Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Backdoor via Antivir entdeckt: BDS.Poison.ifn

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.05.2010, 13:43   #1
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Ausrufezeichen

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hallo,
ich habe heute via Antivir die Meldung erhalten das sich ein Trojaner eingeschlichen haben soll.
Folgende Meldung gab Antivir:
" In der Datei 'C:\Programme\KEN!\PROXY\cache\3F\251736D62C13BB46275FF10DC081B9'
wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.ifn' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen "

Egal wie oft ich Ihn lösche, es wird automatisch ein neuer Unterordner bei KEN!/Proxy erstellt wo der 'BDS/Poison.ifn' sich dann einnistet.
Somit verweigert KEN! uns die Dienste, also startet keine Verbindung mehr zum POP3 oder SMTP Server.

Zu den allgemeinen PC Daten:
Es handelt sich um einen Server 2003 SP2, welcher mit KEN! und somit auch Antivir für KEN! arbeitet.

Hier die Log-Datei von Hijack This:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:39:10, on 21.05.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe
C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\NPLSecure.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe
C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe
C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe
C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe
C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis204.exe
c:\programme\avira\antivir fuer ken!\avcenter.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe
O4 - HKLM\..\Run: [Popup] "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Verknüpfung mit KMFtp.exe.lnk = tools\KONICA MINOLTA\FTP Utility\KMFtp.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2
O17 - HKLM\Software\..\Telephony: DomainName = ifb2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9DCA21-51B7-4148-AF6A-0B9845F10CF7}: NameServer = 187.130.10.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{A516BF50-1FEB-4420-BFA8-736901DA7DC1}: NameServer = 187.130.10.240
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifb2
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe
O23 - Service: Avira AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe
O23 - Service: CAD Soft Tools Licensing Service (CSLicenseServer) - SoftGold - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe
O23 - Service: STLB-Bau XML V2 2007-10 - HTTP-Server (HTTPServer_stlbbauxmlv2einzelserver_07_10) - AW-SYSTEMS GmbH - Bereich AW-SYSTEMS - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MRMonitor (MegaMonitorSrv) - Unknown owner - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe
O23 - Service: RWCFramework (MSMFramework) - Unknown owner - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NPLSecure - Niakwa, Inc. - C:\WINDOWS\system32\NPLSecure.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STLB-Bau XML V2 2007-10 - XML-Server (XMLServer_stlbbauxmlv2einzelserver_07_10) - AW-SYSTEMS GmbH - Bereich AW-SYSTEMS - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe

--
End of file - 7901 bytes
         
Ich hoffe Ihr könnt mir helfen.....

Alt 21.05.2010, 14:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 21.05.2010, 16:31   #3
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hallo und Danke für die Antwort.

Erstmal muss ich leider beichten. Die erstellt HiJack Logfile war die File nach Deinstallation der KEN! Software. Diese wurde wieder neu installiert.
Somit gibt es nun eine veränderte Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:57:42, on 21.05.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KEN!\Avira\avesvc.exe
C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe
C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\KEN!\Avira\ium.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\KEN!\KENNTP.EXE
C:\Programme\KEN!\KENRTSP.EXE
C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\NPLSecure.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe
C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe
C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe
C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe
C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\system32\ctfmon.exe
D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe
O4 - HKLM\..\Run: [Popup] "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Verknüpfung mit KMFtp.exe.lnk = tools\KONICA MINOLTA\FTP Utility\KMFtp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2
O17 - HKLM\Software\..\Telephony: DomainName = ifb2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9DCA21-51B7-4148-AF6A-0B9845F10CF7}: NameServer = 187.130.10.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{A516BF50-1FEB-4420-BFA8-736901DA7DC1}: NameServer = 187.130.10.240
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifb2
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir für KEN! Service-PC (AntiVirKENScanService) - Avira GmbH - C:\Programme\KEN!\Avira\avesvc.exe
O23 - Service: Avira AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe
O23 - Service: Avira AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe
O23 - Service: CAD Soft Tools Licensing Service (CSLicenseServer) - SoftGold - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe
O23 - Service: STLB-Bau XML V2 2007-10 - HTTP-Server (HTTPServer_stlbbauxmlv2einzelserver_07_10) - www.AW-SyStems.net - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Avira Internet Update Manager (IUMService) - Avira GmbH - C:\Programme\KEN!\Avira\ium.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: AVM KEN (KEN Service) - AVM Berlin - C:\Programme\KEN!\KENSERV.EXE
O23 - Service: MRMonitor (MegaMonitorSrv) - Unknown owner - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe
O23 - Service: RWCFramework (MSMFramework) - Unknown owner - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NPLSecure - Niakwa, Inc. - C:\WINDOWS\system32\NPLSecure.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STLB-Bau XML V2 2007-10 - XML-Server (XMLServer_stlbbauxmlv2einzelserver_07_10) - www.AW-SyStems.net - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe

--
End of file - 8488 bytes
         
Die Dateien die bei Hijack in der Auswertung bemängelt worden sind wurden geprüft und als ungefährlich eingestuft.
Bei der Ausführung von " Malwarebytes Anti-Malware " stürzt der Server immer ab. Leider startet der Server auch nicht mehr im Abgesicherten Modus. Dem entsprechend hier die Logfiles von OLT :
OLT.txt
Code:
ATTFilter
OTL logfile created on: 21.05.2010 15:49:46 - Run 1
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 78,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 152,73 Gb Total Space | 141,93 Gb Free Space | 92,93% Space Free | Partition Type: NTFS
Drive D: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive M: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
 
