Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   My_server.exe (https://www.trojaner-board.de/40568-my_server-exe.html)

TimmyAX 03.07.2007 15:48
My_server.exe
 
huhu @ lL^^

da heute mein PC sehr lahmte, hab ich zufällig beim Taskmanager geguckt, ob irgendwas anders ist..
dann fiel mir die my_server.exe datei auf..
ich hab googl't.. aber iwie hilft das nicht viel weiter..
Daher mein Log^^

Hoffe alles ist richtig ..

Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:16:09, on 03.07.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\My_Server.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3A661A3-66D3-4643-A7B4-F8BE4C38F2B5}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

KarlKarl 03.07.2007 16:13
Hi,

dann geh mal zu Virustotal, lass die my_server.exe dort scannen und kopiere die Ergenisse komplett hierher.

Gruß, Karl

cosinus 03.07.2007 16:24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Das nenn ich verantwortungslos! Dein Windows hat wohl noch nie ein Update gesehen oder? :balla:
my_server.exe wird mit hoher Wahrscheinlichkeit ein Schädling mit Backdoorfunktionen sein, daher ist ein neuaufsetzen angesagt!

TimmyAX 03.07.2007 16:28
Gut, das hab ich gemacht

Complete scanning result of "my_server.exe", received in VirusTotal at 07.03.2007, 17:15:39 (CET).

Code:
Antivirus        Version        Update        Result
AhnLab-V3        2007.7.2.0        07.03.2007        no virus found
AntiVir        7.4.0.37        07.03.2007        no virus found
Authentium        4.93.8        07.03.2007        no virus found
Avast        4.7.997.0        07.03.2007        no virus found
AVG        7.5.0.476        07.03.2007        Generic5.BKI
BitDefender        7.2        07.03.2007        MemScan:Backdoor.Shark.C
CAT-QuickHeal        9.00        07.03.2007        no virus found
ClamAV        devel-20070416        07.03.2007        no virus found
DrWeb        4.33        07.03.2007        no virus found
eSafe        7.0.15.0        07.03.2007        no virus found
eTrust-Vet        30.8.3760        07.03.2007        no virus found
Ewido        4.0        07.03.2007        Backdoor.VB.bco
FileAdvisor        1        07.03.2007        no virus found
Fortinet        2.91.0.0        07.03.2007        no virus found
F-Prot        4.3.2.48        07.02.2007        no virus found
F-Secure        6.70.13030.0        07.03.2007        no virus found
Ikarus        T3.1.1.8        07.03.2007        no virus found
Kaspersky        4.0.2.24        07.03.2007        no virus found
McAfee        5065        07.02.2007        no virus found
Microsoft        1.2701        07.02.2007        no virus found
NOD32v2        2374        07.03.2007        a variant of Win32/VB.BCO
Norman        5.80.02        07.03.2007        no virus found
Panda        9.0.0.4        07.03.2007        no virus found
Sophos        4.19.0        06.24.2007        no virus found
Sunbelt        2.2.907.0        07.02.2007        no virus found
Symantec        10        07.03.2007        Backdoor.Trojan
TheHacker        6.1.6.141        07.02.2007        no virus found
VBA32        3.12.0.2        07.03.2007        no virus found
VirusBuster        4.3.23:9        07.03.2007        no virus found
Webwasher-Gateway        6.0.1        07.03.2007        Win32.Malware.gen (suspicious)

Code:
Aditional Information
File size: 205249 bytes
MD5: c65a7fa687821c0ed7a28ab4f78d5da4
SHA1: 809b9f8a73b20fe4a7772fdf46d9f930f59f049e

KarlKarl 03.07.2007 16:35
"Shark" ist noch ein Name für einen Backdoorserver, den man gerne Leuten mit einem so veralteten System installiert. Also einma neu installieren bitte.

TimmyAX 03.07.2007 16:44
Na dann. Danke :)

Aber ich hät noch ne Frage
bei dem "Update" (letzter Post) steht ja immer das Datum
~~> 07.03.2007

...

was heißt das denn genau?
Dass es seit dem Tag nich mehr aktiv nich, oder?


edit
mh...huch, kann ja auch 03.07.07 bedeuten?
korrekt?

Wenn ja..
kann ich iwie herausfinden seit wann ich den/die Virus/e habe?

myrtille 03.07.2007 16:47
EDIT: Da hab ich dich wohl mißverstanden. :party:
Antwort steht bei KarlKarl :party:
Oder cosinus. :D Alle haben sie es richtig verstanden, nur ich nicht. :(

lg myrtille

KarlKarl 03.07.2007 16:47
Das ist jeweils das Datum, an dem der jeweilige Scanner das letzte mal ein Update gemacht hat. Dabei beachten: Es handelt seich um eine Datumsformatierung, bei der erst der Monat steht. 07.03.2007 ist also heute.

cosinus 03.07.2007 16:48
Zitat:
was heißt das denn genau?
Dass es seit dem Tag nich mehr aktiv nich, oder?
Fang nicht an, dir irgendwelchen Lötzinn einzureden, in der Hoffnung, dem Neuaufsetzen zu entgehen. :rolleyes:

Mit Update wird das Datum gemeint, wann der serverseitige Virenscanner das letzte Mal aktualisiert wurde. Die Datumsangabe ist englisch (amerikanisch?), daher ist die Angabe in MM-DD-JJJJ.

Also steht 07.03.2007 für den 03. Juli 2007 (heute!).

TimmyAX 03.07.2007 16:57
Nun gut.. ^^
danke²
Code:
Fang nicht an, dir irgendwelchen Lötzinn einzureden, in der Hoffnung, dem Neuaufsetzen zu entgehen.
*brr^^* .. also..
will ich gar nicht *G*
Aber ich guck eig. jeden Tag inne TaskManager.. und daist mir diese Ding heut erst das 1. aufgefallen..

Daher frage ich..^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131