 ------w- c:\windows\system32\dllcache\fontsub.dll 2010-04-20 06:13 . 2009-11-21 16:37 470528 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-04-20 06:07 . 2009-06-21 22:05 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2010-04-20 06:06 . 2009-07-10 13:39 1315328 ------w- c:\windows\system32\dllcache\msoe.dll 2010-04-20 06:06 . 2009-06-05 07:42 655872 ------w- c:\windows\system32\dllcache\mstscax.dll 2010-04-20 06:01 . 2009-07-31 04:58 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll 2010-04-20 06:00 . 2008-05-01 14:30 331776 ------w- c:\windows\system32\dllcache\msadce.dll 2010-04-20 06:00 . 2008-04-11 18:50 683520 ------w- c:\windows\system32\dllcache\inetcomm.dll 2010-04-20 05:59 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\drivers\bthport.sys 2010-04-20 05:59 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\dllcache\bthport.sys 2010-04-20 05:59 . 2008-05-08 12:28 202752 ------w- c:\windows\system32\dllcache\rmcast.sys 2010-04-20 05:58 . 2009-01-07 16:20 26144 ----a-w- c:\windows\system32\spupdsvc.exe 2010-04-20 05:36 . 2009-08-06 17:24 44768 ----a-w- c:\windows\system32\wups2.dll 2010-04-20 05:09 . 2010-04-20 05:09 -------- d-sh--w- c:\dokumente und einstellungen\schoenea.STW\UserData 2010-04-19 09:53 . 2010-04-19 09:53 -------- d-----w- c:\dokumente und einstellungen\schoenea.STW\Anwendungsdaten\Malwarebytes 2010-04-19 09:53 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-19 09:53 . 2010-04-19 09:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-19 09:53 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-19 09:53 . 2010-04-19 09:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-19 05:25 . 2008-10-15 16:57 332800 ------w- c:\windows\system32\dllcache\netapi32.dll 2010-04-16 09:53 . 2009-02-11 15:17 142992 ----a-w- c:\windows\system32\drivers\tmcomm.sys 2010-04-16 09:53 . 2010-04-16 09:53 -------- d-----w- c:\windows\system32\log 2010-04-16 09:53 . 2010-04-16 09:53 -------- d-----w- c:\programme\Trend Micro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-22 08:07 . 2007-02-06 09:46 -------- d-----w- c:\programme\PFANNEN 2010-04-20 06:48 . 2004-08-13 12:40 562956 ----a-w- c:\windows\system32\perfh007.dat 2010-04-20 06:48 . 2004-08-13 12:40 130788 ----a-w- c:\windows\system32\perfc007.dat 2010-03-23 06:07 . 2007-05-08 06:08 -------- d-----w- c:\dokumente und einstellungen\schoenea.STW\Anwendungsdaten\pdfMachine 2010-03-09 09:34 . 2007-04-26 10:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-03-03 10:41 . 2010-03-03 10:41 71264 ----a-w- c:\dokumente und einstellungen\afliegen\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-02-25 06:15 . 2004-08-13 12:40 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 12:31 . 2005-11-29 04:03 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-24 08:00 . 2009-12-03 12:43 -------- d-----w- c:\programme\Incuity 2010-02-16 19:30 . 2004-08-13 12:40 2139648 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:30 . 2004-08-04 00:50 2019328 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 04:45 . 2004-08-13 12:40 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:01 . 2004-08-13 12:40 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-06 94208] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-06 77824] "Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-06 114688] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975] "OSSelectorReinstall"="c:\programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2005-11-09 1556456] "TrueImageMonitor.exe"="d:\programme\Acronis\True Image 9.0\TrueImageMonitor.exe" [2005-11-16 1009806] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-16 118784] "Acrobat Assistant 7.0"="d:\programme\Adobe Acrobat\Distillr\Acrotray.exe" [2004-12-14 483328] "Pfannenupdate"="c:\programme\PFANNEN\Pfannen_Update.exe" [2008-06-25 139264] "bgsmsnd.exe"="c:\windows\system32\bgsmsnd.exe" [2007-11-19 160136] "OfficeScanNT Monitor"="c:\programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2009-02-11 718120] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\schoenea.STW\Startmen\Programme\Autostart\ Microsoft Office Outlook 2003.lnk - c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2006-1-24 794624] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-7-27 25214] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] 2005-05-20 10:51 8704 ----a-w- c:\windows\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\Symantec\\PCAnywhere\\awhost32.exe"= "c:\\Programme\\VAI\\Vai ProcessExplorer GMH\\Vai.ProcessExplorerForm.exe"= "c:\\oracle\\ora10g\\jdk\\jre\\bin\\java.