Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Worm_downad.ad ?

Worm_downad.ad ?


Plagegeister aller Art und deren Bekämpfung: Worm_downad.ad ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.04.2010, 08:43   #1
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm_downad.ad ? - Standard

Worm_downad.ad ?


Oje, schwierige Sache. Sind die 15 Clients alle von der hardware gesehen völlig unterschiedlich oder quasi identisch? Wenn identisch, könntest Du einen Rechner neu aufsetzen und komplett neu einrichten - wenn alles fertig ist ein Image erstellen und das auf die anderen Rechner einspielen, so dass alle Rechner von der Konfig her wieder gleich und auch nicht mehr befallen sind (bevor Du die geklonten Maschinen ins Netz bringt, solltest Du NewSID ausführen!).

Ob Du den Server so aufsetzen kannst, weiß ich nicht. Wenn der nicht verfügbar ist, kann im Grunde keiner arbeiten und das ist nicht im Sinne des Erfinders.

Erstell mal von einem Client OTL Logs und poste sie, evtl. ist der Bereinigungsaufwand auch garnicht so hoch (sofern Du bereingen willst und das auch veranworten kannst..)


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.04.2010, 09:57   #2
Snewi
 
Worm_downad.ad ? - Standard

Worm_downad.ad ?


Das mit dem Neuaufsetzen wäre die allerletzte Lösung ich hoffe ja immer noch das ich es vorher so hinbekomme! Genau sieht es mit den Servern aus!

Also hier mal die LogFiles:

1.OTL:
OTL logfile created on: 21.04.2010 10:47:21 - Run 1
OTL by OldTimer - Version 3.2.1.3 Folder = Y:\User\xxx\Viren
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502,00 Mb Total Physical Memory | 262,00 Mb Available Physical Memory | 52,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,41 Gb Total Space | 69,49 Gb Free Space | 93,40% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Y: | 68,24 Gb Total Space | 48,19 Gb Free Space | 70,62% Space Free | Partition Type: NTFS
Drive Z: | 124,45 Gb Total Space | 91,03 Gb Free Space | 73,15% Space Free | Partition Type: NTFS

Computer Name: xxx
Current User Name: xxx
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - Y:\User\xxx\Viren\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\Temp\YHA674.EXE (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe (Trend Micro Inc.)
PRC - C:\Programme\PFANNEN\Pfannen_Update_r.exe (Georgsmarienhuette GmbH)
PRC - C:\Programme\TrueImage\TrueImageMonitor.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
PRC - C:\Programme\Symantec\pcAnywhere\awhost32.exe (Symantec Corporation)
PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe ()
PRC - C:\NWC\NWC_SERVICE.EXE ()


========== Modules (SafeList) ==========

MOD - Y:\User\xxx\Viren\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Symantec\pcAnywhere\awhk32.dll (Symantec Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netui1.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netui0.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\ntlanman.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\davclnt.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\drprov.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netrap.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcr70.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (tmlisten) -- C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe (Trend Micro Inc.)
SRV - (ntrtscan) -- C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe (Trend Micro Inc.)
SRV - (TmProxy) -- C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe (Trend Micro Inc.)
SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (awhost32) -- C:\Programme\Symantec\pcAnywhere\awhost32.exe (Symantec Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (NWC_Service) -- C:\NWC\NWC_SERVICE.EXE ()


