Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Win2000 Server verseucht (https://www.trojaner-board.de/37454-win2000-server-verseucht.html)

Alequin 29.03.2007 14:42
Win2000 Server verseucht
 
Haben hier nen Windows 2000 Terminal Server beim einem Kunden der unter Beschuss steht. Kunde hat jetzt in nach hinein eine Panda Enterprise Antivirenlösung bekommen. Bringt nur nicht mehr arg viel wenn das Zeugs schon drauf ist.
Panda erkennt nur eine "a.exe" (spyware/bridge) in ..\winnt\system32\, desinfiziert diese und nach 10-15Minuten ist das Teil wieder da. Im abgesicherten Modus nicht.
Haben den das hier benutzt Remove Bridge. Der SpySweeper erkennt im abgesichtern und im normalen Modus einen "Multidial"

Habe nun dann doch Hijackthis durchlaufen lassen und brauch jetzt wirklich Rat. Find nicht gescheites zu dem Multidial. Ich vermute mal das der nämlich den bridge immer wieder einsetzt.


HJT LOG:
---------
Logfile of HijackThis v1.99.1
Scan saved at 15:28:27, on 29.03.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Panda Software\AVNT\PavSrv50.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\WINNT\system32\ntfrs.exe
C:\Programme\Panda Software\AVNT\PSCTRLS.EXE
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\AVNT\PsImSvc.exe
C:\WINNT\system32\rcssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\lserver.exe
C:\Programme\Pwrchute\ups.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\Explorer.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\Programme\Panda Software\AVNT\AVENGINE.EXE
C:\WINNT\system32\algose32.exe
C:\WINNT\system32\wcescom32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINNT\System32\tsadmin.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\WINNT\system32\algose32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\Dokumente und Einstellungen\hsisdn\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.50.5:3128/ken2000.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:3128;https=127.0.0.1:3128;ftp=127.0.0.1:3128;socks=127.0.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\Panda Software\AVNT\PSCtrlC.exe"
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe
O4 - HKLM\..\Run: [ActiveSync] C:\WINNT\system32\wcescom32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe
O4 - HKCU\..\Run: [ActiveSync] C:\WINNT\system32\wcescom32.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DasTelefonbuch Browserlösung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\hsisdn\windows\system32\rnr20.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122920045546
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2D92DE6-24F9-4899-9A9D-9AA0D64E2E1C}: NameServer = 192.168.50.10,212.118.192.13,212.118.216.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O20 - Winlogon Notify: avldr - avldr.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Warndienst (Alerter) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Anwendungsverwaltung (AppMgmt) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: ASP.NET-Statusdienst (aspnet_state) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Computerbrowser (Browser) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Ablagemappe (ClipSrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\clipsrv.exe (file missing)
O23 - Service: Verteiltes Dateisystem (DFS) (Dfs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: DHCP-Client (Dhcp) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Verwaltung logischer Datenträger (dmserver) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: DNS-Server (DNS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\dns.exe (file missing)
O23 - Service: DNS-Client (Dnscache) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Ereignisprotokoll (Eventlog) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Faxdienst (Fax) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\faxsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Standortübergreifender Meldungsdienst (IsmServ) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\ismserv.exe (file missing)
O23 - Service: Kerberos-Schlüsselverteilungscenter (kdc) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Server (lanmanserver) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Arbeitsstationsdienst (lanmanworkstation) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Lizenzprotokollierdienst (LicenseService) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: TCP/IP-NetBIOS-Hilfsprogramm (LmHosts) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: TCP/IP-Druckserver (LPDSVC) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\tcpsvcs.exe (file missing)
O23 - Service: Nachrichtendienst (Messenger) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Netzwerk-DDE-Dienst (NetDDE) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\netdde.exe (file missing)
O23 - Service: Netzwerk-DDE-Serverdienst (NetDDEdsdm) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\netdde.exe (file missing)
O23 - Service: Anmeldedienst (Netlogon) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Netzwerkverbindungen (Netman) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Dateireplikationsdienst (NtFrs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: NT-LM-Sicherheitsdienst (NtLmSsp) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Wechselmedien (NtmsSvc) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\AVNT\PSCTRLS.EXE
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\Panda Software\AVNT\PavSrv50.exe
O23 - Service: Plug & Play (PlugPlay) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC-Richtlinienagent (PolicyAgent) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Geschützter Speicher (ProtectedStorage) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Programme\Panda Software\AVNT\PsImSvc.exe
O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINNT\system32\rcssrv.exe
O23 - Service: Verwaltung für automatische RAS-Verbindung (RasAuto) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: RAS-Verbindungsverwaltung (RasMan) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Remote-Registrierungsdienst (RemoteRegistry) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\regsvc.exe (file missing)
O23 - Service: RPC-Locator (RpcLocator) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\locator.exe (file missing)
O23 - Service: Remoteprozeduraufruf (RPC) (RpcSs) - Unknown owner - C:\Dokumente.exe (file missing)
O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\rsvp.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung (SamSs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Smartcard-Hilfsprogramm (SCardDrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\SCardSvr.exe (file missing)
O23 - Service: Smartcard (SCardSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\SCardSvr.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\MSTask.exe (file missing)
O23 - Service: Dienst "Ausführen als" (seclogon) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Systemereignisbenachrichtigung (SENS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: Leistungsdatenprotokolle und Warnungen (SysmonLog) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\smlogsvc.exe (file missing)
O23 - Service: Telefonie (TapiSrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Terminaldienste (TermService) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\termsrv.exe (file missing)
O23 - Service: Terminaldienstelizenzierung (TermServLicensing) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lserver.exe (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\tlntsvr.exe (file missing)
O23 - Service: Überwachung verteilter Verknüpfungen (Server) (TrkSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Überwachung verteilter Verknüpfungen (Client) (TrkWks) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programme\Pwrchute\ups.exe
O23 - Service: Hilfsprogramm-Manager (UtilMan) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\UtilMan.exe (file missing)
O23 - Service: Windows-Zeitgeber (W32Time) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Windows-Verwaltungsinstrumentation (WinMgmt) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\WBEM\WinMgmt.exe (file missing)
O23 - Service: WINS (Windows Internet Name Service) (WINS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\wins.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Windows-Verwaltungsinstrumentations-Treibererweiterungen (Wmi) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\Services.exe (file missing)
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Drahtloskonfiguration (WZCSVC) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)