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R2 TmFilter;Trend Micro Filter;c:\programme\Trend Micro\OfficeScan Client\TmXpflt.sys [26.11.2008 17:42 230928] R2 TmPreFilter;Trend Micro PreFilter;c:\programme\Trend Micro\OfficeScan Client\TmPreflt.sys [26.11.2008 17:42 36368] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [23.08.2004 02:00 60032] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [23.08.2004 02:00 61056] R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [23.08.2004 02:00 49664] S2 NWC_Service;NWC Service;c:\nwc\NWC_SERVICE.EXE [06.02.2007 10:25 91648] S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [23.08.2004 02:00 53248] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);c:\windows\system32\drivers\bfhubase.sys [23.08.2004 02:00 796192] S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [23.08.2004 02:00 374144] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [23.08.2004 02:00 35914] S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [08.05.2007 08:08 23288] S3 TmProxy;OfficeScan NT Proxy Service;c:\programme\Trend Micro\OfficeScan Client\TmProxy.exe [11.02.2009 17:00 652552] S4 msvsmon80;Visual Studio 2005 Remote Debugger;d:\programme\Microsoft Visual Studio .NET 2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09.12.2005 11:40 2799808] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs eifqcaunr hwvzw [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##sg-prod3#d$] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn . Inhalt des "geplante Tasks" Ordners 2010-04-22 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2010-04-20 20:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = 172.16.0.6:8080 IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - hxxp://support.microsoft.com/ TCP: {E4E361F5-0DE8-4C76-A282-DB1F762EE139} = 192.168.10.15,192.168.10.14 DPF: {4FDF3696-5078-4952-868C-CEEB9683B8C4} - hxxp://192.168.10.31/cab/DownloadFile.cab DPF: {7D30109B-DD2B-4339-BE80-1CD48723C2BC} - hxxp://192.168.10.31/cab/Live.cab . . ------- Dateityp-Verknüpfung ------- . .txt=UltraEdit.txt . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-551994410-1285964257-3565697379-1122\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit] @Denied: (Full) (Administrators) "View"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff, ff,ff,ff,ff,ff,ff,3a,00,00,00,93,00,00,00,d7,04,00,00,65,03,00,00,a7,01,00,\ "FindFlags"=dword:0000000e [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32*] "Class"=hex:8c,87,5c,85,bf,21,8c,27,0a,94,1b,74,2c,48,eb,5d,8d,30,3b,51,d5,08, f9,5c,b3,dd,f7,e0,56,8d,22,d4,0a,19,bd,e3,13,f3,a4,51,d1,d7,6b,48,78,46,31,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32*] "Class"=hex:ef,fc,da,4c,f0,07,46,5b,2a,bd,71,4a,9a,42,7e,05,c3,7e,39,91,7e,fb, 16,66,16,15,27,6f,11,8c,18,08,a1,06,61,48,73,94,d3,59,a7,0c,bf,2c,44,1b,fc,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32*] "Class"=hex:11,8e,b4,c6,6c,d2,d8,ec,d4,04,9d,bb,b1,1e,c6,8a,3f,f0,dd,1a,6c,81, b3,3a,d1,1b,03,a0,be,0d,3e,4a,1a,5f,64,a5,9d,56,80,e5,73,d8,68,2e,31,25,f7,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32*] "Class"=hex:06,c0,a7,84,1d,78,15,4d,3d,59,f4,14,05,6f,89,47,8e,90,f9,a7,1d,74, f1,83,c2,2b,3a,52,bb,30,77,9e,37,9d,9d,de,09,9a,c7,02,29,e0,b2,06,6e,85,69,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32*] "Class"=hex:0d,d8,d0,dc,b7,e0,b8,65,23,b4,1c,65,0d,8c,29,7f,84,22,c8,6f,93,fa, d5,44,ee,92,b5,fb,9c,92,e9,4a,95,ae,87,91,46,c7,9b,5e,d4,4e,f5,76,4c,f3,b2,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32*] "Class"=hex:e1,62,26,42,65,26,00,d8,6e,ec,87,a5,34,b8,61,9a,49,86,ee,5c,bb,0b, 