Computer Name: SERVER1
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\KEN!\KENSERV.EXE (AVM Berlin)
PRC - C:\Programme\KEN!\kenmail.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kentbsrv.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kensocks.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kenrtsp.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kenproxy.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kenntp.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kenmap.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kendns.exe (AVM Berlin)
PRC - C:\Programme\KEN!\kencron.exe (AVM Berlin)
PRC - C:\Programme\KEN!\avira\ium.exe (Avira GmbH)
PRC - C:\Programme\KEN!\avira\avesvc.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir fuer KEN!\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\dns.exe (Microsoft Corporation)
PRC - C:\Programme\RAID Web Console 2\MegaPopup\popup.exe (LSI)
PRC - C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe ()
PRC - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe ()
PRC - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe (www.AW-SyStems.net)
PRC - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe (www.AW-SyStems.net)
PRC - C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe (SoftGold)
PRC - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe (SoftGold)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\cmd.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\ntfrs.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\ismserv.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\dfssvc.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
PRC - C:\WINDOWS\system32\NPLSecure.exe (Niakwa, Inc.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.3959_x-ww_D8713E55\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (XMLServer_stlbbauxmlv2einzelserver_07_10) --  File not found
SRV - (HTTPServer_stlbbauxmlv2einzelserver_07_10) --  File not found
SRV - (KEN Service) -- C:\Programme\KEN!\KENSERV.EXE (AVM Berlin)
SRV - (IUMService) -- C:\Programme\KEN!\Avira\ium.exe (Avira GmbH)
SRV - (AntiVirKENScanService) -- C:\Programme\KEN!\Avira\avesvc.exe (Avira GmbH)
SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir fuer KEN!\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir fuer KEN!\avguard.exe (Avira GmbH)
SRV - (DNS) -- C:\WINDOWS\system32\dns.exe (Microsoft Corporation)
SRV - (MegaMonitorSrv) -- C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe ()
SRV - (MSMFramework) -- C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe ()
SRV - (CSLicenseServer) -- C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe (SoftGold)
SRV - (LicenseService) -- C:\WINDOWS\system32\llssrv.exe (Microsoft Corporation)
SRV - (NtFrs) -- C:\WINDOWS\system32\ntfrs.exe (Microsoft Corporation)
SRV - (Tssdis) -- C:\WINDOWS\system32\tssdis.exe (Microsoft Corporation)
SRV - (RSoPProv) -- C:\WINDOWS\system32\rsopprov.exe (Microsoft Corporation)
SRV - (IsmServ) -- C:\WINDOWS\system32\ismserv.exe (Microsoft Corporation)
SRV - (Dfs) Verteiltes Dateisystem (DFS) -- C:\WINDOWS\system32\dfssvc.exe (Microsoft Corporation)
SRV - (MSSQL$VVWSOFTWARE) SQL Server (VVWSOFTWARE) -- C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (SQLWriter) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (MSSQLSERVER) SQL Server (MSSQLSERVER) -- C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (MSSQLServerADHelper) -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (NPLSecure) -- C:\WINDOWS\system32\NPLSecure.exe (Niakwa, Inc.)
SRV - (TrkSvr) Überwachung verteilter Verknüpfungen (Server) -- C:\WINDOWS\system32\trksvr.dll (Microsoft Corporation)
SRV - (sacsvr) Hilfsprogramm für spezielle Verwaltungskonsole (SAC) -- C:\WINDOWS\system32\sacsvr.dll (Microsoft Corporation)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (KENDSL) -- C:\WINDOWS\system32\drivers\kendsl.sys (AVM Berlin)
DRV - (KEN) -- C:\WINDOWS\system32\drivers\KEN.sys (AVM Berlin)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir fuer KEN!\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir fuer KEN!\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (MegaSR) -- C:\WINDOWS\system32\drivers\MegaSR.sys (LSI Corporation, Inc.)
DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation)
DRV - (WLBS) -- C:\WINDOWS\system32\drivers\wlbs.sys (Microsoft Corporation)
DRV - (DfsDriver) -- C:\WINDOWS\system32\drivers\Dfs.sys (Microsoft Corporation)
DRV - (ClusDisk) -- C:\WINDOWS\system32\drivers\clusdisk.sys (Microsoft Corporation)
DRV - (Si3114r5) -- C:\WINDOWS\system32\drivers\Si3114r5.sys (Silicon Image, Inc)
DRV - (SiRemFil) -- C:\WINDOWS\system32\drivers\SiRemFil.sys (Silicon Image, Inc.)
DRV - (SiWinAcc) -- C:\WINDOWS\system32\drivers\SiWinAcc.sys (Silicon Image, Inc.)
DRV - (SiFilter) -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.)
DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=187.130.10.199:3128;https=187.130.10.199:3128;ftp=187.130.10.199:3128;socks=187.130.10.199:1080
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..network.proxy.ftp: "187.130.10.199"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "187.130.10.199"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.no_proxies_on: "localhost"
FF - prefs.js..network.proxy.socks: "187.130.10.199"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "187.130.10.199"
FF - prefs.js..network.proxy.ssl_port: 3128
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.20 14:42:33 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.17 10:10:10 | 000,000,000 | ---D | M]
 