Alequin 29.03.2007 14:58
Die automatische Auswertung von HJT hab ich auch grade gefunden :Boogie:

C:\WINNT\system32\algose32.exe wird als Schädling erkannt, wie krieg ich den sauber raus auf nem Win2000 Server, mit ganz vielen Leuten die dran arbeiten :crazy:

Rene-gad 29.03.2007 15:00
@Alequin
Es gibt ja Einiges zu beanstanden, wobei das
Zitat:
C:\WINNT\system32\algose32.exe
höchstwahrscheinlich das ist: W32/Rbot-GHQ - Wurm - Sophos Bedrohungsanalyse
Daraus ist eine neue Installation vom BS empfohlen, ggf. für alle angeschlossenen PCs.
PS: Wenn du die Anleitung brauchst, klicke auf den Link in meiner Signatur.
EDIT: War zu langsam :)

Alequin 29.03.2007 15:08
1. Was gibts denn noch zu beanstanden? :heulen:

2. Also die Lösung für den "C:\WINNT\system32\algose32.exe" ist ne Neuinstalltion? Ne oder, ich kann beim Kunden den Terminal-Server nicht einfach neu aufsetzen. Die killen mich. Vor allem müsste man das erst Terminieren, aber egal. Kann man das Teil nicht irgendwie mir Registry-Bearbeitung und hier und da was weglöschen unschädlich machen?

Bin IT-Schnösel, könnt mir ruhig mit Lösungen von hinten durch die Brust ins Auge kommen. :aplaus:

Rene-gad 29.03.2007 15:47
Zitat:
Zitat von Alequin (Beitrag 260307)
1. Was gibts denn noch zu beanstanden? :heulen:
Wenn du
Zitat:
IT-Schnösel
bist, erkläre mal, was hat die Datei smss.exe im Ordner
Zitat:
C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\smss.exe
zu suchen?
Das kommt noch dazu
Zitat:
C:\WINNT\system32\wcescom32.exe
Troj/MancSyn-E - Trojan - Sophos threat analysis
Also ich würde keine 2 Cent für das gesamte Netzwerk geben.
Für dich wäre das Ganze aber ein feiner Auftrag, oder ? ;)

Alequin 29.03.2007 16:24
Zitat:
bist, erkläre mal, was hat die Datei smss.exe im Ordner
Zitat:
Zitat:
C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\smss.exe
Jetzt guck ich ein bisschen blöd aus der Wäsche. Wo sollte der denn sonst liegen?

den algose hab ich jetzt runter hab ich jetzt runter.

