| |
| |||||||
Log-Analyse und Auswertung: My_server.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
03.07.2007, 15:48
| #1 |
| |  My_server.exe huhu @ lL^^ da heute mein PC sehr lahmte, hab ich zufällig beim Taskmanager geguckt, ob irgendwas anders ist.. dann fiel mir die my_server.exe datei auf.. ich hab googl't.. aber iwie hilft das nicht viel weiter.. Daher mein Log^^ Hoffe alles ist richtig .. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:16:09, on 03.07.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\My_Server.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winamp.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C3A661A3-66D3-4643-A7B4-F8BE4C38F2B5}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
03.07.2007, 16:13
| #2 |
| /// Helfer-Team    | My_server.exe Hi,
__________________dann geh mal zu Virustotal, lass die my_server.exe dort scannen und kopiere die Ergenisse komplett hierher. Gruß, Karl |
|
03.07.2007, 16:24
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™  | My_server.exe Platform: Windows XP (WinNT 5.01.2600)
__________________MSIE: Internet Explorer v6.00 (6.00.2600.0000) Das nenn ich verantwortungslos! Dein Windows hat wohl noch nie ein Update gesehen oder?  my_server.exe wird mit hoher Wahrscheinlichkeit ein Schädling mit Backdoorfunktionen sein, daher ist ein Neuaufsetzen angesagt!
__________________ |
|
03.07.2007, 16:28
| #4 |
| | My_server.exe Gut, das hab ich gemacht Complete scanning result of "my_server.exe", received in VirusTotal at 07.03.2007, 17:15:39 (CET). Code:
ATTFilter Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.03.2007 no virus found
AntiVir 7.4.0.37 07.03.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.03.2007 no virus found
AVG 7.5.0.476 07.03.2007 Generic5.BKI
BitDefender 7.2 07.03.2007 MemScan:Backdoor.Shark.C
CAT-QuickHeal 9.00 07.03.2007 no virus found
ClamAV devel-20070416 07.03.2007 no virus found
DrWeb 4.33 07.03.2007 no virus found
eSafe 7.0.15.0 07.03.2007 no virus found
eTrust-Vet 30.8.3760 07.03.2007 no virus found
Ewido 4.0 07.03.2007 Backdoor.VB.bco
FileAdvisor 1 07.03.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.03.2007 no virus found
Ikarus T3.1.1.8 07.03.2007 no virus found
Kaspersky 4.0.2.24 07.03.2007 no virus found
McAfee 5065 07.02.2007 no virus found
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2374 07.03.2007 a variant of Win32/VB.BCO
Norman 5.80.02 07.03.2007 no virus found
Panda 9.0.0.4 07.03.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.02.2007 no virus found
Symantec 10 07.03.2007 Backdoor.Trojan
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.03.2007 no virus found
Webwasher-Gateway 6.0.1 07.03.2007 Win32.Malware.gen (suspicious)
Code:
ATTFilter Aditional Information
File size: 205249 bytes
MD5: c65a7fa687821c0ed7a28ab4f78d5da4
SHA1: 809b9f8a73b20fe4a7772fdf46d9f930f59f049e
|
|
03.07.2007, 16:35
| #5 |
| /// Helfer-Team | My_server.exe "Shark" ist noch ein Name für einen Backdoorserver, den man gerne Leuten mit einem so veralteten System installiert. Also einma neu installieren bitte. |
|
03.07.2007, 16:44
| #6 |
| | My_server.exe Na dann. Danke  Aber ich hät noch ne Frage bei dem "Update" (letzter Post) steht ja immer das Datum ~~> 07.03.2007 ... was heißt das denn genau? Dass es seit dem Tag nich mehr aktiv nich, oder? edit mh...huch, kann ja auch 03.07.07 bedeuten? korrekt? Wenn ja.. kann ich iwie herausfinden seit wann ich den/die Virus/e habe? |
|
03.07.2007, 16:47
| #7 |
| /// TB-Ausbilder | My_server.exe EDIT: Da hab ich dich wohl mißverstanden.  Antwort steht bei KarlKarl Oder cosinus.  Alle haben sie es richtig verstanden, nur ich nicht.  lg myrtille |
|
03.07.2007, 16:47
| #8 |
| /// Helfer-Team | My_server.exe Das ist jeweils das Datum, an dem der jeweilige Scanner das letzte mal ein Update gemacht hat. Dabei beachten: Es handelt seich um eine Datumsformatierung, bei der erst der Monat steht. 07.03.2007 ist also heute. |
|
03.07.2007, 16:48
| #9 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | My_server.exeZitat:
 Mit Update wird das Datum gemeint, wann der serverseitige Virenscanner das letzte Mal aktualisiert wurde. Die Datumsangabe ist englisch (amerikanisch?), daher ist die Angabe in MM-DD-JJJJ. Also steht 07.03.2007 für den 03. Juli 2007 (heute!).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.07.2007, 16:57
| #10 |
| | My_server.exe Nun gut.. ^^ danke² Code:
ATTFilter Fang nicht an, dir irgendwelchen Lötzinn einzureden, in der Hoffnung, dem Neuaufsetzen zu entgehen. will ich gar nicht *G* Aber ich guck eig. jeden Tag inne TaskManager.. und daist mir diese Ding heut erst das 1. aufgefallen.. Daher frage ich..^^ |
|
| Themen zu My_server.exe |
| adobe, antivir, avira, bho, dateien, dsl, explorer, firefox, hijack, hijackthis, icq, internet, internet explorer, lahm, log, mein log, mozilla, mozilla firefox, pdf, programme, server.exe, system, system32, taskmanager, unknown file in winsock lsp, windows, windows xp, winsock |
