| |
| |||||||
Log-Analyse und Auswertung: Backdoor via Antivir entdeckt: BDS.Poison.ifnWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
21.05.2010, 12:43
| #1 |
 |  Backdoor via Antivir entdeckt: BDS.Poison.ifn Hallo, ich habe heute via Antivir die Meldung erhalten das sich ein Trojaner eingeschlichen haben soll. Folgende Meldung gab Antivir: " In der Datei 'C:\Programme\KEN!\PROXY\cache\3F\251736D62C13BB46275FF10DC081B9' wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.ifn' [backdoor] gefunden. Ausgeführte Aktion: Datei löschen " Egal wie oft ich Ihn lösche, es wird automatisch ein neuer Unterordner bei KEN!/Proxy erstellt wo der 'BDS/Poison.ifn' sich dann einnistet. Somit verweigert KEN! uns die Dienste, also startet keine Verbindung mehr zum POP3 oder SMTP Server. Zu den allgemeinen PC Daten: Es handelt sich um einen Server 2003 SP2, welcher mit KEN! und somit auch Antivir für KEN! arbeitet. Hier die Log-Datei von Hijack This: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:39:10, on 21.05.2010 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v7.00 (7.00.6000.17023) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir fuer KEN!\sched.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\System32\svchost.exe C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe C:\WINDOWS\System32\ismserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe C:\WINDOWS\system32\NPLSecure.exe C:\WINDOWS\system32\ntfrs.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe C:\WINDOWS\system32\cmd.exe C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dwwin.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis204.exe c:\programme\avira\antivir fuer ken!\avcenter.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe O4 - HKLM\..\Run: [Popup] "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Verknüpfung mit KMFtp.exe.lnk = tools\KONICA MINOLTA\FTP Utility\KMFtp.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2 O17 - HKLM\Software\..\Telephony: DomainName = ifb2 O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9DCA21-51B7-4148-AF6A-0B9845F10CF7}: NameServer = 187.130.10.240 O17 - HKLM\System\CCS\Services\Tcpip\..\{A516BF50-1FEB-4420-BFA8-736901DA7DC1}: NameServer = 187.130.10.240 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifb2 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe O23 - Service: Avira AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe O23 - Service: CAD Soft Tools Licensing Service (CSLicenseServer) - SoftGold - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe O23 - Service: STLB-Bau XML V2 2007-10 - HTTP-Server (HTTPServer_stlbbauxmlv2einzelserver_07_10) - AW-SYSTEMS GmbH - Bereich AW-SYSTEMS - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: MRMonitor (MegaMonitorSrv) - Unknown owner - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe O23 - Service: RWCFramework (MSMFramework) - Unknown owner - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NPLSecure - Niakwa, Inc. - C:\WINDOWS\system32\NPLSecure.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: STLB-Bau XML V2 2007-10 - XML-Server (XMLServer_stlbbauxmlv2einzelserver_07_10) - AW-SYSTEMS GmbH - Bereich AW-SYSTEMS - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe -- End of file - 7901 bytes |
|
21.05.2010, 13:25
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Backdoor via Antivir entdeckt: BDS.Poison.ifn Hallo und
__________________ bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
21.05.2010, 15:31
| #3 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Hallo und Danke für die Antwort.
__________________Erstmal muss ich leider beichten. Die erstellt HiJack Logfile war die File nach Deinstallation der KEN! Software. Diese wurde wieder neu installiert. Somit gibt es nun eine veränderte Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:57:42, on 21.05.2010 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v7.00 (7.00.6000.17023) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir fuer KEN!\sched.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\KEN!\Avira\avesvc.exe C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\System32\svchost.exe C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe C:\WINDOWS\System32\ismserv.exe C:\Programme\KEN!\Avira\ium.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\KEN!\KENSERV.EXE C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\KEN!\KENPROXY.EXE C:\Programme\KEN!\KENMAIL.EXE C:\Programme\KEN!\KENDNS.EXE C:\Programme\KEN!\KENSOCKS.EXE C:\Programme\KEN!\KENMAP.EXE C:\Programme\KEN!\KENCRON.EXE C:\Programme\KEN!\KENNTP.EXE C:\Programme\KEN!\KENRTSP.EXE C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe C:\WINDOWS\system32\NPLSecure.exe C:\WINDOWS\system32\ntfrs.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe C:\WINDOWS\system32\cmd.exe C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\KEN!\kentbsrv.exe C:\WINDOWS\system32\ctfmon.exe D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\notepad.exe C:\WINDOWS\notepad.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe O4 - HKLM\..\Run: [Popup] "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Verknüpfung mit KMFtp.exe.lnk = tools\KONICA MINOLTA\FTP Utility\KMFtp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2 O17 - HKLM\Software\..