Malware die ständig den Dateinamen ändert
Liste der Anhänge anzeigen (Anzahl: 1) Hallo,
wie mir eben aufgefallen ist, habe ich einen Prozess, der bei jedem Systemstart den Dateinamen ändert.
Ich gehe davon aus, dass das File aus dem Internet Cache kommt und relativ harmlos ist. Jedenfalls kann ich den Prozess ohne Probleme beenden. Die Suche nach dem "was ist es" ist allerdings schwierig... beim letzen Systemstart hieß das File ga8cc3.exe und jetzt FWBF7C.EXE und liegt in C:\WINDOWS\Temp
Dateisymbol ist ein Hund, siehe Anhang. HiJackThis Auszug: Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:48:04, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
Y:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
Y:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
c:\Programme\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
Y:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
Y:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
Y:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\FWBF7C.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\rundll32.exe
Y:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
Y:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
Y:\Programme\GFI\FAXmaker Client\fmstart.exe
C:\WINDOWS\system32\ctfmon.exe
Y:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
Y:\Programme\DeskView\DeskOff\DeskOff.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
Y:\Programme\SwyxIt!\SwyxIt!.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
Y:\Programme\SwyxIt!\CLMgr.exe
C:\WINDOWS\system32\rsvp.exe
C:\Programme\Gemeinsame Dateien\Swyx\ClCache.exe
Y:\Programme\SwyxIt!\ODialer.exe
Y:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\taskmgr.exe
Y:\Programme\Mozilla Firefox\firefox.exe
Y:\Downloads\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] Y:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "Y:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FMStart] "Y:\Programme\GFI\FAXmaker Client\fmstart.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] Y:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: DeskOff.lnk = Y:\Programme\DeskView\DeskOff\DeskOff.exe
O4 - Global Startup: SwyxIt!.lnk = Y:\Programme\SwyxIt!\SwyxIt!.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Markierte Rufnummer wählen - Y:\Programme\SwyxIt!\IEDial.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://Y:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Y:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SwyxIt! Wählhilfe - {f8e553c6-4c00-11d3-80bc-00105a653379} - Y:\Programme\SwyxIt!\IEDial.htm
O9 - Extra 'Tools' menuitem: SwyxIt! Wählhilfe - {f8e553c6-4c00-11d3-80bc-00105a653379} - Y:\Programme\SwyxIt!\IEDial.htm
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.fujitsu-siemens.de
O16 - DPF: {0002E510-0000-0000-C000-000000000046} (InstSpreadsheet) - file://\\rl\GalaInternetIntern\Intranet\MSOWC.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - h**p://w*w.solidworks.com/plugins/edrawings/download.cfm?Release=rel
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**ps://xxx:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126089459968
O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://xxx:4343/SMB/console/html/root/AtxConsole.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: DeskView Agent - Fujitsu Siemens Computers - Y:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
O23 - Service: DeskView AnP Manager (DVAnPMan) - Fujitsu Siemens Computers - Y:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
O23 - Service: Hard Disk Noise Control (HDDFC) - Fujitsu Siemens Computers - c:\Programme\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
O23 - Service: DeskView MT Alerting Service (MTAlerting) - Fujitsu Siemens Computers - Y:\PROGRA~1\DeskView\DVCC\MTALER~1.EXE
O23 - Service: Trend Micro Client-Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - Y:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client-Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - Y:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - Y:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
| Dateisymbol aus Windows Temp ist angehängt. | 