Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Probleme mit W32.Fakerecy

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.11.2009, 14:00   #1
Thomas86
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Servus,
habe seit kurzem ein Problem mit dem W32.Fakerecy. Er setzt sich regelmäßig (ca. alle 20sec.) in den Ordner D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht, das Problem ist nur das ich den Virus nicht finde, welcher diesen Befehl ausführt. Habe schon etliche komplett Scan´s durchgeführt aber den Virus nicht gefunden. Aus der HijackThis Logfile werde ich auch nicht schlau, aber vielleicht könnt Ihr mir ja weiterhelfen. P.S. das Betriebssystem ist Windows 2000 Server.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:34, on 23.11.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\SAV\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINNT\system32\ntfrs.exe
C:\PVSW\BIN\W3SQLMGR.EXE
C:\PVSW\BIN\NTBTRV.EXE
C:\WINNT\system32\regsvc.exe
C:\PVSW\BIN\NTDBSMGR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\SAV\Rtvscan.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\termsrv.exe
C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
C:\Programme\Pwrchute\ups.exe
C:\Programme\iMatePro Server\UPServ.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\ams_ii\iao.exe
C:\Programme\iMatePro Server\UPSmart.EXE
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SAV\VPTray.exe
C:\WINNT\system32\internat.exe
C:\WinZip\WZQKPICK.EXE
C:\Programme\VERITAS\Backup Exec\NT\bkupexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe
O4 - HKLM\..\Run: [UPSmart] C:\Programme\iMatePro Server\UPSmart.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINNT\TEMP\E_S177.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S94.tmp" /EF "HKCU"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: SDASSIST.LNK = D:\DAT2\SDII\D\D\EXE.W95\SDASSIST.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Strohm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{999E2FCD-AE0D-4262-A8B0-9811DDC45E3A}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Strohm.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Strohm.local
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Backup Exec 8.x Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec 8.x Alert Server (BackupExecAlertServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\alertServer.exe
O23 - Service: Backup Exec 8.x Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec 8.x Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec 8.x Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe
O23 - Service: Backup Exec 8.x Notification Server (BackupExecNotificationServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\nsvr.exe
O23 - Service: Backup Exec 8.x Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\SAV\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Alert Handler - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - LANDesk Software Ltd. - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINNT\system32\cba\pds.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Symantec System Center Discovery-Dienst (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Pervasive.SQL 2000 (relational) - Pervasive Software Inc. - C:\PVSW\BIN\W3SQLMGR.EXE
O23 - Service: Pervasive.SQL 2000 (transactional) - Unknown owner - C:\PVSW\BIN\NTBTRV.EXE
O23 - Service: Reporting Agents (Reporting) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe
O23 - Service: SD2MUX32 - Transaction Software, D 81829 Munich - D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\SAV\Rtvscan.exe
O23 - Service: TSMDataEngine - Tyan Computer Corp - C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programme\Pwrchute\ups.exe
O23 - Service: UPSmart - Unknown owner - C:\Programme\iMatePro Server\UPServ.exe
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
O23 - Service: VidiReg Server - vidicom GmbH - C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe

--
End of file - 8467 bytes



Vielen Dank im Vorraus!!!

Alt 23.11.2009, 14:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Hallo und

Backups werden ja mit BackupExec immer gemacht oder?

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 24.11.2009, 10:45   #3
Thomas86
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



So, habe jetzt die komplette Anleitung abgearbeitet, viren wurden aber keine gefunden! Hier mal die Log files:

File-Upload.net - Thomas86.zip

Kann es sein, dass der Virus auch über das Netzwerk streut? Haben ein Netzwerk mit ca. 10 PC´s welche alle das gleiche Netzlaufwerk benutzen. Dieses Laufwerk befindet sich auf dem Infizierten rechner. Auf den restlichen PC´s werden aber keine Viren erkannt.
__________________

Alt 24.11.2009, 11:17   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Code:
ATTFilter
S3 PDCOMP;PDCOMP; C:\WINNT\system32\drivers\PDCOMP.sys []
S3 PDFRAME;PDFRAME; C:\WINNT\system32\drivers\PDFRAME.sys []
S3 PDRELI;PDRELI; C:\WINNT\system32\drivers\PDRELI.sys []
         
Ich glaub hier sind ein paar Anhaltspunkte. Werte die Dateien (blau eingefärbt) doch mal bei Virustotal aus, lass Dir vorher alle Dateien anzeigen, auch versteckte und geschützte Systemdateien.
Poste dann die drei Ergebnislinks auch wenn nichts gefunden wurde.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.11.2009, 07:14   #5
Thomas86
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Die angegebenen Dateien sind auf meinen PC gar nicht vorhanden. Habe mir alle dateien anzeigen lasssen (Versteckte und auch Systemdateien), kann sie aber nicht finden.