\Telephony: DomainName = ifb2 O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9DCA21-51B7-4148-AF6A-0B9845F10CF7}: NameServer = 187.130.10.240 O17 - HKLM\System\CCS\Services\Tcpip\..\{A516BF50-1FEB-4420-BFA8-736901DA7DC1}: NameServer = 187.130.10.240 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifb2 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir für KEN! Service-PC (AntiVirKENScanService) - Avira GmbH - C:\Programme\KEN!\Avira\avesvc.exe O23 - Service: Avira AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe O23 - Service: Avira AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe O23 - Service: CAD Soft Tools Licensing Service (CSLicenseServer) - SoftGold - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe O23 - Service: STLB-Bau XML V2 2007-10 - HTTP-Server (HTTPServer_stlbbauxmlv2einzelserver_07_10) - www.AW-SyStems.net - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Avira Internet Update Manager (IUMService) - Avira GmbH - C:\Programme\KEN!\Avira\ium.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: AVM KEN (KEN Service) - AVM Berlin - C:\Programme\KEN!\KENSERV.EXE O23 - Service: MRMonitor (MegaMonitorSrv) - Unknown owner - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe O23 - Service: RWCFramework (MSMFramework) - Unknown owner - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NPLSecure - Niakwa, Inc. - C:\WINDOWS\system32\NPLSecure.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: STLB-Bau XML V2 2007-10 - XML-Server (XMLServer_stlbbauxmlv2einzelserver_07_10) - www.AW-SyStems.net - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe -- End of file - 8488 bytes Bei der Ausführung von " Malwarebytes Anti-Malware " stürzt der Server immer ab. Leider startet der Server auch nicht mehr im Abgesicherten Modus. Dem entsprechend hier die Logfiles von OLT : OLT.txt Code:
ATTFilter OTL logfile created on: 21.05.2010 15:49:46 - Run 1 OTL by OldTimer - Version 3.2.5.0 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 78,00% Memory free 6,00 Gb Paging File | 5,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 152,73 Gb Total Space | 141,93 Gb Free Space | 92,93% Space Free | Partition Type: NTFS Drive D: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive M: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS Computer Name: SERVER1 Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\KEN!\KENSERV.EXE (AVM Berlin) PRC - C:\Programme\KEN!\kenmail.exe (AVM Berlin) PRC - C:\Programme\KEN!\kentbsrv.exe (AVM Berlin) PRC - C:\Programme\KEN!\kensocks.exe (AVM Berlin) PRC - C:\Programme\KEN!\kenrtsp.exe (AVM Berlin) PRC - C:\Programme\KEN!\kenproxy.exe (AVM Berlin) PRC - C:\Programme\KEN!\kenntp.exe (AVM Berlin) PRC - C:\Programme\KEN!\kenmap.exe (AVM Berlin) PRC - C:\Programme\KEN!\kendns.exe (AVM Berlin) PRC - C:\Programme\KEN!\kencron.exe (AVM Berlin) PRC - C:\Programme\KEN!\avira\ium.exe (Avira GmbH) PRC - C:\Programme\KEN!\avira\avesvc.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe (Avira GmbH) PRC - C:\WINDOWS\system32\dns.exe (Microsoft Corporation) PRC - C:\Programme\RAID Web Console 2\MegaPopup\popup.exe (LSI) PRC - C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe (Sun Microsystems, Inc.) PRC - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe () PRC - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe () PRC - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe (www.AW-SyStems.net) PRC - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe (www.AW-SyStems.net) PRC - C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe (SoftGold) PRC - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe (SoftGold) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\cmd.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\ntfrs.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\ismserv.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\dfssvc.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) PRC - D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.) PRC - C:\WINDOWS\system32\NPLSecure.exe (Niakwa, Inc.) PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.3959_x-ww_D8713E55\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (XMLServer_stlbbauxmlv2einzelserver_07_10) -- File not found SRV - (HTTPServer_stlbbauxmlv2einzelserver_07_10) -- File not found SRV - (KEN Service) -- C:\Programme\KEN!\KENSERV.EXE (AVM Berlin) SRV - (IUMService) -- C:\Programme\KEN!\Avira\ium.exe (Avira GmbH) SRV - (AntiVirKENScanService) -- C:\Programme\KEN!\Avira\avesvc.exe (Avira GmbH) SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir fuer KEN!\sched.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe (Avira GmbH) SRV - (DNS) -- C:\WINDOWS\system32\dns.exe (Microsoft Corporation) SRV - (MegaMonitorSrv) -- C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe () SRV - (MSMFramework) -- C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe () SRV - (CSLicenseServer) -- C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe (SoftGold) SRV - (LicenseService) -- C:\WINDOWS\system32\llssrv.exe (Microsoft Corporation) SRV - (NtFrs) -- C:\WINDOWS\system32\ntfrs.exe (Microsoft Corporation) SRV - (Tssdis) -- C:\WINDOWS\system32\tssdis.exe (Microsoft Corporation) SRV - (RSoPProv) -- C:\WINDOWS\system32\rsopprov.exe (Microsoft Corporation) SRV - (IsmServ) -- C:\WINDOWS\system32\ismserv.exe (Microsoft Corporation) SRV - (Dfs) Verteiltes Dateisystem (DFS) -- C:\WINDOWS\system32\dfssvc.exe (Microsoft Corporation) SRV - (MSSQL$VVWSOFTWARE) SQL Server (VVWSOFTWARE) -- C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) SRV - (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) SRV - (SQLBrowser) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation) SRV - (SQLWriter) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation) SRV - (MSSQLSERVER) SQL Server (MSSQLSERVER) -- C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) SRV - (MSSQLServerADHelper) -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (NPLSecure) -- C:\WINDOWS\system32\NPLSecure.exe (Niakwa, Inc.) SRV - (TrkSvr) Überwachung verteilter Verknüpfungen (Server) -- C:\WINDOWS\system32\trksvr.dll (Microsoft Corporation) SRV - (sacsvr) Hilfsprogramm für spezielle Verwaltungskonsole (SAC) -- C:\WINDOWS\system32\sacsvr.dll (Microsoft Corporation) SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.) ========== Driver Services (SafeList) ========== DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (KENDSL) -- C:\WINDOWS\system32\drivers\kendsl.sys (AVM Berlin) DRV - (KEN) -- C:\WINDOWS\system32\drivers\KEN.sys (AVM Berlin) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Programme\Avira\AntiVir fuer KEN!\avgntflt.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir fuer KEN!\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH) DRV - (MegaSR) -- C:\WINDOWS\system32\drivers\MegaSR.sys (LSI Corporation, Inc.) DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation) DRV - (WLBS) -- C:\WINDOWS\system32\drivers\wlbs.sys (Microsoft Corporation) DRV - (DfsDriver) -- C:\WINDOWS\system32\drivers\Dfs.sys (Microsoft Corporation) DRV - (ClusDisk) -- C:\WINDOWS\system32\drivers\clusdisk.sys (Microsoft Corporation) DRV - (Si3114r5) -- C:\WINDOWS\system32\drivers\Si3114r5.sys (Silicon Image, Inc) DRV - (SiRemFil) -- C:\WINDOWS\system32\drivers\SiRemFil.sys (Silicon Image, Inc.) DRV - (SiWinAcc) -- C:\WINDOWS\system32\drivers\SiWinAcc.sys (Silicon Image, Inc.) DRV - (SiFilter) -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.) DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..network.proxy.ftp: "187.130.10.199" FF - prefs.js..network.proxy.ftp_port: 3128 FF - prefs.js..network.proxy.http: "187.130.10.199" FF - prefs.js..network.proxy.http_port: 3128 FF - prefs.js..network.proxy.no_proxies_on: "localhost" FF - prefs.js..network.proxy.socks: "187.130.10.199" FF - prefs.js..network.proxy.socks_port: 1080 FF - prefs.js..network.proxy.ssl: "187.130.10.199" FF - prefs.js..network.proxy.ssl_port: 3128 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.20 14:42:33 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.17 10:10:10 | 000,000,000 | ---D | M] [2009.10.16 09:42:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.05.21 11:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\r26v4nxf.default\extensions [2010.05.17 11:51:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\r26v4nxf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.05.21 11:36:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.05.17 10:10:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.03.16 10:45:48 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.16 10:45:48 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.16 10:45:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.16 10:45:48 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.16 10:45:48 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2003.03.26 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe (SoftGold) O4 - HKLM..\Run: [KEN Taskbar Service] C:\Programme\KEN!\kentbsrv.exe (AVM Berlin) O4 - HKLM..\Run: [Popup] C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe (LSI) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [UserFaultCheck] File not found O4 - HKLM..\Run: [WinGuard Pro] File not found O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Verknüpfung mit KMFtp.exe.lnk = D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMorePrograms = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2 O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O29 - HKLM SecurityProviders - (pwdssp.dll) - C:\WINDOWS\System32\pwdssp.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.03.04 23:46:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.05.21 12:37:54 | 000,000,379 | ---- | M] () - M:\autorun.inf -- [ NTFS ] O33 - MountPoints2\{c5599e0e-4918-11de-9611-0015179d429c}\Shell - "" = AutoRun O33 - MountPoints2\{c5599e0e-4918-11de-9611-0015179d429c}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\F\Shell - "" = AutoRun O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.05.21 14:58:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.05.21 14:58:40 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.05.21 14:58:39 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.05.21 14:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.05.21 14:58:38 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.05.21 14:44:46 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.05.21 14:20:33 | 000,090,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\atl71.dll [2010.05.21 14:20:32 | 001,060,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mfc71.dll [2010.05.21 14:20:32 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mfc70.dll [2010.05.21 14:20:32 | 000,503,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp71.dll [2010.05.21 14:20:32 | 000,446,464 | ---- | C] (Blue Sky Software Corporation.) -- C:\WINDOWS\System32\hhactivex.dll [2010.05.21 14:20:32 | 000,348,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr71.dll [2010.05.21 14:20:32 | 000,344,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr70.dll [2010.05.21 14:20:32 | 000,342,392 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\drivers\KEN.sys [2010.05.21 14:20:32 | 000,244,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msflxgrd.ocx [2010.05.21 14:20:32 | 000,016,760 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\drivers\kendsl.sys [2010.05.21 14:20:31 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AVM [2010.05.21 12:40:50 | 000,000,000 | -HSD | C] -- C:\found.000 [2010.05.21 12:31:13 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.05.21 12:31:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.05.21 12:14:53 | 000,000,000 | ---D | C] -- C:\!KillBox [2010.05.21 12:14:42 | 000,092,672 | ---- | C] (Option^Explicit Software vbtechcd@gmail.com) -- C:\Dokumente und Einstellungen\Administrator\Desktop\KillBox.exe [2010.05.21 11:12:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XMLServer [2010.05.17 10:10:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.05.17 10:10:10 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.05.21 15:43:47 | 000,065,536 | ---- | M] () -- C:\WINDOWS\NETLOGON.CHG [2010.05.21 15:41:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.21 15:40:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.21 14:58:42 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.21 14:27:44 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.05.21 14:21:53 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.05.21 14:21:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.05.21 14:21:19 | 000,001,024 | ---- | M] () -- C:\.rnd [2010.05.21 12:31:16 | 000,000,911 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Spybot - Search & Destroy.lnk [2010.05.21 12:14:31 | 000,092,672 | ---- | M] (Option^Explicit Software vbtechcd@gmail.com) -- C:\Dokumente und Einstellungen\Administrator\Desktop\KillBox.exe [2010.05.21 12:10:06 | 000,029,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_210510.eff [2010.05.21 10:32:38 | 000,775,234 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.05.21 10:32:38 | 000,699,510 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.05.21 10:32:38 | 000,201,800 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.05.21 10:32:38 | 000,160,292 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.05.21 10:32:38 | 000,005,756 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.05.21 04:00:27 | 000,000,734 | ---- | M] () -- C:\WINDOWS\tasks\Projekt.job [2010.05.21 01:41:18 | 000,000,372 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Donnerstg.job [2010.05.21 00:10:54 | 000,000,374 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup täglich.job [2010.05.19 02:59:19 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Mittwoch.job [2010.05.19 02:19:11 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Dienstag.job [2010.05.18 00:52:55 | 000,000,364 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Montag.job [2010.05.15 01:42:07 | 000,000,372 | ---- | M] () -- C:\WINDOWS\tasks\traybackup Freitag.job [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.22 10:36:26 | 000,003,423 | ---- | M] () -- C:\WINDOWS\imsins.BAK [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.05.21 14:58:42 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.21 14:20:33 | 000,030,720 | ---- | C] () -- C:\WINDOWS\regtlib.exe [2010.05.21 12:31:16 | 000,000,911 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Spybot - Search & Destroy.lnk [2010.05.21 12:10:06 | 000,029,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_210510.eff [2010.05.21 11:34:05 | 000,028,920 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_121009.eff [2009.12.30 10:25:58 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\KOAZCJ_L.DLL [2009.03.09 17:06:40 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\NPLSecureps.dll [2009.03.09 11:23:48 | 000,000,088 | ---- | C] () -- C:\WINDOWS\BTS4Wizard.ini [2009.03.05 16:59:34 | 000,000,608 | ---- | C] () -- C:\WINDOWS\rtiwin.ini [2009.03.05 00:14:44 | 000,024,875 | ---- | C] () -- C:\WINDOWS\System32\dnsperf.ini [2009.03.05 00:01:53 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll [2009.03.05 00:00:28 | 000,012,288 | R--- | C] () -- C:\WINDOWS\System32\e100bmsg.dll [2009.03.04 23:58:43 | 000,003,265 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2009.03.04 23:58:27 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.11.24 09:34:30 | 000,000,101 | ---- | C] () -- C:\WINDOWS\LSI_StorSNMP.ini [2008.05.12 19:52:06 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\AlertStrings.dll [2006.11.29 04:30:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx13_ic.ini [2003.03.26 14:00:00 | 000,179,577 | ---- | C] () -- C:\WINDOWS\System32\schema.ini [2003.03.26 14:00:00 | 000,053,024 | ---- | C] () -- C:\WINDOWS\System32\ntdsctrs.ini [2003.03.26 14:00:00 | 000,042,502 | ---- | C] () -- C:\WINDOWS\System32\ntfrsrep.ini [2003.03.26 14:00:00 | 000,024,711 | ---- | C] () -- C:\WINDOWS\System32\iasperf.ini [2003.03.26 14:00:00 | 000,023,830 | ---- | C] () -- C:\WINDOWS\System32\ipsecprf.ini [2003.03.26 14:00:00 | 000,011,343 | ---- | C] () -- C:\WINDOWS\System32\ntfrscon.ini < End of report > Code:
ATTFilter OTL Extras logfile created on: 21.05.2010 15:49:46 - Run 1
OTL by OldTimer - Version 3.2.5.0 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 78,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 152,73 Gb Total Space | 141,93 Gb Free Space | 92,93% Space Free | Partition Type: NTFS
Drive D: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive M: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
Computer Name: SERVER1
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:187.130.10.20/255.255.255.255:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"3306:TCP" = 3306:TCP:*:Enabled:MySQL Server
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\KEN!\ken.exe" = C:\Programme\KEN!\ken.exe:LocalSubNet:Enabled:AVM KEN! - ken.exe -- (AVM Berlin)
"C:\Programme\KEN!\kencapi.exe" = C:\Programme\KEN!\kencapi.exe:LocalSubNet:Enabled:AVM KEN! - kencapi.exe -- (AVM Berlin)
"C:\Programme\KEN!\kencheck.exe" = C:\Programme\KEN!\kencheck.exe:LocalSubNet:Enabled:AVM KEN! - kencheck.exe -- (AVM Berlin)
"C:\Programme\KEN!\kendhcp.exe" = C:\Programme\KEN!\kendhcp.exe:0.0.0.0/255.255.255.255,10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:AVM KEN! - kendhcp.exe -- (AVM Berlin)
"C:\Programme\KEN!\kendns.exe" = C:\Programme\KEN!\kendns.exe:LocalSubNet:Enabled:AVM KEN! - kendns.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenf4k.exe" = C:\Programme\KEN!\kenf4k.exe:LocalSubNet:Enabled:AVM KEN! - kenf4k.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenftpgw.exe" = C:\Programme\KEN!\kenftpgw.exe:LocalSubNet:Enabled:AVM KEN! - kenftpgw.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenmail.exe" = C:\Programme\KEN!\kenmail.exe:LocalSubNet:Enabled:AVM KEN! - kenmail.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenmap.exe" = C:\Programme\KEN!\kenmap.exe:LocalSubNet:Enabled:AVM KEN! - kenmap.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenntp.exe" = C:\Programme\KEN!\kenntp.exe:LocalSubNet:Enabled:AVM KEN! - kenntp.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenproxy.exe" = C:\Programme\KEN!\kenproxy.exe:LocalSubNet:Enabled:AVM KEN! - kenproxy.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenrtsp.exe" = C:\Programme\KEN!\kenrtsp.exe:LocalSubNet:Enabled:AVM KEN! - kenrtsp.exe -- (AVM Berlin)
"C:\Programme\KEN!\KENSERV.EXE" = C:\Programme\KEN!\KENSERV.EXE:LocalSubNet:Enabled:AVM KEN! - kenserv.exe -- (AVM Berlin)
"C:\Programme\KEN!\kensocks.exe" = C:\Programme\KEN!\kensocks.exe:LocalSubNet:Enabled:AVM KEN! - kensocks.exe -- (AVM Berlin)
"C:\Programme\KEN!\kentbsrv.exe" = C:\Programme\KEN!\kentbsrv.exe:LocalSubNet:Enabled:AVM KEN! - kentbsrv.exe -- (AVM Berlin)
"C:\Programme\KEN!\kickmail.exe" = C:\Programme\KEN!\kickmail.exe:LocalSubNet:Enabled:AVM KEN! - kickmail.exe -- (AVM Berlin)
"C:\Programme\KEN!\update.exe" = C:\Programme\KEN!\update.exe:LocalSubNet:Enabled:AVM KEN! - update.exe -- (AVM Berlin)
"C:\Programme\KEN!\avira\ium.exe" = C:\Programme\KEN!\avira\ium.exe:LocalSubNet:Enabled:AVM KEN! AntiVir Internet Update Manager - ium.exe -- (Avira GmbH)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01D76D8E-A496-4870-8357-87C6D2B5E807}" = MySQL Server 5.1
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{0AF342A7-A435-4980-940A-9DA4AD48E399}" = Microsoft SQL Server 2005 Express Edition
"{1D1D8ADC-BF08-4E61-9393-5FA305B16864}" = Microsoft SQL Server Native Client
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3DF2A0E8-ABB2-4026-84BC-26D0655F7EB8}" = HTML.Browser.Framework 1.1.2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{57E519F1-7921-4963-AC3F-8CB444D52CE4}" = RAID Web Console 2
"{5C759B74-34F4-43C6-A5D9-039CB754C5E9}" = Microsoft SQL Server VSS Writer
"{6C521A71-657A-4363-9048-C9A62B823D6E}" = PBS BTS4 Statik (Netzwerk)
"{714FCEA4-DBDD-4B13-8023-D9C71A650FEE}" = Microsoft SQL Server 2005 Express Edition (VVWSOFTWARE)
"{8C8556D0-D07C-11D4-92A3-0040055A8106}" = NPL
"{8D78CDD6-9B3D-4FF6-9EDE-90228B999449}" = ORCA AVA
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BBAAAD82-6242-420F-86D4-BD72BB5E6C86}" = Tools für Microsoft SQL Server 2005 Express Edition
"{BBBF4CFE-9D26-4D93-A869-B2B021B3CA85}" = Intel(R) PRO Network Connections 12.2.41.0
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C8135AF6-930E-43BC-8E7E-2E857654EAEF}" = STLB-Bau XML V2 - Einzelplatz, Server
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F70C2B4F-B6BF-4BB0-B67A-7ECD589181C5}" = MySQL Tools for 5.0
"ABViewer 6.1_is1" = ABViewer 6
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir für KEN!" = Avira AntiVir für KEN!
"AVM KEN!" = AVM KEN!
"CS Floating License Server_is1" = CS Floating License Server
"Foxit Reader" = Foxit Reader
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{57E519F1-7921-4963-AC3F-8CB444D52CE4}" = RAID Web Console 2 v2.91-04
"InstallShield_{6C521A71-657A-4363-9048-C9A62B823D6E}" = PBS BTS4 Statik (Netzwerk)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"WIC" = Windows Imaging Component
"Windows Server 2003 Service Pack" = Windows Server 2003 Service Pack 2
"WinRAR archiver" = WinRAR
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 21.05.2010 06:32:23 | Computer Name = SERVER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 21.05.2010 06:51:05 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0
Location 0x29fd8f.