Zitat:
C:\WINNT\system32\wcescom32.exe
das is auch böse, eu jeu jeu. :sword2:


Wahrscheinlich hast recht, kommt der scheiss von irgendwo her ausem Netzwerk. Dann müssen die auch den Algose Removal drüber fahren lassen.

MightyMarc 29.03.2007 16:31
Zitat:
Zitat von Alequin (Beitrag 260312)
Wo sollte der denn sonst liegen?
Sicher nicht im Userprofil ;)

Alequin 29.03.2007 16:38
ach gott. das hab ich völlig überlesen. wie kommt das dahin? :confused:

HEhe danke :daumenhoch:

Ich geb bescheid was sich tut.

Alequin 02.04.2007 11:35
lso die System32 Ordner der die Hijackthis beim User hsisdn gefunden, existieren gar nicht. (Es heißt ja auch "missing") Darum geb ich dem jetzt vorerst mal kein Bedeutung mehr.
Den Algose konnte ich am Freitag mit einem Tool enfernen.

Hab von jeder verdächtigen Datei ne Kopie an Panda geschickt. Da kam dann über die Tage ne Signatur dafür raus und die Software hat dann den rest gemacht.



Mein Logfile sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 12:23:32, on 02.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Panda Software\AVNT\PavSrv50.exe
C:\Programme\Panda Software\AVNT\AVENGINE.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\WINNT\system32\ntfrs.exe
C:\Programme\Panda Software\AVNT\PSCTRLS.EXE
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\AVNT\PsImSvc.exe
C:\WINNT\system32\rcssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\lserver.exe
C:\Programme\Pwrchute\ups.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\WINNT\system32\wcescom32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
D:\V4\ACU\bin\wrun32.exe
D:\V4\ACU\bin\wrun32.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\WINNT\system32\wcescom32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\V4\ACU\bin\wrun32.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\WINNT\system32\wcescom32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.50.5:3128/ken2000.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:3128;https=127.0.0.1:3128;ftp=127.0.0.1:3128;socks=127.0.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\Panda Software\AVNT\PSCtrlC.exe"
O4 - HKLM\..\Run: [ActiveSync] C:\WINNT\system32\wcescom32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0
O4 - HKCU\..\Run: [ActiveSync] C:\WINNT\system32\wcescom32.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DasTelefonbuch Browserlösung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\hsisdn\windows\system32\rnr20.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122920045546
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2D92DE6-24F9-4899-9A9D-9AA0D64E2E1C}: NameServer = 192.168.50.10,212.118.192.13,212.118.216.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ratio71.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{0445DD69-83D3-4DD3-AB12-24CB9A0C9029}: NameServer = 192.168.250.9
O20 - Winlogon Notify: avldr - avldr.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Warndienst (Alerter) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Anwendungsverwaltung (AppMgmt) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: ASP.NET-Statusdienst (aspnet_state) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Computerbrowser (Browser) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Ablagemappe (ClipSrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\clipsrv.exe (file missing)
O23 - Service: Verteiltes Dateisystem (DFS) (Dfs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: DHCP-Client (Dhcp) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Verwaltung logischer Datenträger (dmserver) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: DNS-Server (DNS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\dns.exe (file missing)
O23 - Service: DNS-Client (Dnscache) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Ereignisprotokoll (Eventlog) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Faxdienst (Fax) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\faxsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Standortübergreifender Meldungsdienst (IsmServ) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\ismserv.exe (file missing)
O23 - Service: Kerberos-Schlüsselverteilungscenter (kdc) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Server (lanmanserver) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Arbeitsstationsdienst (lanmanworkstation) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Lizenzprotokollierdienst (LicenseService) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: TCP/IP-NetBIOS-Hilfsprogramm (LmHosts) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: TCP/IP-Druckserver (LPDSVC) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\tcpsvcs.exe (file missing)
O23 - Service: Nachrichtendienst (Messenger) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Netzwerk-DDE-Dienst (NetDDE) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\netdde.exe (file missing)
O23 - Service: Netzwerk-DDE-Serverdienst (NetDDEdsdm) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\netdde.exe (file missing)