83,ac,89,fc,14,e7,f5,c1,59,bc,f1,2f,c1,05,22,bb,14,ee,a8,cc,18,a6,be,6c,34,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32*] "Class"=hex:32,d0,64,76,61,a8,ea,24,df,22,87,58,78,db,59,af,03,e8,53,d2,02,bc, 0e,5a,bb,98,c5,e0,5b,f2,87,ac,59,b7,06,79,4a,40,24,c1,00,cd,bf,a3,21,b6,14,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32*] "Class"=hex:67,cf,1b,7a,65,da,36,91,e4,8e,a0,02,cf,3c,10,11,c1,c3,62,18,50,b4, e9,b5,3c,f5,d1,32,1a,2d,fb,bd,5c,73,60,98,70,8b,b1,67,14,12,1b,29,10,83,80,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32*] "Class"=hex:85,c4,93,0e,96,0c,d6,dc,c8,27,06,fe,48,99,18,55,df,62,b5,43,dc,79, cb,d3,32,3c,5e,6a,ed,d3,a0,9b,18,49,80,52,51,68,e3,23,19,a1,3f,26,76,cb,9e,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32*] "Class"=hex:7f,ec,7b,87,45,64,f3,ee,5f,9b,22,9b,46,74,88,d0,45,b9,91,bf,4b,c6, c1,5b,d3,16,3b,52,bb,b9,ca,41,71,a9,8e,75,6f,23,0c,2b,a1,fe,d3,db,8a,1c,85,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32*] "Class"=hex:95,a6,39,c9,da,c7,e7,ed,27,60,fc,9a,44,86,eb,1f,24,1d,bc,3a,09,9f, 32,e7,25,55,fa,db,e0,82,82,7f,b3,d4,9d,b3,a6,98,97,8d,82,06,d7,f1,43,7e,f7,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32*] "Class"=hex:43,b9,8e,70,8d,98,33,b0,54,39,22,16,99,20,c3,4d,36,94,bb,f5,ae,69, ec,56,ef,f8,b2,8b,9f,93,d8,2f,28,13,92,88,3d,6e,a1,61,74,4d,b3,73,56,5b,ac,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32*] "Class"=hex:71,ce,04,64,0f,9b,c1,e7,e7,14,0c,7b,c9,59,f2,47,db,bc,23,90,e0,94, 93,fc,c1,41,ac,60,6e,ba,c6,77,66,80,4b,1d,31,33,64,8f,4d,e2,a7,83,c3,f2,1f,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32*] "Class"=hex:10,bb,e2,52,08,d8,ad,e7,40,d2,6c,be,99,74,18,41,06,e1,d4,77,f6,91, cf,8c,17,3d,bf,03,46,7c,d2,ff,ed,ac,a2,50,c4,ba,38,c1,59,ae,3f,e1,ae,ea,91,\ "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(844) c:\windows\system32\relog_ap.dll . Zeit der Fertigstellung: 2010-04-22 14:38:23 ComboFix-quarantined-files.txt 2010-04-22 12:38 Vor Suchlauf: 2.384.510.976 Bytes frei Nach Suchlauf: 2.353.430.528 Bytes frei - - End Of File - - 5A661715253EFAA3E66DA2685644041E |
|
23.04.2010, 08:17
| #22 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.04.2010, 09:10
| #23 |
| | Worm_downad.ad ? Hallo, also ich habe jetzt auf einem Server endlich mal eine .dll gefunden und diese mit Virustotal gescannt - kein Ergebnis! Hier mal das log file für diesen Server: Report of OSAM: Autorun Manager v5.0.11926.0 Online Solutions. Complex Protection for Information Systems Saved at 10:07:17 on 23.04.2010 OS: Windows Server 2003, Standard Edition Service Pack 2 (Build 3790) Default Browser: Microsoft Corporation Internet Explorer 6.00.3790.3959 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "EXPORT_ALL_ELO.job" - ? - D:\sekmet\Database\Export\EXPORT_ALL_ELO.Cmd "EXPORT_ALL_PO.job" - ? - D:\sekmet\Database\Export\EXPORT_ALL_PO.Cmd "EXPORT_ALL_SIM.job" - ? - D:\sekmet\Database\Export\EXPORT_ALL_SIM.Cmd "EXPORT_ALL_VAK.job" - ? - D:\sekmet\Database\Export\EXPORT_ALL_VAK.Cmd "TIMESYNC.job" - ? - D:\sekmet\TIMESYNC.BAT "TIMESYNC1.job" - ? - D:\sekmet\TIMESYNC.BAT [Control Panel Objects] -----( %SystemRoot%\system32 )----- "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "S7epaepx.cpl" - "SIEMENS AG" - C:\WINDOWS\system32\S7epaepx.cpl "S7EPATDX.CPL" - "SIEMENS AG" - C:\WINDOWS\system32\S7EPATDX.CPL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "awecho" (awecho) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\awechomd.sys "awlegacy" (awlegacy) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\awlegacy.sys "AW_HOST" (AW_HOST) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\aw_host5.sys "BASFND" (BASFND) - "Broadcom Corporation" - C:\Programme\Broadcom\SNMP\BASFND.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Dpmtrcdd" (Dpmtrcdd) - "Siemens AG" - C:\WINDOWS\System32\DRIVERS\dpmtrcdd.sys "Gernuwa" (Gernuwa) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\Gernuwa.