[2009.10.16 09:42:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.05.21 11:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\r26v4nxf.default\extensions
[2010.05.17 11:51:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\r26v4nxf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.05.21 11:36:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.17 10:10:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.03.16 10:45:48 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.16 10:45:48 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.16 10:45:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.16 10:45:48 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.16 10:45:48 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003.03.26 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CS License Server Monitor] C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe (SoftGold)
O4 - HKLM..\Run: [KEN Taskbar Service] C:\Programme\KEN!\kentbsrv.exe (AVM Berlin)
O4 - HKLM..\Run: [Popup] C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe (LSI)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [UserFaultCheck]  File not found
O4 - HKLM..\Run: [WinGuard Pro]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Verknüpfung mit KMFtp.exe.lnk = D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMorePrograms = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236205391781 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifb2
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O29 - HKLM SecurityProviders - (pwdssp.dll) - C:\WINDOWS\System32\pwdssp.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.03.04 23:46:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.05.21 12:37:54 | 000,000,379 | ---- | M] () - M:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{c5599e0e-4918-11de-9611-0015179d429c}\Shell - "" = AutoRun
O33 - MountPoints2\{c5599e0e-4918-11de-9611-0015179d429c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.21 14:58:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2010.05.21 14:58:40 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.21 14:58:39 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.21 14:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.21 14:58:38 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.05.21 14:44:46 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.05.21 14:20:33 | 000,090,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\atl71.dll
[2010.05.21 14:20:32 | 001,060,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mfc71.dll
[2010.05.21 14:20:32 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mfc70.dll
[2010.05.21 14:20:32 | 000,503,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp71.dll
[2010.05.21 14:20:32 | 000,446,464 | ---- | C] (Blue Sky Software Corporation.) -- C:\WINDOWS\System32\hhactivex.dll
[2010.05.21 14:20:32 | 000,348,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr71.dll
[2010.05.21 14:20:32 | 000,344,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr70.dll
[2010.05.21 14:20:32 | 000,342,392 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\drivers\KEN.sys
[2010.05.21 14:20:32 | 000,244,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msflxgrd.ocx
[2010.05.21 14:20:32 | 000,016,760 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\drivers\kendsl.sys
[2010.05.21 14:20:31 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AVM
[2010.05.21 12:40:50 | 000,000,000 | -HSD | C] -- C:\found.000
[2010.05.21 12:31:13 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.05.21 12:31:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.05.21 12:14:53 | 000,000,000 | ---D | C] -- C:\!KillBox
[2010.05.21 12:14:42 | 000,092,672 | ---- | C] (Option^Explicit Software                        vbtechcd@gmail.com) -- C:\Dokumente und Einstellungen\Administrator\Desktop\KillBox.exe
[2010.05.21 11:12:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XMLServer
[2010.05.17 10:10:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.05.17 10:10:10 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.21 15:43:47 | 000,065,536 | ---- | M] () -- C:\WINDOWS\NETLOGON.CHG
[2010.05.21 15:41:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.21 15:40:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.21 14:58:42 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.21 14:27:44 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.21 14:21:53 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2010.05.21 14:21:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010.05.21 14:21:19 | 000,001,024 | ---- | M] () -- C:\.rnd
[2010.05.21 12:31:16 | 000,000,911 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Spybot - Search & Destroy.lnk
[2010.05.21 12:14:31 | 000,092,672 | ---- | M] (Option^Explicit Software                        vbtechcd@gmail.com) -- C:\Dokumente und Einstellungen\Administrator\Desktop\KillBox.exe
[2010.05.21 12:10:06 | 000,029,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_210510.eff
[2010.05.21 10:32:38 | 000,775,234 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.05.21 10:32:38 | 000,699,510 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.05.21 10:32:38 | 000,201,800 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.05.21 10:32:38 | 000,160,292 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.05.21 10:32:38 | 000,005,756 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.05.21 04:00:27 | 000,000,734 | ---- | M] () -- C:\WINDOWS\tasks\Projekt.job
[2010.05.21 01:41:18 | 000,000,372 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Donnerstg.job
[2010.05.21 00:10:54 | 000,000,374 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup täglich.job
[2010.05.19 02:59:19 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Mittwoch.job
[2010.05.19 02:19:11 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Dienstag.job
[2010.05.18 00:52:55 | 000,000,364 | ---- | M] () -- C:\WINDOWS\tasks\TrayBackup Montag.job
[2010.05.15 01:42:07 | 000,000,372 | ---- | M] () -- C:\WINDOWS\tasks\traybackup Freitag.job
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.22 10:36:26 | 000,003,423 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.21 14:58:42 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.21 14:20:33 | 000,030,720 | ---- | C] () -- C:\WINDOWS\regtlib.exe
[2010.05.21 12:31:16 | 000,000,911 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Spybot - Search & Destroy.lnk
[2010.05.21 12:10:06 | 000,029,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_210510.eff
[2010.05.21 11:34:05 | 000,028,920 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ken_121009.eff
[2009.12.30 10:25:58 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\KOAZCJ_L.DLL
[2009.03.09 17:06:40 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\NPLSecureps.dll
[2009.03.09 11:23:48 | 000,000,088 | ---- | C] () -- C:\WINDOWS\BTS4Wizard.ini
[2009.03.05 16:59:34 | 000,000,608 | ---- | C] () -- C:\WINDOWS\rtiwin.ini
[2009.03.05 00:14:44 | 000,024,875 | ---- | C] () -- C:\WINDOWS\System32\dnsperf.ini
[2009.03.05 00:01:53 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2009.03.05 00:00:28 | 000,012,288 | R--- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2009.03.04 23:58:43 | 000,003,265 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.03.04 23:58:27 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.11.24 09:34:30 | 000,000,101 | ---- | C] () -- C:\WINDOWS\LSI_StorSNMP.ini
[2008.05.12 19:52:06 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\AlertStrings.dll
[2006.11.29 04:30:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx13_ic.ini
[2003.03.26 14:00:00 | 000,179,577 | ---- | C] () -- C:\WINDOWS\System32\schema.ini
[2003.03.26 14:00:00 | 000,053,024 | ---- | C] () -- C:\WINDOWS\System32\ntdsctrs.ini
[2003.03.26 14:00:00 | 000,042,502 | ---- | C] () -- C:\WINDOWS\System32\ntfrsrep.ini
[2003.03.26 14:00:00 | 000,024,711 | ---- | C] () -- C:\WINDOWS\System32\iasperf.ini
[2003.03.26 14:00:00 | 000,023,830 | ---- | C] () -- C:\WINDOWS\System32\ipsecprf.ini
[2003.03.26 14:00:00 | 000,011,343 | ---- | C] () -- C:\WINDOWS\System32\ntfrscon.ini
< End of report >
         
