komische Datei im Logfile

r3d007 · 31.08.2010, 11:31

Guten Morgen!!

Ich habe ein Problem. Fangen wir mal langsam an.

Ich bekam gerade einen Anruf und da wurde mir gesagt, dass TrendMicro OfficeScan 91000 Viren auf einem System gefunden hat.

Hmm, dachte ich mir, etwas sehr viele. Also Scareware vermutet. Aber der User am anderen Ende der Leitung ist sich absolut sicher, dass es TrendMicro ist und keine Fakesoftware. Nun gut ... her mit HijackThis und rüber laufen lassen.

Gesagt getan.

Das Logfile sieht eigentlich ganz gut aus nur stört mich ein Eintrag.

Code:

ATTFilter

C:\WINDOWS\TEMP\ZB9F3.EXE

Hat jemand eine Ahnung was das für eine Datei ist und wofür sie gut ist (ob gut oder böse ist ja egal ... für irgendwas wird sie gut sein.)

Hier poste ich dann nochmal das gesamte Logfile falls ich was übersehen habe.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:11:45, on 31.08.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Extended\ADS9.0\Server\ads.exe
c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\flowslmd.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Autodesk Network License Manager\adskflex.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
\*****ZERSRV1\BUCHHALTUNG\COTEL\MCCWIN\PRG\ZBASE32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZB9F3.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Backup Exec\beremote.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Microsoft SQL Server_Vault\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccnt.exe
C:\Programme\IrfanView\i_view32.exe
C:\WINDOWS\system32\scrnsave.scr
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Dokumente und Einstellungen\Administrator.*****ZER\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQTEAM] C:\Programme\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Monitor Apache Servers.lnk = Apache2\bin\ApacheMonitor.exe
O15 - ESC Trusted Zone: *.chip.de
O15 - ESC Trusted Zone: hxxp://ads1.msn.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231154286233
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****zer.essen
O17 - HKLM\Software\..\Telephony: DomainName = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: Domain = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: NameServer = 192.168.2.2,145.***.***.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****zer.essen
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Advantage Database Server (Advantage) - iAnywhere Solutions, Inc. - C:\Programme\Extended\ADS9.0\Server\ads.exe
O23 - Service: Apache2 - Apache Software Foundation - c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
O23 - Service: Adaptive Server Anywhere - LXDBSRV (ASANYs_LXDBSRV) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beserver.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: Backup Exec DLO Administration Service (DLOAdminSvcu) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\DLOAdminSvcu.exe
O23 - Service: Backup Exec DLO Maintenance Service (DLOMaintenanceSvc) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\dlomaintsvcu.exe
O23 - Service: Flexlm Service 1 - Macrovision Corporation - C:\Programme\Autodesk Network License Manager\lmgrd.exe
O23 - Service: Flexlm Service 2 - Flowmaster - Macrovision Corporation - C:\flexlm\lmgrd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Commerzbank Electronic Banking-Datenbank (MultiCash) - Unknown owner - C:\WINDOWS\system32\B30SVC.EXE
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
--
End of file - 12040 bytes

Und, wie man am anfang des Logfiles ja schon sehen kann, läuft die ganze Sache unter einem W2k3 Standard Edition SP2.

Ich hoffe mir kann jemand helfen und danke schon mal im voraus.
Wenn jemand eine idee zu den extrem hohen Funden von TrendMicro hat, nehme ich die natürlich auch gerne entgegen.

MfG
r3d

komische Datei im Logfile

Log-Analyse und Auswertung: komische Datei im Logfile

komische Datei im Logfile

Ähnliche Themen: komische Datei im Logfile