Befall mit SpySheriff

T0bi · 07.11.2008

Hallo zusammen,

ich habe hier einen sehr hartnäckigen virus.

Folgendes:
Auf dem Laptop eines Users wurde von Symantec AntiVirus wurd der Virus spysheriff entdeckt.
Die lokation ist nicht aus zu machen und als Aktion wird Gelöscht - Neustart erforderlich angegeben.
Ich habe dann alle wichtigen daten (docs xls usw) auf Laufwerk D: gesichert.
Auch die Lösungswege hier aus dem Forum habe ich bereits abgearbeitet.

Ich hoffe schrauber findet ein Lösung.
Mit dem Support von Symantec haben wir bereits Kontakt aufgenommen, aber wie lange das dauert ist nicht ab zu sehen.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:54:51, on 07.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\program files\lotus\notes7.0.2\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\program files\lotus\notes7.0.2\ntmulti.exe
C:\WINDOWS\system32\o2flash.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\Empirum\SWDepot.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,Launcher.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [_UserEnv] C:\WINDOWS\system32\EMPIRUM\env.exe
O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q
O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \\%EmpirumServer%\Configurator$\User\SwDepot.dds /I\\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /K7200 /F /E /Z2
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3988454665-3962653987-1942490576-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User->EmpInstWS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\program files\lotus\notes7.0.2\nslsvice.exe
O23 - Service: Empirum-AUT Service (MATRIXAUT) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\program files\lotus\notes7.0.2\ntmulti.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Empirum-Agent (SetupService) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 8181 bytes

danke schon im vorraus

T0bi · 07.11.2008

Zusatz:
Ich habe den Rechner nach dem befall mit einem neuen Image bespielt, standartsoftware installiert (email office). Ihn dann in die Domäne genommen und mich zur abschließenden konfiguration mit dem User account angemeldet.
Vor der Anmeldung gab es noch keine Virenwarnung.
Sobald ich mit dem Account eingeloggt war hat mir Antivirus wieder spysheriff gemeldet

schrauber · 07.11.2008

hi und herzlich willkommen bei

http://www.wintotal-forum.de/index.php/topic,147847.0.html

von dieser seite das tool malwarebytes anti-malware abarbeiten, log hier posten. das log bitte in code-tags setzen, so wie du es schon mit hijackthis gemacht hast :1.

T0bi · 07.11.2008

Danke für die schnelle Antwort

So leider ist vorher etwas kontraproduktives passiert.
Da ich nur Azubi bin hat mein cheffe einfach nochmal das ursprüngliche Image drauf.

Ich weis das nun die wirkliche fehlerquelle suche schwerer wird, aber ich hoffe noch machbar.
außerdem haben wir das Profil des betroffenen Users vom Server gelöscht.

Ein neues Hijack This direkt nach dem Image einspielen:
(Stand: Rechner nicht in der Domäne)

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:26, on 07.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,Launcher.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 5444 bytes

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1371
Windows 5.1.2600 Service Pack 2

07.11.2008 17:33:17
mbam-log-2008-11-07 (17-33-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 90701
Laufzeit: 11 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fjwsel (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psuty (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\FJWSWNP.dll (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\FJWSWNP.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Delete on reboot.

Fals nun alles sauber sein sollte, die große Frage:
Wir haben noch 2 Rechner mit dem selben Befall festgestellt und mich würde primär interessieren ob es möglich ist das User Profile auf unserem fileserver verseucht sind?
Schließlich kam der Virus Alarm erst nachdem ich mich mit dem User account eingeloggt hatte und das profil vom Server wieder auf den Laptop kopiert wurde.

(der vorige absatz wurde während des scan laufs geschrieben

)
So wie es aussieht ist schon das Image verseucht? liege ich da richtig?

ich würde mich freuen wenn deinen kommentar ein wenig ausführlicher auslegst schrauber, das ich azubi zum fachinformatiker bin und mich die sachen wirklich brennend interessieren, z.b. wie du merkst das was verdächtig ist (erfahrung?)

vielen danke schonmal

pyroxeno · 07.11.2008

so hab mich nun auch mal registriert um ordentlich posten zu können.
jedes mal einen neuen post erstellen zum editieren stinkt!