Extras.txt:

Code:
ATTFilter
OTL Extras logfile created on: 21.05.2010 15:49:46 - Run 1
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 78,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 152,73 Gb Total Space | 141,93 Gb Free Space | 92,93% Space Free | Partition Type: NTFS
Drive D: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive M: | 297,09 Gb Total Space | 20,42 Gb Free Space | 6,87% Space Free | Partition Type: NTFS
 
Computer Name: SERVER1
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:187.130.10.20/255.255.255.255:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"3306:TCP" = 3306:TCP:*:Enabled:MySQL Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\KEN!\ken.exe" = C:\Programme\KEN!\ken.exe:LocalSubNet:Enabled:AVM KEN! - ken.exe -- (AVM Berlin)
"C:\Programme\KEN!\kencapi.exe" = C:\Programme\KEN!\kencapi.exe:LocalSubNet:Enabled:AVM KEN! - kencapi.exe -- (AVM Berlin)
"C:\Programme\KEN!\kencheck.exe" = C:\Programme\KEN!\kencheck.exe:LocalSubNet:Enabled:AVM KEN! - kencheck.exe -- (AVM Berlin)
"C:\Programme\KEN!\kendhcp.exe" = C:\Programme\KEN!\kendhcp.exe:0.0.0.0/255.255.255.255,10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:AVM KEN! - kendhcp.exe -- (AVM Berlin)
"C:\Programme\KEN!\kendns.exe" = C:\Programme\KEN!\kendns.exe:LocalSubNet:Enabled:AVM KEN! - kendns.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenf4k.exe" = C:\Programme\KEN!\kenf4k.exe:LocalSubNet:Enabled:AVM KEN! - kenf4k.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenftpgw.exe" = C:\Programme\KEN!\kenftpgw.exe:LocalSubNet:Enabled:AVM KEN! - kenftpgw.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenmail.exe" = C:\Programme\KEN!\kenmail.exe:LocalSubNet:Enabled:AVM KEN! - kenmail.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenmap.exe" = C:\Programme\KEN!\kenmap.exe:LocalSubNet:Enabled:AVM KEN! - kenmap.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenntp.exe" = C:\Programme\KEN!\kenntp.exe:LocalSubNet:Enabled:AVM KEN! - kenntp.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenproxy.exe" = C:\Programme\KEN!\kenproxy.exe:LocalSubNet:Enabled:AVM KEN! - kenproxy.exe -- (AVM Berlin)
"C:\Programme\KEN!\kenrtsp.exe" = C:\Programme\KEN!\kenrtsp.exe:LocalSubNet:Enabled:AVM KEN! - kenrtsp.exe -- (AVM Berlin)
"C:\Programme\KEN!\KENSERV.EXE" = C:\Programme\KEN!\KENSERV.EXE:LocalSubNet:Enabled:AVM KEN! - kenserv.exe -- (AVM Berlin)
"C:\Programme\KEN!\kensocks.exe" = C:\Programme\KEN!\kensocks.exe:LocalSubNet:Enabled:AVM KEN! - kensocks.exe -- (AVM Berlin)
"C:\Programme\KEN!\kentbsrv.exe" = C:\Programme\KEN!\kentbsrv.exe:LocalSubNet:Enabled:AVM KEN! - kentbsrv.exe -- (AVM Berlin)
"C:\Programme\KEN!\kickmail.exe" = C:\Programme\KEN!\kickmail.exe:LocalSubNet:Enabled:AVM KEN! - kickmail.exe -- (AVM Berlin)
"C:\Programme\KEN!\update.exe" = C:\Programme\KEN!\update.exe:LocalSubNet:Enabled:AVM KEN! - update.exe -- (AVM Berlin)
"C:\Programme\KEN!\avira\ium.exe" = C:\Programme\KEN!\avira\ium.exe:LocalSubNet:Enabled:AVM KEN! AntiVir Internet Update Manager - ium.exe -- (Avira GmbH)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01D76D8E-A496-4870-8357-87C6D2B5E807}" = MySQL Server 5.1
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{0AF342A7-A435-4980-940A-9DA4AD48E399}" = Microsoft SQL Server 2005 Express Edition
"{1D1D8ADC-BF08-4E61-9393-5FA305B16864}" = Microsoft SQL Server Native Client
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3DF2A0E8-ABB2-4026-84BC-26D0655F7EB8}" = HTML.Browser.Framework 1.1.2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{57E519F1-7921-4963-AC3F-8CB444D52CE4}" = RAID Web Console 2
"{5C759B74-34F4-43C6-A5D9-039CB754C5E9}" = Microsoft SQL Server VSS Writer
"{6C521A71-657A-4363-9048-C9A62B823D6E}" = PBS BTS4 Statik (Netzwerk)
"{714FCEA4-DBDD-4B13-8023-D9C71A650FEE}" = Microsoft SQL Server 2005 Express Edition (VVWSOFTWARE)
"{8C8556D0-D07C-11D4-92A3-0040055A8106}" = NPL
"{8D78CDD6-9B3D-4FF6-9EDE-90228B999449}" = ORCA AVA
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BBAAAD82-6242-420F-86D4-BD72BB5E6C86}" = Tools für Microsoft SQL Server 2005 Express Edition
"{BBBF4CFE-9D26-4D93-A869-B2B021B3CA85}" = Intel(R) PRO Network Connections 12.2.41.0
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C8135AF6-930E-43BC-8E7E-2E857654EAEF}" = STLB-Bau XML V2 - Einzelplatz, Server
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F70C2B4F-B6BF-4BB0-B67A-7ECD589181C5}" = MySQL Tools for 5.0
"ABViewer 6.1_is1" = ABViewer 6
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir für KEN!" = Avira AntiVir für KEN!
"AVM KEN!" = AVM KEN!
"CS Floating License Server_is1" = CS Floating License Server
"Foxit Reader" = Foxit Reader
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{57E519F1-7921-4963-AC3F-8CB444D52CE4}" = RAID Web Console 2 v2.91-04
"InstallShield_{6C521A71-657A-4363-9048-C9A62B823D6E}" = PBS BTS4 Statik (Netzwerk)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"WIC" = Windows Imaging Component
"Windows Server 2003 Service Pack" = Windows Server 2003 Service Pack 2
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.05.2010 06:32:23 | Computer Name = SERVER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.05.2010 06:51:05 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0
 Location 0x29fd8f.
 
