Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.

*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.


Log-Analyse und Auswertung: *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.07.2010, 16:49   #1
Nemo79
 
*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc. - Standard

*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.


Moin moin Zusammen,

wir haben heute aktuellen Befall einer meiner Meinung nach Ransomware auf einem MS 2003 Server oder zumindest auf die Freigabedateien. Ich bitte um die Hilfe der Analyse des Server Hijack Logs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:43, on 19.07.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\SysMgt\RAC4\racsvc.exe
C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe
C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\SYSTEM32\DNTUS26.EXE
C:\WINDOWS\system32\DWRCS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Dell\SysMgt\sm\mr2kserv.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\nsclient_ce\NSClient++.exe
C:\Programme\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe
C:\Programme\Dell\SysMgt\cm\invcol\invcol.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
C:\WINDOWS\system32\DWRCST.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\DoScan.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = hxxp://197.46.112.3/wgproxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 197.46.112.114:8080
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3330061741-945155168-3372883284-4025\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'BackupEpp')
O4 - HKUS\S-1-5-21-3330061741-945155168-3372883284-4025\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'BackupEpp')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253050190953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253050181218
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
O17 - HKLM\Software\..\Telephony: DomainName =
O17 - HKLM\System\CCS\Services\Tcpip\..\{893C1630-8F68-49B9-9A9C-2DBD6BA1DB36}: NameServer = 10.226.226.242
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEE97CA-4AF0-4EE2-9C81-13EE9C757EF7}: NameServer = 10.226.226.242
O17 - HKLM\System\CCS\Services\Tcpip\..\{D90CE0D4-F2E4-4C1A-B2A2-F7BB7AE23651}: NameServer = 10.226.226.242,192.168.32.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain =
O17 - HKLM\System\CS1\Services\Tcpip\..\{893C1630-8F68-49B9-9A9C-2DBD6BA1DB36}: NameServer = 10.226.226.242
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain =
O17 - HKLM\System\CS2\Services\Tcpip\..\{893C1630-8F68-49B9-9A9C-2DBD6BA1DB36}: NameServer = 10.226.226.242
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DSM SA Event Manager (dcevt32) - Dell Inc. - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe
O23 - Service: DSM SA Data Manager (dcstor32) - Dell Inc. - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.EXE
O23 - Service: ExecView Communication Module (ECM) (ECM Service) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: mr2kserv - LSI Logic Corporation - C:\Programme\Dell\SysMgt\sm\mr2kserv.exe
O23 - Service: NSClientpp (Nagios) 0.3.6.385 2009-02-24 w32 (NSClientpp) - Unknown owner - C:\nsclient_ce\NSClient++.exe
O23 - Service: DSM SA Shared Services (omsad) - Dell Inc. - C:\Programme\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe
O23 - Service: Remote Access Controller 4 (RAC4) (racsvc) - Dell, Inc. - C:\Programme\Dell\SysMgt\RAC4\racsvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: DSM SA Connection Service (Server Administrator) - Unknown owner - C:\Programme\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Gibt es Möglichkeiten die Quelle des Trojaners zu finden?

Vielen Dank schonmal im Voraus für eure Hilfe.

MFG

Olli
Geändert von Nemo79 (19.07.2010 um 17:35 Uhr)

Alt 20.07.2010, 11:05   #2
Nemo79
 
*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc. - Standard

*.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.


Moin moin Zusammen,

hat hier keiner einen Rat?

Vielen Dank im Voraus.

MFG

Olli
__________________
Antwort

Themen zu *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.
administrator, agent, antivirus, befall, bho, browser, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, job, micro, microsoft, mssql, plug-in, programme, ransomware, remote access, remote control, server, software, start, symantec, system, system32, win32, windows


« Internet geht trotz Verbindung aus - hier das HiJackThis Logfile | Internet Explorer startet automatisch werbung und lautstärke verstellt sich »


Ähnliche Themen: *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc.


  1. Allerletzter Aufruf: Support für Windows Server 2003 endet
    Nachrichten - 14.07.2015 (0)
  2. Support-Ende bei Windows Server 2003 am 14. Juli
    Nachrichten - 24.06.2015 (0)
  3. Microsoft lässt Server-2003-Lücke ungepatcht
    Nachrichten - 23.01.2015 (0)
  4. Windows 2003 Server Win32 HEUR Virus
    Log-Analyse und Auswertung - 11.07.2012 (1)
  5. AKM Virus Paysafecard zahle €50 auf Windows Server 2003
    Plagegeister aller Art und deren Bekämpfung - 27.06.2012 (9)
  6. Windows 2003 Server - Langsamer Zugriff
    Log-Analyse und Auswertung - 24.05.2011 (5)
  7. Virenmeldung Windows Server 2003 64 bit
    Log-Analyse und Auswertung - 31.03.2011 (3)
  8. Win 2003 Server Enterprise - svchost.exe ?
    Log-Analyse und Auswertung - 31.05.2010 (3)
  9. Antiviren Software für Server 2003 ?
    Antiviren-, Firewall- und andere Schutzprogramme - 07.04.2009 (0)
  10. Backup-Software für Windows Server 2003
    Alles rund um Windows - 23.05.2008 (2)
  11. Benötige dringende Hilfe!!! Server 2003
    Mülltonne - 27.07.2007 (0)
  12. win 2003 server->exchange 2003->mailwurm im smtp ms5.hinet.de
    Plagegeister aller Art und deren Bekämpfung - 30.10.2005 (2)
  13. windows server 2003 - kein google möglich
    Plagegeister aller Art und deren Bekämpfung - 05.07.2005 (4)
  14. NT4 SP 6a PDC auf Win Server 2003 updaten....
    Alles rund um Windows - 27.12.2003 (0)
  15. Setup Disketten für Windows Server 2003 Enterprice Edition
    Alles rund um Windows - 08.06.2003 (16)
  16. Win 2003 Server - Schon erlebt?
    Alles rund um Windows - 03.05.2003 (1)
  17. windows server 2003
    Alles rund um Windows - 13.04.2003 (20)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc. - Moin moin Zusammen, wir haben heute aktuellen Befall einer meiner Meinung nach Ransomware auf einem MS 2003 Server oder zumindest auf die Freigabedateien. Ich bitte um die Hilfe der Analyse - *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc....
Archiv
Du betrachtest: *.crypted Dateiendungen MS Server 2003 *.jpg/xls/doc/zip etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131