Nach 10stunden mit viren und servern rumschlagen geh ich nun in mein verdientes wochenende

ich melde mich Montag wieder.

grüße

schrauber · 07.11.2008

hi,

entweder das image oder euer server spielt hier virenschleuder

.

kann ich so nicht sagen, bin ich nicht wirklich der fachmann in sachen server und so.

arbeite von der selben seite mit den anleitungen das tool RSIT ab, poste die Logs in code-tags. wenn ich dann einen überblick habe können wir uns richtig unterhalten

.

pyroxeno · 10.11.2008

Guten morgen schrauber,

nach einem hoffentlich erholsamen wochenende, wieder auf ins gefecht!

RSIT info.txt

Code:

info.txt logfile of random's system information tool 1.04 2008-11-10 07:37:30

======Uninstall list======

-->C:\Programme\InstallShield Installation Information\{F37167DD-4436-4641-90B6-329D60632DDA}\Setup.exe REMOVEALL --u:{F37167DD-4436-4641-90B6-329D60632DDA}
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Reader 8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A80000000002}
AFPL Ghostscript 8.54-->C:\Programme\gs\uninstgs.exe C:\Programme\gs\gs8.54\uninstal.txt
AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe C:\Programme\gs\fonts\uninstal.txt
Agere Systems HDA Modem-->agrsmdel
Communications-->C:\Programme\Communications\Uninstall.Communications.exe /remove
FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r
Fujitsu Hotkey Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{805BDB3F-6803-45F7-B959-4FE5B921BC55}\setup.exe 
Fujitsu System Extension Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{12FDAA4D-A9DF-4057-A420-A056E36B4610}\setup.exe 
Hardcopy (c:\programme\hardcopy)-->SwSetupu c:\programme\hardcopy\hardcopy.del
HijackThis 2.0.2-->C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe /uninstall
Hotfix für Windows XP (KB935448)-->C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe
Hotfix für Windows XP (KB952287)-->C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe
Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&amp;DEV_27A6 PCI\VEN_8086&amp;DEV_27A2
InterVideo WinDVD 7-->C:\Programme\InstallShield Installation Information\{90885A82-9673-49EA-AB39-AF776639C67C}\setup.exe REMOVEALL
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150070}
Lexmark Software deinstallieren-->C:\Programme\Lexmark_HostCD\Install\Uninstall.exe
Lifebook Application Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{271274D2-92C6-4EEC-A0AD-9DA5272AD5C9}\setup.exe 
LiveUpdate 2.0 (Symantec Corporation)-->C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Malwarebytes' Anti-Malware-->C:\Programme\Malwarebytes' Anti-Malware\unins000.exe
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
O2Micro Flash Memory Card Windows Driver-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{E1E58954-D885-44E7-B8C2-F0E9A6DA1652} /l1033 
Power Saving Utility-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{79821CAD-999C-443D-B420-96F914C84E27} 
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe
SAP Front End-->C:\WINDOWS\SAPwksta\setup\sapsetup.exe /uninstall /norestart
Sema M2 Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{3A869DD0-D7D6-11D4-BA9B-00A0C9B0EF29}\Setup.exe -l0x9 -uninst 
Shock Sensor Utility-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{70B6A483-F815-4879-9AA4-3DCE9BCC61A0} 
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player (KB911564)-->C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB890046)-->C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB899587)-->C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB913580)-->C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB920213)-->C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB923689)-->C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB923694)-->C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB923980)-->C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB924270)-->C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB925454)-->C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB926255)-->C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB929969)-->C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB938464)-->C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB944338-v2)-->C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB946648)-->C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950762)-->C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950974)-->C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951066)-->C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951376-v2)-->C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951698)-->C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB952954)-->C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954211)-->C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956390)-->C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956391)-->C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956803)-->C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956841)-->C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB957095)-->C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958644)-->C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe
Synaptics Pointing Device Driver-->rundll32.exe C:\Programme\Synaptics\SynTP\SynISDLL.dll,standAloneUninstall
TUGZip 3.4-->C:\Programme\TUGZip\unins000.exe
UltraVNC v1.0.2-->C:\Programme\UltraVNC\unins000.exe
Update für Windows XP (KB898461)-->C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe
Update für Windows XP (KB900485)-->C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe
Update für Windows XP (KB951072-v2)-->C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe
Wireless Selector-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BF91B0A2-52DC-4230-B44F-7C34FA861D41} 

======Environment variables======

ComSpec=%SystemRoot%\system32\cmd.exe
Path=C:\ora81\bin;C:\Programme\Oracle\jre\1.1.7\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
windir=%SystemRoot%
FP_NO_HOST_CHECK=NO
OS=Windows_NT
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_LEVEL=6
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 2, GenuineIntel
PROCESSOR_REVISION=0f02
NUMBER_OF_PROCESSORS=2
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP=%SystemRoot%\TEMP
TMP=%SystemRoot%\TEMP