Error - 21.05.2010 06:51:09 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0:1
 Location 0x29fd8f.
 
Error - 21.05.2010 06:51:12 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0
 Location 0x29fd8f.
 
Error - 21.05.2010 06:51:15 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0:1
 Location 0x29fd8f.
 
Error - 21.05.2010 06:51:19 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0
 Location 0x29fd8f.
 
Error - 21.05.2010 09:04:03 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0
 Location 0x29fd8f.
 
Error - 21.05.2010 09:04:23 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0:1
 Location 0x29fd8f.
 
Error - 21.05.2010 09:13:14 | Computer Name = SERVER1 | Source = VSS | ID = 8211
Description = Volumeschattenkopie-Dienstfehler: Verfasser namens "WMI Writer" und
 Kennung "{a6ad56c2-b509-4e6c-bb19-49d8f43532f0}" hat versucht, ein Abonnement im
 abgesicherten Modus zu erstellen.
 
Error - 21.05.2010 09:35:19 | Computer Name = SERVER1 | Source = MR_MONITOR | ID = 111
Description = Controller ID: 0  Unrecoverable medium error during recovery: PD 0
 Location 0x29fd76.
 
[ Directory Service Events ]
Error - 21.05.2010 09:13:20 | Computer Name = SERVER1 | Source = NTDS Backup | ID = 1913
Description = Interner Fehler: Unerwarteter Fehler beim Active Directory-Sicherungs-
 und Wiederherstellungsvorgang.        Sicherung und Wiederherstellung bleibt erfolglos,
 solange dies nicht korrigiert wird.        Zusätzliche Daten    Fehlerwert:   1084 Der Dienst
 kann nicht im abgesicherten Modus gestartet werden.    Interne Kennung:   160200fa
 
[ DNS Server Events ]
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "".  Die Ereignisdaten enthalten
 den Fehlercode.
 
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "."  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er
 Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese
 Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig funktioniert
 und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "_msdcs.ifb2"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
 dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese 
ohne diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 20.04.2009 12:33:27 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "ifb2"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass
 er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne 
diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 21.04.2009 01:54:16 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "".  Die Ereignisdaten enthalten
 den Fehlercode.
 
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "".  Die Ereignisdaten enthalten
 den Fehlercode.
 
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "."  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er
 Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese
 Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig funktioniert
 und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "_msdcs.ifb2"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
 dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese 
ohne diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 21.04.2009 04:18:22 | Computer Name = SERVER1 | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "ifb2"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass
 er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne 
diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 21.05.2010 08:20:50 | Computer Name = SERVER1 | Source = DNS | ID = 6702
Description = DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen,
dass
 die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server  replizieren 
können, wurde versucht, diese mit dem neuen Eintrag mittels  dynamischer Aktualisierung
 zu aktualisieren. Dabei ist ein Fehler aufgetreten.  Die Daten enthalten den Fehlercode.



Wenn
 dieser DNS-Server keine verzeichnisdienstintegrierten Peers    besitzt, sollte dieser
 Fehler ignoriert werden.        Wenn die Replikationspartner des Active Directorys für 
diesen DNS-Server  nicht die richtige IP-Adresse(n) für diesen Server haben, können
 sie nicht  mit ihm replizieren.        Führen Sie folgende Schritte aus, um sicherzustellen,
 dass die  Replikation ordnungsgemäß durchgeführt wird:    1) Suchen Sie die Replikationspartner
 des Active Directory für diesen  Server, die den DNS-Server ausführen.    2) Öffnen Sie
 den DNS-Manager und verbinden Sie sich der Reihe nach mit  jedem der Replikationspartner.

3)
 Überprüfen Sie auf jedem der Server die Hostregistrierung  (A-Eintrag) für DIESEN
 Server.    4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server  entsprechen.