Error - 21.05.2010 06:51:09 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0:1
Location 0x29fd8f.
Error - 21.05.2010 06:51:12 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0
Location 0x29fd8f.
Error - 21.05.2010 06:51:15 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0:1
Location 0x29fd8f.
Error - 21.05.2010 06:51:19 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0
Location 0x29fd8f.
Error - 21.05.2010 09:04:03 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0
Location 0x29fd8f.
Error - 21.05.2010 09:04:23 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0:1
Location 0x29fd8f.
Error - 21.05.2010 09:13:14 | Computer Name = SERVER1 | Source = VSS | ID = 8211
Description = Volumeschattenkopie-Dienstfehler: Verfasser namens "WMI Writer" und
Kennung "{a6ad56c2-b509-4e6c-bb19-49d8f43532f0}" hat versucht, ein Abonnement im
abgesicherten Modus zu erstellen.
Error - 21.05.2010 09:35:19 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0 Unrecoverable medium error during recovery: PD 0
Location 0x29fd76.
[ Directory Service Events ]
Error - 21.05.2010 09:13:20 | Computer Name = SERVER1 | Source = NTDS Backup | ID = 1913
Description = Interner Fehler: Unerwarteter Fehler beim Active Directory-Sicherungs-
und Wiederherstellungsvorgang. Sicherung und Wiederherstellung bleibt erfolglos,
solange dies nicht korrigiert wird. Zusätzliche Daten Fehlerwert: 1084 Der Dienst
kann nicht im abgesicherten Modus gestartet werden. Interne Kennung: 160200fa
[ DNS Server Events ]
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere
Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten
den Fehlercode.
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"." nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er
Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese
Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert
und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"_msdcs.ifb2" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese
ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig
funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"ifb2" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass
er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne
diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig
funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 21.04.2009 01:54:16 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere
Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten
den Fehlercode.
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere
Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten
den Fehlercode.
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"." nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er
Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese
Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert
und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"_msdcs.ifb2" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese
ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig
funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
"ifb2" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass
er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne
diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig
funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation
(die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.
Error - 21.05.2010 08:20:50 | Computer Name = SERVER1 | Source = DNS | ID = 6702
Description = DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen,
dass
die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren
können, wurde versucht, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung
zu aktualisieren. Dabei ist ein Fehler aufgetreten. Die Daten enthalten den Fehlercode.
Wenn
dieser DNS-Server keine verzeichnisdienstintegrierten Peers besitzt, sollte dieser
Fehler ignoriert werden. Wenn die Replikationspartner des Active Directorys für
diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, können
sie nicht mit ihm replizieren. Führen Sie folgende Schritte aus, um sicherzustellen,
dass die Replikation ordnungsgemäß durchgeführt wird: 1) Suchen Sie die Replikationspartner
des Active Directory für diesen Server, die den DNS-Server ausführen. 2) Öffnen Sie
den DNS-Manager und verbinden Sie sich der Reihe nach mit jedem der Replikationspartner.
3)
Überprüfen Sie auf jedem der Server die Hostregistrierung (A-Eintrag) für DIESEN
Server. 4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprechen.
5)
Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie mindestens einen
A-Eintrag entsprechend einer Adresse auf diesem Server hinzufügen, die der Replikationspartner
ansprechen kann. (Mit anderen Worten: Falls es mehrere IP-Adressen für diesen Server
gibt, müssen Sie mindestens eine hinzufügen, die sich im selben Netzwerk wie der
DNS-Server des Active Directory befindet, den Sie aktualisieren möchten.) 6) Es ist
nicht notwendig, ALLE Replikationspartner zu aktualisieren. Es ist lediglich erforderlich,
dass alle Einträge mit genügend Replikationspartnern verbunden sind, so dass jeder
Server, der mit diesem Server repliziert, die neuen Daten (mittels Replikation)
erhält.
[ File Replication Service Events ]
Error - 25.05.2009 06:45:19 | Computer Name = SERVER1 | Source = NtFrs | ID = 13571
Description = Der Dateireplikationsdienst hat entdeckt, dass ein oder mehrere Volumes
auf
diesem Computer die selbe Volumeseriennummer haben. Der Dateireplikationsdienst
unterstützt
diese Konfiguration nicht. Dateien werden ggf. nicht repliziert, bis dieser Konflikt
gelöst wird. Volumeseriennummer: 4084-d055 Liste der Volumes, die diese Volumeseriennummer
hat: c:, c: Die Ausgabe des Befehls "dir" zeigt die Volumeseriennummer an, bevor
die Inhalte des Ordners aufgeführt werden.
Error - 21.05.2010 05:12:53 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description =
Error - 21.05.2010 06:47:29 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description =
Error - 21.05.2010 06:57:58 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description =
Error - 21.05.2010 08:28:03 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description =
Error - 21.05.2010 09:29:08 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description =
[ Silicon Image Events ]
Error - 18.03.2009 11:36:26 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove The Channel 0 Device on adapter 0, WDC WD1601ABYS-01C0A0,
was removed.