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "IP/IP-Tunneltreiber" (IpInIp) - ? - C:\WINDOWS\System32\DRIVERS\ipinip.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PORTACCESSOR_1" (PORTACCESSOR_1) - "Dell Inc." - C:\Programme\Dell\SysMgt\oldiags\packages\PORTACCESSOR32.sys "PROFINET IO RT-Protocol" (s7snsrtx) - ? - C:\WINDOWS\System32\DRIVERS\s7snsrtx.sys "s7otranx" (s7otranx) - "SIEMENS AG" - C:\WINDOWS\System32\Drivers\s7otranx.sys "scpdrv" (scpdrv) - ? - C:\Programme\Gemeinsame Dateien\Siemens\SWS\PlugIns\SCP\scpdrv.sys (File found, but it contains no detailed information) "SIMATIC Industrial Ethernet (ISO)" (SNTIE) - "Siemens AG" - C:\WINDOWS\System32\DRIVERS\sntie.sys "SymEvent" (SymEvent) - "Symantec Corporation" - C:\Programme\Symantec\SYMEVENT.SYS "Systems management IPMI driver" (dcdipm) - ? - C:\WINDOWS\System32\DRIVERS\dcdipm32.sys (File not found) "tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys "Trend Micro Filter" (TmFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys "Trend Micro PreFilter" (TmPreFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys "Trend Micro VSAPI NT" (VSApiNt) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {9DE24BAC-FC3C-42c4-9FC4-76B3FAFDBD90} "Quest RevNet Protocol" - ? - C:\PROGRA~1\QUESTS~1\SQLNAV~1\RNetPin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll {88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? - hticons.dll (File not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {59B0F512-BD54-46f7-A872-039788A3A5AD} "Simatic Shell" - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\ACE\Bin\CCShellExtention.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [Known DLLs] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )----- "wow64" - ? - C:\WINDOWS\system32\wow64.dll (File not found) "wow64cpu" - ? - C:\WINDOWS\system32\wow64cpu.dll (File not found) "wow64win" - ? - C:\WINDOWS\system32\wow64win.dll (File not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Komponenten Konfigurator.lnk" - "Siemens AG" - C:\Programme\Gemeinsame Dateien\Siemens\S7wnsmsx\s7wnsmgx.exe (Shortcut exists | File exists) "Verknüpfung mit Subst_Drive_U.lnk" - ? - D:\sekmet\UI_DEV\LW_U\Subst_Drive_U.bat (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\administrator.STW\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Kill_Old_SimaticNet_Setup" - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\SimNetCom\_koss "OfficeScanNT Monitor" - "Trend Micro Inc." - "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow "simpcmon" - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\bincfg\_simpcmon.exe "SunJavaUpdateSched" - ? - "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" (File not found) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "pcAnywhere Remote Printing" - "Symantec Corporation" - C:\WINDOWS\system32\awmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Automation License Manager Service" (almservice) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe "Backup Exec Remote Agent for Windows Servers" (BackupExecAgentAccelerator) - "Symantec Corporation" - C:\Programme\VERITAS\Backup Exec\RANT\beremote.exe "CCAgent" (CCAgent) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCAgent.exe "CCEClient" (CCEClient) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEClient.exe "CCEServer" (CCEServer) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEServer.exe "DSM BMU SOL Proxy" (SOLProxy) - ? - C:\Programme\Dell\SysMgt\bmc\DSM_BMU_SOLProxy32.exe (File found, but it contains no detailed information) "DSM IT Assistant Connection Service" (dcconnsvc) - ? - C:\Programme\Dell\SysMgt\ITAssistant\iws\bin\win32\dsm_om_connsvc32.exe "DSM IT Assistant Network Monitor" (dcnetmon) - "Dell Inc." - C:\Programme\Dell\SysMgt\ITAssistant\bin\DSM_ITA_Netmon32.exe "DSM SA Connection Service" (Server Administrator) - ? - C:\Programme\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe "DSM