5)
 Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie  mindestens einen
 A-Eintrag entsprechend einer Adresse auf diesem Server  hinzufügen, die der Replikationspartner
 ansprechen kann. (Mit anderen  Worten: Falls es mehrere IP-Adressen für diesen Server
 gibt, müssen Sie  mindestens eine hinzufügen, die sich im selben Netzwerk wie der
 DNS-Server  des Active Directory befindet, den Sie aktualisieren möchten.)    6) Es ist
 nicht notwendig, ALLE Replikationspartner zu aktualisieren.  Es ist lediglich erforderlich,
 dass alle Einträge mit genügend  Replikationspartnern verbunden sind, so dass jeder
 Server, der mit  diesem Server repliziert, die neuen Daten (mittels Replikation) 
erhält.
 
[ File Replication Service Events ]
Error - 25.05.2009 06:45:19 | Computer Name = SERVER1 | Source = NtFrs | ID = 13571
Description = Der Dateireplikationsdienst hat entdeckt, dass ein oder mehrere Volumes
auf
 diesem Computer die selbe Volumeseriennummer haben. Der Dateireplikationsdienst
unterstützt
 diese Konfiguration nicht. Dateien werden ggf.   nicht repliziert, bis dieser Konflikt
 gelöst wird.         Volumeseriennummer: 4084-d055     Liste der Volumes, die diese Volumeseriennummer
 hat: c:, c:         Die Ausgabe des Befehls "dir" zeigt die Volumeseriennummer an,  bevor
 die Inhalte des Ordners aufgeführt werden.    
 
Error - 21.05.2010 05:12:53 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description = 
 
Error - 21.05.2010 06:47:29 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description = 
 
Error - 21.05.2010 06:57:58 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description = 
 
Error - 21.05.2010 08:28:03 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description = 
 
Error - 21.05.2010 09:29:08 | Computer Name = SERVER1 | Source = NtFrs | ID = 13568
Description = 
 
[ Silicon Image Events ]
Error - 18.03.2009 11:36:26 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove   The Channel 0 Device on adapter 0, WDC WD1601ABYS-01C0A0,
 was removed.
 
Error - 18.03.2009 11:42:08 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove   The Channel 2 Device on adapter 0, WDC WD2500AAJS-22VTA0,
 was removed.
 
Error - 18.03.2009 11:42:09 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove   The Channel 0 Device on adapter 0, WDC WD1601ABYS-01C0A0,
 was removed.
 
Error - 18.03.2009 11:42:10 | Computer Name = SERVER1 | Source = SATARaid | ID = 0
Description = Device remove   The Channel 2 Device on adapter 0, WDC WD2500AAJS-22VTA0,
 was removed.
 
[ System Events ]
Error - 05.03.2010 04:56:27 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 05.03.2010 08:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 05.03.2010 12:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 05.03.2010 16:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 05.03.2010 20:56:28 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 06.03.2010 00:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 06.03.2010 04:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 06.03.2010 08:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 06.03.2010 12:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
Error - 06.03.2010 16:56:29 | Computer Name = SERVER1 | Source = NETLOGON | ID = 5741
Description = Der Anmeldedienst konnte den Namen IFB2<1B> aus folgendem Grund nicht
 registrieren:   \Device\NetBT_Tcpip_{C070156F-02EF-45E2-BCE5-E75BD71FB187}
 
 
< End of report >
         
Es werden bis zur nächsten Anwendung keine weiteren Änderungen vorgenommen.
__________________

Alt 21.05.2010, 17:18   #4
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Der Quickscan mit " Malwarebytes Anti-Malware " hat folgendes ergeben:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4124

Windows 5.2.3790 Service Pack 2
Internet Explorer 7.0.5730.13

21.05.2010 17:15:47
mbam-log-2010-05-21 (17-15-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 115491
Laufzeit: 3 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\smss.TMP (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Alt 21.05.2010, 20:03   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Mach mit Malwarebytes bitte einen Vollscan.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.05.2010, 23:43   #6
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Wie ich schon geschrieben habe stürzt der Server leider regelmäßig beim Scan mit "Malwarebytes" ab.
Auch der Abgesicherte Modus hängt sich der Server bei "Netzwerkverbindungen werden Hergestellt" leider auf.

Gibt es eventuell ein Alternativprogramm mit dem ich eine Reinigung durchführen kann?

Alt 22.05.2010, 16:49   #7
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



SO nach endlos vielen Versuchen hat es geklappt im Abgesicherten Modus zu starten und dort lief "Malwarebytes" durch.
Hier der Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4124

Windows 5.2.3790 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13

22.05.2010 14:44:33
mbam-log-2010-05-22 (14-44-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 138960
Laufzeit: 9 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antivir selber findet aber 2 verschiedene:
TR/Mejax.dn
TR/Dldr.Dephi.gen

Alt 23.05.2010, 21:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Zitat:
Antivir selber findet aber 2 verschiedene:
TR/Mejax.dn
TR/Dldr.Dephi.gen
Ohne komplette Pfadangaben hilft das keinem weiter. Die gefundenen Objekte auch schonmal bei Virustotal auswerten lassen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.05.2010, 15:52   #9
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



So nach langen hin und her habe ich nun Malewarebytes geschafft durchlaufen zu lassen:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4124

Windows 5.2.3790 Service Pack 2
Internet Explorer 7.0.5730.13

27.05.2010 15:46:06
mbam-log-2010-05-27 (15-46-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 1421940
Laufzeit: 3 Stunde(n), 55 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\privat\doerwald\TEMP\Anti-spy-software\bpssr.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.


Die genauen Pfadangaben für die von Antivir entfernten Schädlinge lauten:

TR/crypt.ZPACK.gen
=> c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4A8E1BCE7B3A15EB.m

TR/Dldr.Bredolab.wh
=> c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4B555BED7B030566.m

TR/Dldy.Agent.dadz
=> c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4B5FE2BE1DAD4CBD.m

Ich hoffe das diese Daten uns weiterbringen.....