========== Driver Services (SafeList) ==========

DRV - (TmFilter) -- C:\Programme\Trend Micro\OfficeScan Client\TmXpflt.sys (Trend Micro Inc.)
DRV - (TmPreFilter) -- C:\Programme\Trend Micro\OfficeScan Client\TmPreflt.sys (Trend Micro Inc.)
DRV - (VSApiNt) -- C:\Programme\Trend Micro\OfficeScan Client\vsapiNT.sys (Trend Micro Inc.)
DRV - (tmcomm) -- C:\WINDOWS\system32\drivers\tmcomm.sys (Trend Micro Inc.)
DRV - (tmtdi) -- C:\WINDOWS\system32\drivers\tmtdi.sys (Trend Micro Inc.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)
DRV - (SymEvent) -- C:\Programme\Symantec\SYMEVENT.SYS (Symantec Corporation)
DRV - (senfilt) -- C:\WINDOWS\system32\drivers\senfilt.sys (Creative Technology Ltd.)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (awecho) -- C:\WINDOWS\system32\drivers\awechomd.sys (Symantec Corporation)
DRV - (awlegacy) -- C:\WINDOWS\System32\Drivers\awlegacy.sys (Symantec Corporation)
DRV - (AW_HOST) -- C:\WINDOWS\system32\drivers\AW_HOST5.sys (Symantec Corporation)
DRV - (Gernuwa) -- C:\WINDOWS\system32\drivers\GERNUWA.sys (Symantec Corporation)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.euro.dell.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.euro.dell.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.euro.dell.com
IE - HKCU\..\URLSearchHook: {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2009.02.24 15:58:21 | 000,009,278 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [Pfannenupdate] c:\Programme\PFANNEN\Pfannen_Update.exe (Georgsmarienhuette GmbH)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe ()
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\TrueImage\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [UserFaultCheck] File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Dell.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Dell.bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.13 14:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.21 10:07:50 | 000,142,992 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2010.04.21 10:07:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\log
[2010.04.21 10:07:04 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2004.08.13 15:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 15:00:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 14:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2004.08.13 14:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.21 10:43:18 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.21 10:43:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.21 10:42:45 | 001,835,008 | -H-- | M] () -- C:\Dokumente und Einstellungen\velikonja\NTUSER.DAT
[2010.04.21 10:42:45 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\velikonja\ntuser.ini
[2010.04.21 10:25:43 | 000,010,752 | ---- | M] () -- C:\WINDOWS\DCEBoot.exe
[2010.04.19 13:46:32 | 000,002,513 | ---- | M] () -- C:\Dokumente und Einstellungen\velikonja\Desktop\Vai.ProcessExplorer GMH.lnk
[2010.04.19 08:33:08 | 000,000,622 | ---- | M] () -- C:\Dokumente und Einstellungen\velikonja\Desktop\spülstand_temp.xls.lnk
[2010.04.19 07:14:16 | 000,059,392 | ---- | M] () -- C:\Dokumente und Einstellungen\velikonja\Eigene Dateien\spülstand_temp.xls
[2010.04.12 10:53:32 | 000,902,476 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.12 10:53:32 | 000,392,512 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.12 10:53:32 | 000,381,692 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.12 10:53:32 | 000,064,452 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.12 10:53:32 | 000,053,436 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.21 10:25:43 | 000,010,752 | ---- | C] () -- C:\WINDOWS\DCEBoot.exe
[2010.04.19 08:33:08 | 000,000,622 | ---- | C] () -- C:\Dokumente und Einstellungen\velikonja\Desktop\spülstand_temp.xls.lnk
[2008.06.23 12:27:08 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\STC_DLL.DLL
[2007.12.27 17:28:27 | 001,627,648 | ---- | C] () -- C:\Dokumente und Einstellungen\velikonja\LF_Dat1207.xls
[2006.11.20 15:45:49 | 000,001,380 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.08.09 10:58:23 | 000,002,412 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2006.08.09 10:54:54 | 000,000,470 | RHS- | C] () -- C:\Dokumente und Einstellungen\velikonja\ntuser.pol
[2006.08.09 10:54:51 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\velikonja\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.08.09 10:54:50 | 001,835,008 | -H-- | C] () -- C:\Dokumente und Einstellungen\velikonja\NTUSER.DAT
[2006.08.09 10:54:50 | 000,184,320 | -H-- | C] () -- C:\Dokumente und Einstellungen\velikonja\ntuser.dat.LOG
[2006.08.09 10:54:50 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\velikonja\ntuser.ini
[2006.08.02 11:35:44 | 000,000,183 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2006.07.17 14:42:58 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT
[2006.07.17 14:42:58 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG
[2005.11.29 06:23:27 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.11.29 06:05:32 | 000,000,412 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.08.13 15:04:30 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.13 14:51:43 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.08.13 14:40:41 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004.08.13 14:40:26 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
< End of report >