Error - 18.03.2009 11:42:08 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove The Channel 2 Device on adapter 0, WDC WD2500AAJS-22VTA0,
was removed.
Error - 18.03.2009 11:42:09 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove The Channel 0 Device on adapter 0, WDC WD1601ABYS-01C0A0,
was removed.
Error - 18.03.2009 11:42:10 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove The Channel 2 Device on adapter 0, WDC WD2500AAJS-22VTA0,
was removed.
[ System Events ]
Error - 05.03.2010 04:56:27 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 05.03.2010 08:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 05.03.2010 12:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 05.03.2010 16:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 05.03.2010 20:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 06.03.2010 00:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 06.03.2010 04:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 06.03.2010 08:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 06.03.2010 12:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
Error - 06.03.2010 16:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
registrieren: \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
< End of report >
|
|
21.05.2010, 16:18
| #4 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Der Quickscan mit " Malwarebytes Anti-Malware " hat folgendes ergeben: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4124 Windows 5.2.3790 Service Pack 2 Internet Explorer 7.0.5730.13 21.05.2010 17:15:47 mbam-log-2010-05-21 (17-15-47).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 115491 Laufzeit: 3 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\smss.TMP (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. |
|
21.05.2010, 19:03
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor via Antivir entdeckt: BDS.Poison.ifn Mach mit Malwarebytes bitte einen Vollscan.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
21.05.2010, 22:43
| #6 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Wie ich schon geschrieben habe stürzt der Server leider regelmäßig beim Scan mit "Malwarebytes" ab. Auch der Abgesicherte Modus hängt sich der Server bei "Netzwerkverbindungen werden Hergestellt" leider auf. Gibt es eventuell ein Alternativprogramm mit dem ich eine Reinigung durchführen kann? |
|
22.05.2010, 15:49
| #7 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn SO nach endlos vielen Versuchen hat es geklappt im Abgesicherten Modus zu starten und dort lief "Malwarebytes" durch. Hier der Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4124 Windows 5.2.3790 Service Pack 2 (Safe Mode) Internet Explorer 7.0.5730.13 22.05.2010 14:44:33 mbam-log-2010-05-22 (14-44-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 138960 Laufzeit: 9 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Antivir selber findet aber 2 verschiedene: TR/Mejax.dn TR/Dldr.Dephi.gen |
|
23.05.2010, 20:55
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor via Antivir entdeckt: BDS.Poison.ifnZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.05.2010, 14:52
| #9 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn So nach langen hin und her habe ich nun Malewarebytes geschafft durchlaufen zu lassen: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4124 Windows 5.2.3790 Service Pack 2 Internet Explorer 7.0.5730.13 27.05.2010 15:46:06 mbam-log-2010-05-27 (15-46-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 1421940 Laufzeit: 3 Stunde(n), 55 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\privat\doerwald\TEMP\Anti-spy-software\bpssr.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully. Die genauen Pfadangaben für die von Antivir entfernten Schädlinge lauten: TR/crypt.ZPACK.gen => c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4A8E1BCE7B3A15EB.m TR/Dldr.Bredolab.wh => c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4B555BED7B030566.m TR/Dldy.Agent.dadz => c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4B5FE2BE1DAD4CBD.m Ich hoffe das diese Daten uns weiterbringen..... |
|
27.05.2010, 19:24
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor via Antivir entdeckt: BDS.Poison.ifnZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.05.2010, 08:28
| #11 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Hallo, peinliche nummer die Aktualisierung zu vergessen  Habe ich gestern geupdatet und laufen lassen hier die fundfreie Logdatei: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4149 Windows 5.2.3790 Service Pack 2 Internet Explorer 7.0.5730.13 28.05.2010 06:48:34 mbam-log-2010-05-28 (06-48-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 1432858 Laufzeit: 9 Stunde(n), 10 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Wie soll ich nun weiter vorgehen? |
|
28.05.2010, 13:20
| #12 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor via Antivir entdeckt: BDS.Poison.ifn Der Scan hat über 9h gedauert? Was ist denn da alles drauf? Zitat:
Wie kritisch ist es genau, wenn dieser Server ausfällt wenn Windows zB "kaputt" ist oder sich nicht mehr booten lässt? Geh ich richtig in der Annahme, dass dieser Server u.a. ein Domaincontroller und Fileserver ist? Mit Home-Laufwerken für die Benutzer, die auf D: (aus der Sicht des Servers) gespeichert sind? Zitat:
Das OTL-Log war auch soweit recht unauffällig.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.05.2010, 19:48