Alt 25.11.2009, 10:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Zitat:
D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht
Mal ne andere Idee: "Werbas" ist nicht zufällig ein Dir bekannter Software-Hersteller? Vllt muss das bei der Software ja so sein und es handelt sich hier nur um einen Fehlalarm. Signaturen für den Symantec-Scanner sind aktuell?

Ich würde auf einem Windows 2000 Server auch nur ungern "unsere" Bereinungstools loslassen. Die können mitunter was beschädigen und ein Neustart ist meist auch immer fällig, was bei einem Server nicht mal eben so gemacht werden kann.
__________________
--> Probleme mit W32.Fakerecy

Alt 25.11.2009, 12:48   #7
Thomas86
 
Probleme mit W32.Fakerecy - Standard

Probleme mit W32.Fakerecy



Werbas ist ein von uns verwendetes Programm zur Rechnungserstellung. Habe das Problem jetzt wohl gefunden, einer im Netz angemeldeter PC (ohne Virenschutz!) hat den Virus auf dem Server verstreut. Der Server ist soweit jetzt bereinigt nur den Einzelplatz muss ich jetzt noch bereinigen. Danke für eure Hilfe.

Antwort

Themen zu Probleme mit W32.Fakerecy
1.exe, adobe, alert, antivirus, bho, computer, dll, explorer, gservice, hijack, hijackthis, hijackthis logfile, hotkey, internet, internet explorer, logfile, microsoft, monitor, notification, ordner, problem, programme, rundll, software, symantec, temp, virus, windows



Ähnliche Themen: Probleme mit W32.Fakerecy


  1. Win 7 64bit: Internet / Performance / Downstream probleme durch angebliche port probleme !
    Log-Analyse und Auswertung - 26.04.2014 (19)
  2. Windows 7: Verdacht auf Trojaner (Probleme über Probleme)
    Log-Analyse und Auswertung - 18.03.2014 (10)
  3. Probleme mit FRST gemäß Anleitung AW:Probleme mit static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (41)
  4. Firefox probleme :advertisement popups,download probleme
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (18)
  5. pc probleme ...
    Plagegeister aller Art und deren Bekämpfung - 04.09.2009 (14)
  6. probleme, probleme, probleme!!!!
    Plagegeister aller Art und deren Bekämpfung - 01.02.2009 (2)
  7. Probleme ICQ
    Log-Analyse und Auswertung - 16.11.2008 (0)
  8. DVD Probleme
    Netzwerk und Hardware - 16.11.2008 (2)
  9. w32.fakerecy brauche hilfe
    Log-Analyse und Auswertung - 14.09.2008 (10)
  10. TR/VB.aqt.24 und W32.Fakerecy - wie entfernen ????
    Plagegeister aller Art und deren Bekämpfung - 08.06.2008 (8)
  11. Probleme
    Mülltonne - 28.12.2007 (2)
  12. PC Probleme
    Log-Analyse und Auswertung - 02.10.2007 (1)
  13. Need Help! Probleme über Probleme ...
    Log-Analyse und Auswertung - 22.12.2006 (5)
  14. Probleme mit pc -.-
    Log-Analyse und Auswertung - 03.08.2006 (3)
  15. Probleme
    Log-Analyse und Auswertung - 06.07.2006 (6)
  16. Probleme mit Bf2
    Netzwerk und Hardware - 21.08.2005 (2)
  17. Probleme mit XP
    Log-Analyse und Auswertung - 01.09.2004 (9)

Zum Thema Probleme mit W32.Fakerecy - Servus, habe seit kurzem ein Problem mit dem W32.Fakerecy. Er setzt sich regelmäßig (ca. alle 20sec.) in den Ordner D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht, das Problem - Probleme mit W32.Fakerecy...
Archiv
Du betrachtest: Probleme mit W32.Fakerecy auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.