2.EXTRAS:
OTL Extras logfile created on: 21.04.2010 10:47:21 - Run 1
OTL by OldTimer - Version 3.2.1.3 Folder = Y:\User\xxx\Viren
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502,00 Mb Total Physical Memory | 262,00 Mb Available Physical Memory | 52,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,41 Gb Total Space | 69,49 Gb Free Space | 93,40% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Y: | 68,24 Gb Total Space | 48,19 Gb Free Space | 70,62% Space Free | Partition Type: NTFS
Drive Z: | 124,45 Gb Total Space | 91,03 Gb Free Space | 73,15% Space Free | Partition Type: NTFS

Computer Name: xxx
Current User Name: xxx
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1480:TCP" = 1480:TCP:*:Enabled:umablo
"28747:TCP" = 28747:TCP:*:Enabled:Trend Micro OfficeScan Listener

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Symantec\pcAnywhere\awhost32.exe" = C:\Programme\Symantec\pcAnywhere\awhost32.exe:*:EnabledcAnywhere Host -- (Symantec Corporation)
"C:\Programme\VAI\Vai ProcessExplorer GMH\Vai.ProcessExplorerForm.exe" = C:\Programme\VAI\Vai ProcessExplorer GMH\Vai.ProcessExplorerForm.exe:*:Enabled:Vai.ProcessExplorerForm -- (Voest Alpine Industieanlagenbau GmbH, Linz, Austria)
"C:\Dokumente und Einstellungen\velikonja\Lokale Einstellungen\Temp\OraInstall2006-11-20_03-19-49PM\jre\1.4.2\bin\javaw.exe" = C:\Dokumente und Einstellungen\velikonja\Lokale Einstellungen\Temp\OraInstall2006-11-20_03-19-49PM\jre\1.4.2\bin\javaw.exe:*:Enabled:javaw -- File not found
"C:\oracle\product\10.2.0\client_1\jdk\jre\bin\java.exe" = C:\oracle\product\10.2.0\client_1\jdk\jre\bin\java.exe:*:Enabled:java -- ()
"C:\NWC\NWC_SERVICE.EXE" = C:\NWC\NWC_SERVICE.EXE:*:Enabled:NWC_SERVICE -- ()

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\VAI\Vai ProcessExplorer GMH\Vai.ProcessExplorerForm.exe" = C:\Programme\VAI\Vai ProcessExplorer GMH\Vai.ProcessExplorerForm.exe:*:Enabled:Vai.ProcessExplorerForm -- (Voest Alpine Industieanlagenbau GmbH, Linz, Austria)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{058B32E2-6310-4359-B2D4-1988390C3B83}" = Broadcom Advanced Control Suite
"{11518183-866A-11D3-97DF-0000F8D8F2E9}" = Symantec pcAnywhere
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{6AA003BF-73E5-4911-ADB7-71DD5674DDD4}" = Oracle Data Provider for .NET Help
"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{A19D7EBD-54B0-4C14-BDCE-B4ECAFE77037}" = Vai ProcessExplorer GMH
"{BFBB0B55-D7FE-4F72-9091-C8D9D56A31D1}" = Vai ProcessExplorer GMH
"{CA83357B-931E-44DC-AD43-9996FEEB8116}" = Acronis*True*Image
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{DBF9845F-0D40-4636-8F7D-63D3E22231D4}" = Vai ProcessExplorer GMH
"{E32C38B0-3B52-428D-A6FE-10EE1E1C63FB}" = Vai ProcessExplorer GMH
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{ECEA7878-2100-4525-915D-B09174E36971}" = Trend Micro OfficeScan Client
"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 2.5 (Symantec Corporation)
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"ST6UNST #1" = Pfannenverfolgung
"ST6UNST #2" = Pfannen_Update

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 13.04.2010 01:03:42 | Computer Name = xxx | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 13.04.2010 04:11:56 | Computer Name = xxx | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 13.04.2010 04:11:56 | Computer Name = xxx | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 14.04.2010 09:44:55 | Computer Name = xxx | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 14.04.2010 09:44:55 | Computer Name = xxx | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 14.04.2010 10:31:24 | Computer Name = xxx | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 14.04.2010 10:31:24 | Computer Name = xxx | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 15.04.2010 01:02:38 | Computer Name = xxx | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 15.04.2010 01:02:38 | Computer Name = xxx | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 15.04.2010 01:10:50 | Computer Name = xxx | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung svchost.exe, Version 0.0.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

[ System Events ]
Error - 02.04.2008 12:41:06 | Computer Name = xxx | Source = Kerberos | ID = 5
Description = The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server
host/pf-entw1.stw.gmh.de. This indicates that the ticket used against that server
is not yet valid (in relationship to that server time). Contact your system administrator
to make sure the client and server times are in sync, and that the KDC in realm
STW.GMH.DE is in sync with the KDC in the client realm.