SA Data Manager" (dcstor32) - "Dell Inc." - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe "DSM SA Event Manager" (dcevt32) - "Dell Inc." - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe "DSM SA Shared Services" (omsad) - "Dell Inc." - C:\Programme\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe "mr2kserv" (mr2kserv) - "LSI Logic Corporation" - C:\Programme\Dell\SysMgt\sm\mr2kserv.exe "Network Time Protocol Daemon" (NTP) - ? - C:\Programme\NTP\bin\ntpd.exe (File found, but it contains no detailed information) "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "OfficeScan NT Listener" (tmlisten) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe "OfficeScan NT Proxy Service" (TmProxy) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe "OfficeScanNT RealTime Scan" (ntrtscan) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe "OpcEnum" (OpcEnum) - "OPC Foundation" - C:\WINDOWS\system32\OpcEnum.exe "OracleDBConsoleSTENTW" (OracleDBConsoleSTENTW) - "Oracle Corporation" - D:\oracle\ora10g\bin\nmesrvc.exe "OracleOraHome10gTNSListener" (OracleOraHome10gTNSListener) - ? - D:\oracle\ora10g\BIN\TNSLSNR.exe (File found, but it contains no detailed information) "OracleServiceSTENTW" (OracleServiceSTENTW) - "Oracle Corporation" - d:\oracle\ora10g\bin\ORACLE.EXE "pcAnywhere Host-Modul" (awhost32) - "Symantec Corporation" - C:\Programme\Symantec\pcAnywhere\awhost32.exe "Remote Access Controller 4 (RAC4)" (racsvc) - "Dell, Inc." - C:\Programme\Dell\SysMgt\RAC4\racsvc.exe "S7 Global Services" (s7asysvx) - "SIEMENS AG" - C:\Programme\SIEMENS\SIMATIC.NCM\S7bin\s7asysvx.exe "Shell Task" (geiretsjo) - ? - C:\WINDOWS\system32\cnysu.dll (Hidden registry entry, rootkit activity | File not found) "SIMATIC IEPG Help Service" (s7oiehsx) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe "SIMATIC NET Configuration Server" (SIMATIC NET Configuration Server) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\bincfg\scorecfg.exe "SIMATIC NET Configuration Service" (SIMATIC NET Configuration Service) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\bincfg\SServCFG.exe "SIMATIC NET Core Server DP" (SIMATIC NET Core Server DP) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\bindp\scoredp.exe "SIMATIC NET Core Server DP2" (SIMATIC NET Core Server DP2) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\bindp2\scoredp2.exe "SIMATIC NET Core Server FDL" (SIMATIC NET Core Server FDL) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binfdl\scorefdl.exe "SIMATIC NET Core Server FMS" (SIMATIC NET Core Server FMS) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binfms\scorefms.exe "SIMATIC NET Core Server PD" (SIMATIC NET Core Server PD) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binpd\scorepd.exe "SIMATIC NET Core Server PROFINET CbA" (SIMATIC NET Core Server PROFINET CbA) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binPN\scorepn.exe "SIMATIC NET Core Server PROFINET IO" (SIMATIC NET Core Server PROFINET IO) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binpnio\scorepnio.exe "SIMATIC NET Core Server S7" (SIMATIC NET Core Server S7) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binS7\SCoreS7.exe "SIMATIC NET Core Server SNMP" (SIMATIC NET Core Server SNMP) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binSNMP\scoresnmp.exe "SIMATIC NET Core Server SR" (SIMATIC NET Core Server SR) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\opc2\binsr\scoresr.exe "SIMATIC NET P&P Manager" (SIMATIC NET P&P Manager) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\SimNetCom\simnetpnpman.exe "SIMATIC NET Route Manager" (SIMATIC NET RouteManager) - "SIEMENS AG" - C:\Programme\Gemeinsame Dateien\Siemens\s7wnrmsx\s7wnrmsx.exe "SIMATIC NET Station-Manager" (StatMgr) - "Siemens AG" - C:\Programme\Gemeinsame Dateien\Siemens\s7wnsmsx\s7wnsmsx.exe "SIMATIC NET Synchronization Service" (sim9sync) - "Siemens AG" - C:\Programme\SIEMENS\SIMATIC.NET\SimNetCom\sim9sync.exe "SQL Server (MSSQLSERVER)" (MSSQLSERVER) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe "SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe "System Boot" (rxeczri) - ? - C:\WINDOWS\system32\cnysu.dll (Hidden registry entry, rootkit activity | File not found) "VAI Startup COM_SIM PRD" (VAI Startup COM_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup ELO_SIM PRD" (VAI Startup ELO_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup PO1_SIM PRD" (VAI Startup PO1_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup PO2_SIM PRD" (VAI Startup PO2_SIM PRD) - ? - D:\sekmet\Steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup SP1_SIM PRD" (VAI Startup SP1_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup SP2_SIM PRD" (VAI Startup SP2_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) "VAI Startup VAK_SIM PRD" (VAI Startup VAK_SIM PRD) - ? - D:\sekmet\steel\common\win32\sysmgr\vai_service.exe (File found, but it contains no detailed information) [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) (Disabled) "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "PCANotify" - "Symantec Corporation" - C:\WINDOWS\system32\PCANotify.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit Online Solutions :: Index Ich habe dann noch auf mehreren Rechnern die Einträge [Known DLLs] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )----- "wow64" - ? - C:\WINDOWS\system32\wow64.dll (File not found) "wow64cpu" - ? - C:\WINDOWS\system32\wow64cpu.dll (File not found) "wow64win" - ? - C:\WINDOWS\system32\wow64win.dll (File not found) sind diese auch schädlich? Was muss ich nun genau machen? Gruß und Danke schonmal für die hervorragende Hilfeleistung :-) |
|
23.04.2010, 11:09
| #24 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? *hust* ich wiederhole: Zitat:
Lass und bitte erstmal nur beim Server und bei dem einen Client bleiben, sonst verliert man hier den Durchblick. Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.04.2010, 11:20
| #25 |
| | Worm_downad.ad ? Also du hast recht wir bleiben jetzt bei einem Server und einem Client! Aktuell habe ich auf dem Server eine dll gefunden wie im letzten Log-File zu sehen ist! und diese deaktiviert und dann gelöscht! Jetzt taucht immoment diese Datei nicht mehr auf! Hoffentlich ist deine Frage beantwortet  (Delayed) HKLM\SYSTEM\CurrentControlSet\Services\geiretsjo Shell Task C:\WINDOWS\system32\cnysu.dll (Delayed) HKLM\SYSTEM\CurrentControlSet\Services\rxeczri System Boot C:\WINDOWS\system32\cnysu.dll Gruß |
|
23.04.2010, 11:27
| #26 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Okay und auf dem Client, den wir behandelt hatten? Auf dem Server ist die Meldung über die Datei jetzt weg wenn ich das richtig verstanden habe. Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.04.2010, 12:44
| #27 |
| | Worm_downad.ad ? Auf dem Client habe ich das selbe gemacht und bisher ca 1std nirgends eine Fehlermeldu!ng bekommen  hoffe das es so bleibt!bei virustotal wurde nix gefunden gruß |
|
23.04.2010, 12:57
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Lad die Datei bitte mal bei uns hoch > http://www.trojaner-board.de/54791-a...ner-board.html Bei den anderen Clients kannst Du ja analog vorgehen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
26.04.2010, 07:16
| #29 |
| | Worm_downad.ad ? Guten Morgen, leider gibt es diese Datei nicht mehr! Das komische der Server ist nun Meldungsfrei! Der Client bekommt seit dieser Nacht wieder die Meldung obwohl OSAm nichts findest! Analog sieht es auf anderen Client und Servern auch aus!  Was könnte man noch tun?  Gruß |
|
26.04.2010, 08:52
| #30 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Da der Bereinigungsaufwand wohl doch zu hoch ist, was ist hiermit: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Worm_downad.ad ? |
| alarm, befallen, bezüglich, c:\windows, einträge, entfernen, fehlermeldungen, hartnäckigen, hijack, hijackthis, malwarebytes, neuste, scan, scanner, schlägt, server, system, system32, systeme, tools, virenscan, virenscanner, windows, worm, wurm |
Linear-Darstellung
