|
bitte schaut doch mal über mein HiJackThis Log-file Ich besitze einen Server, der innerhalb eines Servernetztes angesiedelt ist. Der Systemadmin hat festgestellt, dass auf meinem Server immer wieder ein Programm versucht nach draußen zu telefonieren, was auf Grund der Firewall nicht geht. Den virus würde ich gerne los werden. Habe HiJackThis laufen lassen und folgendes Log erhalten. wer ist böse und muss gefixed werden? Vielen Dank für Eure Mühe im Voraus! Juttad Logfile of HijackThis v1.97.7 Scan saved at 12:12:29, on 04.11.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\Dfssvc.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe C:\WINNT\System32\dmadmin.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\servicer.exe C:\WINNT\System32\internat.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\System32\mdm.exe C:\WINNT\system32\logon.scr D:\inst progs von w\virenscanner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.***.**.**:yyyy O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = d***r.com O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = ***.***.**.** O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d****r.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = d****r.com |
Servus, juttad! Zuerst zum Logfile und Deinem BS Zitat:
Du hast einen Blaster Wurm http://securityresponse.symantec.com...er.c.worm.html an board. --> Zitat:
Zitat:
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Allein der Blaster lässt mich Dir nur das http://www.trojaner-board.de/showthread.php?t=12154 raten! Poste aber auf jeden Fall noch das Jotti-Ergebnis und ein aktuelle HJT Log bis dann, stupormundi |
hallo, stupormundi, danke für deine antwort. ich habe gerade den w32 blaster fixtool von symantec runter geladen und laufen lassen. die suche war nicht erfolgreich, es wude kein wurm gefunden. beim checken der server.exe-datei ist ein fehler aufgetreten, habe also den task abgeschossen und jetzt ist die Datei aus dem Verzeichnis verschwunden. Wo bekomme ich die neue Version von HiJackThis? werde gleich den Server mit den neuesten Updates von W2K beglücken. hier das logfile: Logfile of HijackThis v1.97.7 Scan saved at 13:07:57, on 04.11.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\Dfssvc.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe C:\WINNT\System32\dmadmin.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\internat.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\System32\mdm.exe C:\WINNT\system32\logon.scr D:\inst progs von w\virenscanner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xxx.xx.xx:yyyy O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = duecker.com O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = xxx.xxx.xx.xx O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dxxxr.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dxxxr.com |
Lese hier, da ist der Link: http://www.trojaner-board.de/showthread.php?t=17493 Beachte beim Posten auch den Hinweis in meiner Signatur. |
danke, felix1, habe mir die neuese Version runtergeladen. werde mir gleich ein neues logfile erstellen lassen, nachdem ich sp4 aufgespielt habe. |
Hallo, jetzt habe ich, glaube ich, von allen Programmen die neuesten Versionen aufgespielt und dann noch mal von HiJackThis ein Logfile erstellen lassen und beigefügt. Ist jetzt mein PC wieder sauber oder muss ich noch etwas machen? Vielen Dank für Eure Mühen Jutta D Logfile of HijackThis v1.99.1 Scan saved at 16:57:09, on 04.11.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Dfssvc.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\logon.scr C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\WinZip\WZQKPICK.EXE D:\inst progs von w\virenscanner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xxx.xx.xx:yyyy O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = duecker.com O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = xxx.xxx.xx.xx O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d***r.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = d***er.com O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe |
Hallo, beende mal diesen Prozess im Taskmanager: C:\WINNT\system32\logon.scr und überprüfe die zugehörige Datei hier ___________________________________ Ist das eigentlich normal das der Eintrag von der automatischen Auswertung einfach weggestrichen wird? ___________________________________ [Edit] Die Datei scheint der normale Bildschirmschoner zu sein, aber warum läuft der während dem scan mit HijackThis? [/Edit] Grüße Wildone |
Hi, Wildone, im Taskmanager war ein Prozess unter dem Namen nicht zu finden, habe die Datei an der angegebenen Adresse Prüfen lassen: Ergebnis :) Sauber! Was ist denn mit der Eintragung SERVICER.EXE, die stupormundi so verdächtig vorkam. Eine Datei mit diesem Namen habe ich nicht mehr in SYSTEM32 gefunden, nachdem ich den Prozeß im TASKMANAGER abgeschossen hatte. Vielen Dank! Juttad |
Hallo, Zitat:
Soweit ich sehe gibt es bei dir keinen Prozess der Servicer.exe heißt. Nur einen Eintrag im Autostart. Dieser Eintrag ist in der Tat verdächtig, aber wahrscheinlich ist die zugehörige Datei schon gelöscht worden. Lass dein System mal sicherheitshalber von Escan (Anleitung sorgfältig lesen) untersuchen, und poste das Ergebnis wie in der Anleitung beschrieben(find.bat). Grüße Wildone |
Naja, im ersten Logfile war auch ein entsprechender Running process Zitat:
@juttad: sry, hab´vergessen Dir auch den link zur Quelle für die neue HJT-Version zu posten. Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! (wie ja auch schon von wildone vorgeschlagen) bis dann, stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board