Error - 03.04.2008 01:08:19 | Computer Name = xxx | Source = Kerberos | ID = 5
Description = The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server
host/pf-entw1.stw.gmh.de. This indicates that the ticket used against that server
is not yet valid (in relationship to that server time). Contact your system administrator
to make sure the client and server times are in sync, and that the KDC in realm
STW.GMH.DE is in sync with the KDC in the client realm.

Error - 03.04.2008 19:13:09 | Computer Name = xxx | Source = Kerberos | ID = 5
Description = The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server
host/pf-entw1.stw.gmh.de. This indicates that the ticket used against that server
is not yet valid (in relationship to that server time). Contact your system administrator
to make sure the client and server times are in sync, and that the KDC in realm
STW.GMH.DE is in sync with the KDC in the client realm.

Error - 04.04.2008 01:00:45 | Computer Name = xxx | Source = Kerberos | ID = 5
Description = The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server
host/pf-entw1.stw.gmh.de. This indicates that the ticket used against that server
is not yet valid (in relationship to that server time). Contact your system administrator
to make sure the client and server times are in sync, and that the KDC in realm
STW.GMH.DE is in sync with the KDC in the client realm.

Error - 24.11.2009 04:05:36 | Computer Name = xxx | Source = NetBT | ID = 4321
Description = Der Name "STW :1d" konnte nicht auf der Schnittstelle mit
IP-Adresse 192.168.10.52 registriert werden. Der Computer mit IP-Adresse 192.168.10.57
hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.

Error - 24.11.2009 04:08:39 | Computer Name = xxx | Source = NetBT | ID = 4321
Description = Der Name "STW :1d" konnte nicht auf der Schnittstelle mit
IP-Adresse 192.168.10.52 registriert werden. Der Computer mit IP-Adresse 192.168.10.57
hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.

Error - 24.11.2009 04:10:57 | Computer Name = xxx | Source = NetBT | ID = 4321
Description = Der Name "STW :1d" konnte nicht auf der Schnittstelle mit
IP-Adresse 192.168.10.52 registriert werden. Der Computer mit IP-Adresse 192.168.10.57
hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.

Error - 15.04.2010 01:12:17 | Computer Name = xxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Security Driver" wurde mit folgendem Fehler beendet: %%1114

Error - 16.04.2010 12:14:12 | Computer Name = xxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Security Driver" wurde mit folgendem Fehler beendet: %%1114

Error - 21.04.2010 04:26:42 | Computer Name = xxx | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie
den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056


< End of report >
__________________

Geändert von Snewi (21.04.2010 um 10:02 Uhr)

Antwort

Themen zu Worm_downad.ad ?
alarm, befallen, bezüglich, c:\windows, einträge, entfernen, fehlermeldungen, hartnäckigen, hijack, hijackthis, malwarebytes, neuste, scan, scanner, schlägt, server, system, system32, systeme, tools, virenscan, virenscanner, windows, worm, wurm


« unbekannter virus/wurm | Seltsam, Avira hat BDS/Agent.apgd entdeckt »


Ähnliche Themen: Worm_downad.ad ?


  1. Trend Micro Worry Free Business Security + WORM_DOWNAD.AD + MAL_DOWNAD.Ad
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (16)
  2. TrendMicro Worry Free Business Security meldet: "At1.job" und "ojswjz.ouu" (Mal_DownadJ und WORM_DOWNAD.AD)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (28)
  3. MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (25)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Worm_downad.ad ? - Oje, schwierige Sache. Sind die 15 Clients alle von der hardware gesehen völlig unterschiedlich oder quasi identisch? Wenn identisch, könntest Du einen Rechner neu aufsetzen und komplett neu einrichten - - Worm_downad.ad ?...
Archiv
Du betrachtest: Worm_downad.ad ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58