O23 - Service: Anmeldedienst (Netlogon) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Netzwerkverbindungen (Netman) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Dateireplikationsdienst (NtFrs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: NT-LM-Sicherheitsdienst (NtLmSsp) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Wechselmedien (NtmsSvc) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\AVNT\PSCTRLS.EXE
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\Panda Software\AVNT\PavSrv50.exe
O23 - Service: Plug & Play (PlugPlay) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC-Richtlinienagent (PolicyAgent) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Geschützter Speicher (ProtectedStorage) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Programme\Panda Software\AVNT\PsImSvc.exe
O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINNT\system32\rcssrv.exe
O23 - Service: Verwaltung für automatische RAS-Verbindung (RasAuto) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: RAS-Verbindungsverwaltung (RasMan) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Remote-Registrierungsdienst (RemoteRegistry) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\regsvc.exe (file missing)
O23 - Service: RPC-Locator (RpcLocator) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\locator.exe (file missing)
O23 - Service: Remoteprozeduraufruf (RPC) (RpcSs) - Unknown owner - C:\Dokumente.exe (file missing)
O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\rsvp.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung (SamSs) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Smartcard-Hilfsprogramm (SCardDrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\SCardSvr.exe (file missing)
O23 - Service: Smartcard (SCardSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\SCardSvr.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\MSTask.exe (file missing)
O23 - Service: Dienst "Ausführen als" (seclogon) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Systemereignisbenachrichtigung (SENS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: Leistungsdatenprotokolle und Warnungen (SysmonLog) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\smlogsvc.exe (file missing)
O23 - Service: Telefonie (TapiSrv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Terminaldienste (TermService) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\termsrv.exe (file missing)
O23 - Service: Terminaldienstelizenzierung (TermServLicensing) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\lserver.exe (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\tlntsvr.exe (file missing)
O23 - Service: Überwachung verteilter Verknüpfungen (Server) (TrkSvr) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: Überwachung verteilter Verknüpfungen (Client) (TrkWks) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\services.exe (file missing)
O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programme\Pwrchute\ups.exe
O23 - Service: Hilfsprogramm-Manager (UtilMan) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\UtilMan.exe (file missing)
O23 - Service: Windows-Zeitgeber (W32Time) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\services.exe (file missing)
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Windows-Verwaltungsinstrumentation (WinMgmt) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\WBEM\WinMgmt.exe (file missing)
O23 - Service: WINS (Windows Internet Name Service) (WINS) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\wins.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Windows-Verwaltungsinstrumentations-Treibererweiterungen (Wmi) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\Services.exe (file missing)
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Drahtloskonfiguration (WZCSVC) - Unknown owner - C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\svchost.exe (file missing)


Würded ihr nochmal rein gucken? Danke :zzwhip:

MightyMarc 02.04.2007 12:23
Zitat:
Hab von jeder verdächtigen Datei ne Kopie an Panda geschickt. Da kam dann über die Tage ne Signatur dafür raus und die Software hat dann den rest gemacht.
virustotal.com wäre nicht verkehrt gewesen.

Zitat:
Zitat von Alequin (Beitrag 260860)
Running processes:
C:\Dokumente und Einstellungen\hsisdn\WINDOWS\System32\smss.exe
C:\WINNT\system32\wcescom32.exe
Da lebt wohl immer noch etwas. Du solltest Dich fragen, wie lange Du den Kundenrechner noch mit einem Backdoor durch die Welt geistern lassen willst.

Rene-gad 02.04.2007 20:58
Zitat:
Zitat von MightyMarc (Beitrag 260873)
Du solltest Dich fragen, wie lange Du den Kundenrechner noch mit einem Backdoor durch die Welt geistern lassen willst.
Kein Kommentar :juul: http://www.cheesebuerger.de/images/midi/frech/d020.gif

MightyMarc 03.04.2007 12:24
Zitat:
Zitat von Rene-gad (Beitrag 260998)
Steh ich grad aufm Schlauch?

Rene-gad 03.04.2007 12:46
Zitat:
Zitat von MightyMarc (Beitrag 261050)
Steh ich grad aufm Schlauch?
Du - nicht ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:46 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129