Alt 27.05.2010, 20:24   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Zitat:
Datenbank Version: 4124
Du hast Malwarebytes vorher aber nicht aktualisiert. Bitte nachholen und versuchen einen weiteren Vollscan zu starten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.05.2010, 09:28   #11
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hallo, peinliche nummer die Aktualisierung zu vergessen

Habe ich gestern geupdatet und laufen lassen hier die fundfreie Logdatei:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4149

Windows 5.2.3790 Service Pack 2
Internet Explorer 7.0.5730.13

28.05.2010 06:48:34
mbam-log-2010-05-28 (06-48-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 1432858
Laufzeit: 9 Stunde(n), 10 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Wie soll ich nun weiter vorgehen?

Alt 28.05.2010, 14:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Der Scan hat über 9h gedauert? Was ist denn da alles drauf?

Zitat:
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
Dir ist auch klar, dass wir an einem Windows Server herumdoktorn? Vor solchen Eingriffen sollte eine tagesaktuelle Datensicherung selbstverständlich sein.
Wie kritisch ist es genau, wenn dieser Server ausfällt wenn Windows zB "kaputt" ist oder sich nicht mehr booten lässt?
Geh ich richtig in der Annahme, dass dieser Server u.a. ein Domaincontroller und Fileserver ist? Mit Home-Laufwerken für die Benutzer, die auf D: (aus der Sicht des Servers) gespeichert sind?

Zitat:
c:\Programme\KEN\Mailroot\4a3248f3-7929-33cf\inbox\4B555BED7B030566.m
Bzgl. dieses Fundes: KEN! ist ein Mailserver, ich weiß nicht genau wie dieses Programm tickt, aber ich vermute, dass ein Schädling da nur inaktiv in irgendeiner Mailbox herumliegt.
Das OTL-Log war auch soweit recht unauffällig.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.05.2010, 20:48   #13
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hallo, Danke für die schnelle Antwort

Der Server Dient als Datenablage für mehrere CAD Rechner, somit hat er schon recht viele Daten zu Scannen,da auch jede der Platten gespiegelt läuft.
Der Server läuft als Domaincontroller und auch als Fielserver.
Eine tägliche Datensicherung der Projekte ist via TrayBackup geregelt.

Momentan nach vielen Suchläufen und der Eleminierung der Schädlinge läuft der Server recht stabil. Bei den ersten Meldungen ist der KEN! Mailserver nicht mehr einsatzbereit gewesen. Es wurden keine Mails mehr versendet und nur sporadisch hat er mal Mails abgeholt. Jeder der Workstations wird nun zu Feierabend mit Antivir gescannt und wurde letztes We komplett mit mehren Programmen gescannt. Alle Workstations sind Virenfrei.

Falls der Server ausfällt wäre dies sehr ungünstig, da ich diesen nicht aufgesetzt habe sondern ein ehemaliger Angestellter... somit gibt es fast keine Dokumentation

Kann ich noch weitere Aktionen ausführen um sicherzustellen das der Server Virenfrei ist?

Alt 29.05.2010, 00:32   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Zitat:
Kann ich noch weitere Aktionen ausführen um sicherzustellen das der Server Virenfrei ist?
Probier mal ein Logfile mit OSAM zu erstellen. GMER ist mir zu heikel, das stürzte in letzter Zeit auf vielen Rechnern mit einem BSOD ab muss bei einem Server, der ja eigentlich 24/7 laufen soll, nun nicht gerade sein
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.05.2010, 02:24   #15
Smorph
 
Backdoor via Antivir entdeckt: BDS.Poison.ifn - Standard

Backdoor via Antivir entdeckt: BDS.Poison.ifn



Hier die Log Datei via OSAM:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 02:18:35 on 29.05.2010