| #13 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Hallo, Danke für die schnelle Antwort Der Server Dient als Datenablage für mehrere CAD Rechner, somit hat er schon recht viele Daten zu Scannen,da auch jede der Platten gespiegelt läuft. Der Server läuft als Domaincontroller und auch als Fielserver. Eine tägliche Datensicherung der Projekte ist via TrayBackup geregelt. Momentan nach vielen Suchläufen und der Eleminierung der Schädlinge läuft der Server recht stabil. Bei den ersten Meldungen ist der KEN! Mailserver nicht mehr einsatzbereit gewesen. Es wurden keine Mails mehr versendet und nur sporadisch hat er mal Mails abgeholt. Jeder der Workstations wird nun zu Feierabend mit Antivir gescannt und wurde letztes We komplett mit mehren Programmen gescannt. Alle Workstations sind Virenfrei. Falls der Server ausfällt wäre dies sehr ungünstig, da ich diesen nicht aufgesetzt habe sondern ein ehemaliger Angestellter... somit gibt es fast keine Dokumentation  Kann ich noch weitere Aktionen ausführen um sicherzustellen das der Server Virenfrei ist? |
|
28.05.2010, 23:32
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor via Antivir entdeckt: BDS.Poison.ifnZitat:
 muss bei einem Server, der ja eigentlich 24/7 laufen soll, nun nicht gerade sein 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.05.2010, 01:24
| #15 |
| | Backdoor via Antivir entdeckt: BDS.Poison.ifn Hier die Log Datei via OSAM: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 02:18:35 on 29.05.2010 OS: Windows Server 2003, Standard Edition Service Pack 2 (Build 3790) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "Projekt.job" - "MySQL AB" - C:\Programme\MySQL\MySQL Tools for 5.0\MySQLAdministrator.exe "TrayBackup Dienstag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe "TrayBackup Donnerstg.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe "traybackup Freitag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe "TrayBackup Mittwoch.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe "TrayBackup Montag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe "TrayBackup täglich.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir für KEN! " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "SMAX3CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax3CP.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "AVM KEN Internet" (KEN) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\KEN.sys "bdxty" (bdxty) - ? - C:\WINDOWS\System32\drivers\xqeaviru.sys (File found, but it contains no detailed information) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "detakg" (detakg) - ? - C:\WINDOWS\System32\drivers\brnptmk.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "IP/IP-Tunneltreiber" (IpInIp) - ? - C:\WINDOWS\System32\DRIVERS\ipinip.sys (File not found) "MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\2F.tmp (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "vncdrv" (vncdrv) - "RDV Soft" - C:\WINDOWS\System32\DRIVERS\vncdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? - hticons.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll {E54B19BC-69B6-43B2-A1F2-15BBC1D72C93} "wodShellMenu" - "WeOnlyDo! COM" - C:\WINDOWS\system32\wodShellMenu.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll [Known DLLs] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )----- "wow64" - ? - C:\WINDOWS\system32\wow64.dll (File not found) "wow64cpu" - ? - C:\WINDOWS\system32\wow64cpu.dll (File not found) "wow64win" - ? - C:\WINDOWS\system32\wow64win.dll (File not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini "Verknüpfung mit KMFtp.exe.lnk" - "KONICA MINOLTA BUSINESS TECHNOLOGIES, INC." - D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe (Shortcut exists | File exists) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "CS License Server Monitor" - "SoftGold" - C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe "KEN Taskbar Service" - "AVM Berlin" - "C:\Programme\KEN!\kentbsrv.exe" "Popup" - "LSI" - "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe" "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir für KEN! Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir für KEN! Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Avira AntiVir für KEN! Service-PC" (AntiVirKENScanService) - "Avira GmbH" - C:\Programme\KEN!\Avira\avesvc.exe "Avira Internet Update Manager" (IUMService) - "Avira GmbH" - C:\Programme\KEN!\Avira\ium.exe "AVM KEN" (KEN Service) - "AVM Berlin" - C:\Programme\KEN!\KENSERV.EXE "CAD Soft Tools Licensing Service" (CSLicenseServer) - "SoftGold" - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe "Hilfsdienst von SQL Server für Active Directory" (MSSQLServerADHelper) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "MRMonitor" (MegaMonitorSrv) - ? - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe (File found, but it contains no detailed information) "MySQL" (MySQL) - ? - C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe (File found, but it contains no detailed information) "NPLSecure" (NPLSecure) - "Niakwa, Inc." - C:\WINDOWS\system32\NPLSecure.exe "RWCFramework" (MSMFramework) - ? - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe (File found, but it contains no detailed information) "SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe "SQL Server (MSSQLSERVER)" (MSSQLSERVER) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe "SQL Server (SQLEXPRESS)" (MSSQL$SQLEXPRESS) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe "SQL Server (VVWSOFTWARE)" (MSSQL$VVWSOFTWARE) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe "SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe "SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe "STLB-Bau XML V2 2007-10 - HTTP-Server" (HTTPServer_stlbbauxmlv2einzelserver_07_10) - "www.AW-SyStems.net" - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe "STLB-Bau XML V2 2007-10 - XML-Server" (XMLServer_stlbbauxmlv2einzelserver_07_10) - "www.AW-SyStems.net" - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Ich hoffe diese Daten helfen weiter..... |
|
| Themen zu Backdoor via Antivir entdeckt: BDS.Poison.ifn |
| administrator, antivir, avira, backdoor, bds.poison, bho, browseui preloader, dll, einstellungen, explorer, firefox, ftp, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-datei, löschen, mozilla, plug-in, programme, proxy, rundll, server 2003, software, system, trojaner, virus, windows |
Linear-Darstellung
