Trojaner-Board - komische Datei im Logfile

Guten Morgen!!

Ich habe ein Problem. Fangen wir mal langsam an.

Ich bekam gerade einen Anruf und da wurde mir gesagt, dass TrendMicro OfficeScan 91000 Viren auf einem System gefunden hat.

Hmm, dachte ich mir, etwas sehr viele. Also Scareware vermutet. Aber der User am anderen Ende der Leitung ist sich absolut sicher, dass es TrendMicro ist und keine Fakesoftware. Nun gut ... her mit HiJackThis und rüber laufen lassen.

Gesagt getan.

Das Logfile sieht eigentlich ganz gut aus nur stört mich ein Eintrag.
Code:
C:\WINDOWS\TEMP\ZB9F3.EXE
Hat jemand eine Ahnung was das für eine Datei ist und wofür sie gut ist (ob gut oder böse ist ja egal ... für irgendwas wird sie gut sein.)

Hier poste ich dann nochmal das gesamte Logfile falls ich was übersehen habe.
Code:
Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:11:45, on 31.08.2010

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Extended\ADS9.0\Server\ads.exe

c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe

C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe

C:\Programme\HP\Cissesrv\cissesrv.exe

C:\WINDOWS\system32\cpqrcmc.exe

C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Autodesk Network License Manager\lmgrd.exe

C:\Programme\Autodesk Network License Manager\lmgrd.exe

C:\flexlm\lmgrd.exe

C:\flexlm\lmgrd.exe

C:\flexlm\flowslmd.exe

C:\WINDOWS\System32\ismserv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Autodesk Network License Manager\adskflex.exe

C:\WINDOWS\system32\ntfrs.exe

C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe

C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe

C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe

C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\sysdown.exe

C:\hp\hpsmh\bin\smhstart.exe

\*****ZERSRV1\BUCHHALTUNG\COTEL\MCCWIN\PRG\ZBASE32.EXE

C:\WINDOWS\System32\svchost.exe

C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe

C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

C:\WINDOWS\System32\wins.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe

C:\WINDOWS\TEMP\ZB9F3.EXE

C:\WINDOWS\System32\svchost.exe

C:\Programme\Symantec\Backup Exec\beremote.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\HP\NCU\cpqteam.exe

C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe

C:\Programme\Microsoft SQL Server_Vault\MSSQL.2\MSSQL\Binn\sqlservr.exe

C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\System32\svchost.exe

c:\windows\system32\inetsrv\w3wp.exe

c:\windows\system32\inetsrv\w3wp.exe

C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe

C:\Programme\Trend Micro\Client Server Security Agent\pccnt.exe

C:\Programme\IrfanView\i_view32.exe

C:\WINDOWS\system32\scrnsave.scr

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\HP\NCU\cpqteam.exe

C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe

C:\Dokumente und Einstellungen\Administrator.*****ZER\Desktop\HiJackThis204.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/hardAdmin.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:8080

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [CPQTEAM] C:\Programme\HP\NCU\cpqteam.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: Monitor Apache Servers.lnk = Apache2\bin\ApacheMonitor.exe

O15 - ESC Trusted Zone: *.chip.de

O15 - ESC Trusted Zone: hxxp://ads1.msn.com

O15 - ESC Trusted Zone: hxxp://runonce.msn.com

O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com

O15 - ESC Trusted Zone: hxxp://runonce.msn.com (HKLM)

O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com (HKLM)

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/setup.cab

O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/RemoveCtrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231154286233

O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab

O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab

O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****zer.essen

O17 - HKLM\Software\..\Telephony: DomainName = *****zer.essen

O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: Domain = *****zer.essen

O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: NameServer = 192.168.2.2,145.***.***.11

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****zer.essen

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Advantage Database Server (Advantage) - iAnywhere Solutions, Inc. - C:\Programme\Extended\ADS9.0\Server\ads.exe

O23 - Service: Apache2 - Apache Software Foundation - c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe

O23 - Service: Adaptive Server Anywhere - LXDBSRV (ASANYs_LXDBSRV) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe

O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe

O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beremote.exe

O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\benetns.exe

O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\pvlsvr.exe

O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\bengine.exe

O23 - Service: Backup Exec Server (BackupExecRPCService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beserver.exe

O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe

O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe

O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe

O23 - Service: Backup Exec DLO Administration Service (DLOAdminSvcu) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\DLOAdminSvcu.exe

O23 - Service: Backup Exec DLO Maintenance Service (DLOMaintenanceSvc) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\dlomaintsvcu.exe

O23 - Service: Flexlm Service 1 - Macrovision Corporation - C:\Programme\Autodesk Network License Manager\lmgrd.exe

O23 - Service: Flexlm Service 2 - Flowmaster - Macrovision Corporation - C:\flexlm\lmgrd.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Commerzbank Electronic Banking-Datenbank (MultiCash) - Unknown owner - C:\WINDOWS\system32\B30SVC.EXE

O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe

O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe

O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe

O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe

O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

--

End of file - 12040 bytes
Und, wie man am anfang des Logfiles ja schon sehen kann, läuft die ganze Sache unter einem W2k3 Standard Edition SP2.

Ich hoffe mir kann jemand helfen und danke schon mal im voraus.
Wenn jemand eine idee zu den extrem hohen Funden von TrendMicro hat, nehme ich die natürlich auch gerne entgegen.

MfG
r3d