OS: Windows Server 2003, Standard Edition Service Pack 2 (Build 3790)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Projekt.job" - "MySQL AB" - C:\Programme\MySQL\MySQL Tools for 5.0\MySQLAdministrator.exe
"TrayBackup Dienstag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe
"TrayBackup Donnerstg.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe
"traybackup Freitag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe
"TrayBackup Mittwoch.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe
"TrayBackup Montag.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe
"TrayBackup täglich.job" - "(C) Michael Schiel" - C:\PROGRA~1\TRAYBA~1\traybackup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir für KEN! " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"SMAX3CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax3CP.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM KEN Internet" (KEN) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\KEN.sys
"bdxty" (bdxty) - ? - C:\WINDOWS\System32\drivers\xqeaviru.sys  (File found, but it contains no detailed information)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"detakg" (detakg) - ? - C:\WINDOWS\System32\drivers\brnptmk.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IP/IP-Tunneltreiber" (IpInIp) - ? - C:\WINDOWS\System32\DRIVERS\ipinip.sys  (File not found)
"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\2F.tmp  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"vncdrv" (vncdrv) - "RDV Soft" - C:\WINDOWS\System32\DRIVERS\vncdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? - hticons.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll
{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93} "wodShellMenu" - "WeOnlyDo! COM" - C:\WINDOWS\system32\wodShellMenu.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Known DLLs]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )-----
"wow64" - ? - C:\WINDOWS\system32\wow64.dll  (File not found)
"wow64cpu" - ? - C:\WINDOWS\system32\wow64cpu.dll  (File not found)
"wow64win" - ? - C:\WINDOWS\system32\wow64win.dll  (File not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
"Verknüpfung mit KMFtp.exe.lnk" - "KONICA MINOLTA BUSINESS TECHNOLOGIES, INC." - D:\install\tools\KONICA MINOLTA\FTP Utility\KMFtp.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CS License Server Monitor" - "SoftGold" - C:\Programme\Soft Gold\CS Floating License Server\CS_LicSrvMonitor.exe
"KEN Taskbar Service" - "AVM Berlin" - "C:\Programme\KEN!\kentbsrv.exe"
"Popup" - "LSI" - "C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir für KEN! Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir für KEN! Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir für KEN! Service-PC" (AntiVirKENScanService) - "Avira GmbH" - C:\Programme\KEN!\Avira\avesvc.exe
"Avira Internet Update Manager" (IUMService) - "Avira GmbH" - C:\Programme\KEN!\Avira\ium.exe
"AVM KEN" (KEN Service) - "AVM Berlin" - C:\Programme\KEN!\KENSERV.EXE
"CAD Soft Tools Licensing Service" (CSLicenseServer) - "SoftGold" - C:\Programme\Soft Gold\CS Floating License Server\CS_LicenseServer.exe
"Hilfsdienst von SQL Server für Active Directory" (MSSQLServerADHelper) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MRMonitor" (MegaMonitorSrv) - ? - C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe  (File found, but it contains no detailed information)
"MySQL" (MySQL) - ? - C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe  (File found, but it contains no detailed information)
"NPLSecure" (NPLSecure) - "Niakwa, Inc." - C:\WINDOWS\system32\NPLSecure.exe
"RWCFramework" (MSMFramework) - ? - C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe  (File found, but it contains no detailed information)
"SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
"SQL Server (MSSQLSERVER)" (MSSQLSERVER) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
"SQL Server (SQLEXPRESS)" (MSSQL$SQLEXPRESS) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
"SQL Server (VVWSOFTWARE)" (MSSQL$VVWSOFTWARE) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
"SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
"STLB-Bau XML V2 2007-10 - HTTP-Server" (HTTPServer_stlbbauxmlv2einzelserver_07_10) - "www.AW-SyStems.net" - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\HTTPServer\HttpServer.Service.exe
"STLB-Bau XML V2 2007-10 - XML-Server" (XMLServer_stlbbauxmlv2einzelserver_07_10) - "www.AW-SyStems.net" - C:\Programme\STLB-Bau\STLB-Bau XML V2 - SE\XMLServer\XMLServer.Service.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


Ich hoffe diese Daten helfen weiter.....

Antwort

Themen zu Backdoor via Antivir entdeckt: BDS.Poison.ifn
administrator, antivir, avira, backdoor, bds.poison, bho, browseui preloader, dll, einstellungen, explorer, firefox, ftp, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-datei, löschen, mozilla, programme, proxy, rundll, server 2003, software, system, trojaner, virus, windows



Ähnliche Themen: Backdoor via Antivir entdeckt: BDS.Poison.ifn


  1. Backdoor:Win32/poison.E
    Plagegeister aller Art und deren Bekämpfung - 03.01.2015 (10)
  2. Backdoor- und Trojan-Agents mit MalwareBytes entdeckt
    Log-Analyse und Auswertung - 20.01.2014 (6)
  3. Backdoor.Agent.FPA nach Routinescan mit MalwareBytes entdeckt
    Plagegeister aller Art und deren Bekämpfung - 28.12.2013 (7)
  4. Trojaner und 2 Backdoor Viren entdeckt
    Plagegeister aller Art und deren Bekämpfung - 02.10.2013 (3)
  5. Antivir hat Trojaner & Co entdeckt
    Log-Analyse und Auswertung - 19.06.2013 (13)
  6. Trojaner, AntiVir entdeckt
    Diskussionsforum - 19.09.2012 (1)
  7. Backdoor.papras + verschiedene Trojaner entdeckt - MBAM hat entfernt - geht es ohne Neuaufsetzung?
    Log-Analyse und Auswertung - 12.10.2011 (30)
  8. Trojaner von antivir entdeckt.
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (12)
  9. BDS/Justfun.A.10 backdoor virus entdeckt ! ! ! !
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (6)
  10. TR/TDss.WP.1 von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (2)
  11. verseuchte .exe ausgeführt (poison.backdoor)
    Log-Analyse und Auswertung - 10.03.2010 (5)
  12. Backdoor.Agent und Worm.AutoRun entdeckt - gelöscht - aber trotzdem wieder da
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (15)
  13. Backdoor.Win32.Poison.ajns
    Plagegeister aller Art und deren Bekämpfung - 28.07.2009 (1)
  14. TR/Agent2.esw bei Antivir entdeckt
    Log-Analyse und Auswertung - 12.03.2009 (33)
  15. Antivir hat Trojaner entdeckt, was tun?
    Log-Analyse und Auswertung - 22.02.2009 (12)
  16. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  17. Backdoor.IRC.Flood Entdeckt!SOS!
    Log-Analyse und Auswertung - 30.09.2008 (0)

Zum Thema Backdoor via Antivir entdeckt: BDS.Poison.ifn - Hallo, ich habe heute via Antivir die Meldung erhalten das sich ein Trojaner eingeschlichen haben soll. Folgende Meldung gab Antivir: " In der Datei 'C:\Programme\KEN!\PROXY\cache\3F\251736D62C13BB46275FF10DC081B9' wurde ein Virus oder unerwünschtes - Backdoor via Antivir entdeckt: BDS.Poison.ifn...
Archiv
Du betrachtest: Backdoor via Antivir entdeckt: BDS.Poison.ifn auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.