Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: komische Datei im Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 31.08.2010, 11:31   #1
r3d007
 
komische Datei im Logfile - Standard

komische Datei im Logfile



Guten Morgen!!

Ich habe ein Problem. Fangen wir mal langsam an.

Ich bekam gerade einen Anruf und da wurde mir gesagt, dass TrendMicro OfficeScan 91000 Viren auf einem System gefunden hat.

Hmm, dachte ich mir, etwas sehr viele. Also Scareware vermutet. Aber der User am anderen Ende der Leitung ist sich absolut sicher, dass es TrendMicro ist und keine Fakesoftware. Nun gut ... her mit HijackThis und rüber laufen lassen.

Gesagt getan.

Das Logfile sieht eigentlich ganz gut aus nur stört mich ein Eintrag.
Code:
ATTFilter
C:\WINDOWS\TEMP\ZB9F3.EXE
         
Hat jemand eine Ahnung was das für eine Datei ist und wofür sie gut ist (ob gut oder böse ist ja egal ... für irgendwas wird sie gut sein.)

Hier poste ich dann nochmal das gesamte Logfile falls ich was übersehen habe.
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:11:45, on 31.08.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Extended\ADS9.0\Server\ads.exe
c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\flowslmd.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Autodesk Network License Manager\adskflex.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
\*****ZERSRV1\BUCHHALTUNG\COTEL\MCCWIN\PRG\ZBASE32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZB9F3.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Backup Exec\beremote.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Microsoft SQL Server_Vault\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccnt.exe
C:\Programme\IrfanView\i_view32.exe
C:\WINDOWS\system32\scrnsave.scr
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Dokumente und Einstellungen\Administrator.*****ZER\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQTEAM] C:\Programme\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Monitor Apache Servers.lnk = Apache2\bin\ApacheMonitor.exe
O15 - ESC Trusted Zone: *.chip.de
O15 - ESC Trusted Zone: hxxp://ads1.msn.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231154286233
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****zer.essen
O17 - HKLM\Software\..\Telephony: DomainName = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: Domain = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: NameServer = 192.168.2.2,145.***.***.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****zer.essen
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Advantage Database Server (Advantage) - iAnywhere Solutions, Inc. - C:\Programme\Extended\ADS9.0\Server\ads.exe
O23 - Service: Apache2 - Apache Software Foundation - c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
O23 - Service: Adaptive Server Anywhere - LXDBSRV (ASANYs_LXDBSRV) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beserver.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: Backup Exec DLO Administration Service (DLOAdminSvcu) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\DLOAdminSvcu.exe
O23 - Service: Backup Exec DLO Maintenance Service (DLOMaintenanceSvc) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\dlomaintsvcu.exe
O23 - Service: Flexlm Service 1 - Macrovision Corporation - C:\Programme\Autodesk Network License Manager\lmgrd.exe
O23 - Service: Flexlm Service 2 - Flowmaster - Macrovision Corporation - C:\flexlm\lmgrd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Commerzbank Electronic Banking-Datenbank (MultiCash) - Unknown owner - C:\WINDOWS\system32\B30SVC.EXE
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
--
End of file - 12040 bytes
         
Und, wie man am anfang des Logfiles ja schon sehen kann, läuft die ganze Sache unter einem W2k3 Standard Edition SP2.

Ich hoffe mir kann jemand helfen und danke schon mal im voraus.
Wenn jemand eine idee zu den extrem hohen Funden von TrendMicro hat, nehme ich die natürlich auch gerne entgegen.

MfG
r3d

 

Themen zu komische Datei im Logfile
0 bytes, adobe, anfang, bho, commerzbank, desktop, einstellungen, encrypt, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, langsam, lexware, logfile, microsoft, notification, pdf, plug-in, programme, security, server, shutdown, suche, symantec, system, temp, viren, windows




Ähnliche Themen: komische Datei im Logfile


  1. Mahnung von www.wahlbusch.de zip-Datei und darin enthaltene Datei geöffnet
    Log-Analyse und Auswertung - 18.04.2013 (7)
  2. Photshop datei von Adebo geladen und TROJ_GEN.RC1H1AV in der Datei gefunden
    Log-Analyse und Auswertung - 11.02.2013 (1)
  3. Avira findet TR/ATRAPS.gen kann die Datei aber nicht löschen. Wie bekomme ich die Datei vom System?
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (1)
  4. Glaube Verschlüsslungstrojaner(vor Datei locked nach datei pffp und andere änderungen)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  5. Auswertung Logfile - Komische Einträge mit systemroot
    Log-Analyse und Auswertung - 22.06.2011 (1)
  6. Hijack Logfile - PC lacht / komische Popups / Minianwendungen defekt
    Log-Analyse und Auswertung - 10.12.2010 (3)
  7. komische .scr Datei
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (31)
  8. cports Logfile, HOST Datei manipuliert?
    Log-Analyse und Auswertung - 18.03.2010 (3)
  9. Komische Datei im Temp ordner
    Plagegeister aller Art und deren Bekämpfung - 25.09.2008 (1)
  10. Bitte Auswertung von nem HJT-Logfile! Merkwürdige Toolbar, komische Prozesse etc.
    Log-Analyse und Auswertung - 24.02.2008 (1)
  11. komische exe Datei, im Internet nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.02.2008 (0)
  12. SPYBOT LOG DATEI mysteriös. bitte um auswertung der HIJACKTHIS LOG DATEI
    Log-Analyse und Auswertung - 29.01.2008 (0)
  13. komische links bei icq und komische email was ist das??
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (3)
  14. Komische avrun.exe Datei
    Log-Analyse und Auswertung - 19.03.2006 (11)
  15. komische Datei: col6904mu1
    Plagegeister aller Art und deren Bekämpfung - 16.04.2005 (4)
  16. komische datei
    Plagegeister aller Art und deren Bekämpfung - 04.03.2005 (7)
  17. Trojaner in datei gefunden (datei aber nicht vorhanden)
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (2)

Zum Thema komische Datei im Logfile - Guten Morgen!! Ich habe ein Problem. Fangen wir mal langsam an. Ich bekam gerade einen Anruf und da wurde mir gesagt, dass TrendMicro OfficeScan 91000 Viren auf einem System gefunden - komische Datei im Logfile...
Archiv
Du betrachtest: komische Datei im Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.