huhu @ lL^^

da heute mein PC sehr lahmte, hab ich zufällig beim Taskmanager geguckt, ob irgendwas anders ist..
dann fiel mir die my_server.exe datei auf..
ich hab googl't.. aber iwie hilft das nicht viel weiter..
Daher mein Log^^

Hoffe alles ist richtig ..

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:16:09, on 03.07.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\My_Server.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3A661A3-66D3-4643-A7B4-F8BE4C38F2B5}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
         

Hi,

dann geh mal zu Virustotal, lass die my_server.exe dort scannen und kopiere die Ergenisse komplett hierher.

Gruß, Karl

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Das nenn ich verantwortungslos! Dein Windows hat wohl noch nie ein Update gesehen oder?
my_server.exe wird mit hoher Wahrscheinlichkeit ein Schädling mit Backdoorfunktionen sein, daher ist ein Neuaufsetzen angesagt!

Gut, das hab ich gemacht

Complete scanning result of "my_server.exe", received in VirusTotal at 07.03.2007, 17:15:39 (CET).

Code: Alles auswählenAufklappen

ATTFilter

Antivirus	Version	Update	Result
AhnLab-V3	2007.7.2.0	07.03.2007	no virus found
AntiVir	7.4.0.37	07.03.2007	no virus found
Authentium	4.93.8	07.03.2007	no virus found
Avast	4.7.997.0	07.03.2007	no virus found
AVG	7.5.0.476	07.03.2007	Generic5.BKI
BitDefender	7.2	07.03.2007	MemScan:Backdoor.Shark.C
CAT-QuickHeal	9.00	07.03.2007	no virus found
ClamAV	devel-20070416	07.03.2007	no virus found
DrWeb	4.33	07.03.2007	no virus found
eSafe	7.0.15.0	07.03.2007	no virus found
eTrust-Vet	30.8.3760	07.03.2007	no virus found
Ewido	4.0	07.03.2007	Backdoor.VB.bco
FileAdvisor	1	07.03.2007	no virus found
Fortinet	2.91.0.0	07.03.2007	no virus found
F-Prot	4.3.2.48	07.02.2007	no virus found
F-Secure	6.70.13030.0	07.03.2007	no virus found
Ikarus	T3.1.1.8	07.03.2007	no virus found
Kaspersky	4.0.2.24	07.03.2007	no virus found
McAfee	5065	07.02.2007	no virus found
Microsoft	1.2701	07.02.2007	no virus found
NOD32v2	2374	07.03.2007	a variant of Win32/VB.BCO
Norman	5.80.02	07.03.2007	no virus found
Panda	9.0.0.4	07.03.2007	no virus found
Sophos	4.19.0	06.24.2007	no virus found
Sunbelt	2.2.907.0	07.02.2007	no virus found
Symantec	10	07.03.2007	Backdoor.Trojan
TheHacker	6.1.6.141	07.02.2007	no virus found
VBA32	3.12.0.2	07.03.2007	no virus found
VirusBuster	4.3.23:9	07.03.2007	no virus found
Webwasher-Gateway	6.0.1	07.03.2007	Win32.Malware.gen (suspicious)
         

Code: Alles auswählenAufklappen

ATTFilter

Aditional Information
File size: 205249 bytes
MD5: c65a7fa687821c0ed7a28ab4f78d5da4
SHA1: 809b9f8a73b20fe4a7772fdf46d9f930f59f049e
         

"Shark" ist noch ein Name für einen Backdoorserver, den man gerne Leuten mit einem so veralteten System installiert. Also einma neu installieren bitte.

Na dann. Danke

Aber ich hät noch ne Frage
bei dem "Update" (letzter Post) steht ja immer das Datum
~~> 07.03.2007

...

was heißt das denn genau?
Dass es seit dem Tag nich mehr aktiv nich, oder?


edit
mh...huch, kann ja auch 03.07.07 bedeuten?
korrekt?

Wenn ja..
kann ich iwie herausfinden seit wann ich den/die Virus/e habe?

EDIT: Da hab ich dich wohl mißverstanden.
Antwort steht bei KarlKarl
Oder cosinus. Alle haben sie es richtig verstanden, nur ich nicht.

lg myrtille

Das ist jeweils das Datum, an dem der jeweilige Scanner das letzte mal ein Update gemacht hat. Dabei beachten: Es handelt seich um eine Datumsformatierung, bei der erst der Monat steht. 07.03.2007 ist also heute.

Zitat:

was heißt das denn genau?
Dass es seit dem Tag nich mehr aktiv nich, oder?

Fang nicht an, dir irgendwelchen Lötzinn einzureden, in der Hoffnung, dem Neuaufsetzen zu entgehen.

Mit Update wird das Datum gemeint, wann der serverseitige Virenscanner das letzte Mal aktualisiert wurde. Die Datumsangabe ist englisch (amerikanisch?), daher ist die Angabe in MM-DD-JJJJ.

Also steht 07.03.2007 für den 03. Juli 2007 (heute!).