-----------------EOF-----------------

[br][br]Erstellt am: 10.11.08 um 07:43:10

[br]RSIT log.txt

Code:

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrator at 2008-11-10 07:37:25
Microsoft Windows XP Professional Service Pack 2
System drive C: has 12 GB (60%) free of 20 GB
Total RAM: 1014 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:37:28, on 10.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
G:\RSIT.exe
C:\Programme\trend micro\Administrator.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,Launcher.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 5311 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll [2006-05-03 434279]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
RTHDCPL=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
Alcmtr=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]
igfxpers=C:\WINDOWS\system32\igfxpers.exe [2005-11-03 118784]
SynTPEnh=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
SSUtility=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
PSUtility=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
LoadFUJ02E3=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
IndicatorUtility=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
LoadFujitsuQuickTouch=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
LoadBtnHnd=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
AGRSMMSG=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
LtMoh=C:\Programme\ltmoh\Ltmoh.exe [2005-05-18 188416]
SunJavaUpdateSched=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe [2006-05-03 36975]
WinVNC=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
FreePDF Assistant=C:\Programme\FreePDF_XP\fpassist.exe [2005-05-27 310272]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
Hardcopy.LNK - C:\Programme\hardcopy\hardcopy.exe
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

======List of files/folders created in the last 1 months======

2008-11-10 07:37:25 ----D---- C:\rsit
2008-11-10 07:37:25 ----D---- C:\Programme\trend micro
2008-11-07 17:17:25 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-07 17:17:21 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-11-07 17:17:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-06 16:49:22 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2008-11-06 16:49:11 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$
2008-11-06 16:49:04 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2008-11-06 16:48:57 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2008-11-06 16:48:52 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2008-11-06 16:48:48 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2008-11-06 16:48:42 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2008-11-06 16:44:45 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2008-11-06 16:44:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-11-06 16:44:38 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
2008-11-06 16:44:34 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2008-11-06 16:44:30 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-11-06 16:44:27 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-11-06 16:44:23 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-11-06 16:44:19 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
2008-11-06 16:44:15 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-11-06 16:44:13 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-11-06 16:43:51 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-11-06 16:43:15 ----HDC---- C:\WINDOWS\$NtUninstallKB923723$
2008-11-06 16:43:09 ----HDC---- C:\WINDOWS\$NtUninstallKB935448$
2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-11-06 15:52:57 ----D---- C:\Programme\Gemeinsame Dateien\DESIGNER
2008-11-06 15:52:56 ----D---- C:\Programme\Microsoft Works
2008-11-06 15:52:49 ----D---- C:\WINDOWS\SHELLNEW
2008-11-06 15:52:45 ----D---- C:\Programme\Microsoft.NET

======List of files/folders modified in the last 1 months======

2008-11-10 07:37:25 ----RD---- C:\Programme
2008-11-10 07:36:05 ----D---- C:\WINDOWS\Temp
2008-11-07 18:30:13 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-11-07 17:34:58 ----D---- C:\WINDOWS\system32\drivers
2008-11-07 17:34:58 ----D---- C:\WINDOWS\system32
2008-11-07 17:17:25 ----D---- C:\WINDOWS\Prefetch
2008-11-07 17:15:44 ----HD---- C:\WINDOWS\inf
2008-11-07 17:15:43 ----D---- C:\WINDOWS\system32\CatRoot2
2008-11-07 17:13:21 ----D---- C:\WINDOWS\system32\Lang
2008-11-07 08:40:46 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2008-11-06 17:04:32 ----D---- C:\WINDOWS
2008-11-06 16:53:12 ----RSHD---- C:\WINDOWS\system32\dllcache
2008-11-06 16:49:22 ----RSD---- C:\WINDOWS\assembly
2008-11-06 16:49:21 ----HD---- C:\WINDOWS\$hf_mig$
2008-11-06 16:49:20 ----A---- C:\WINDOWS\imsins.BAK
2008-11-06 16:49:16 ----D---- C:\Programme\Internet Explorer
2008-11-06 16:49:08 ----D---- C:\WINDOWS\Microsoft.NET
2008-11-06 16:46:45 ----D---- C:\WINDOWS\Debug
2008-11-06 16:46:39 ----SHD---- C:\Config.Msi
2008-11-06 16:46:22 ----SHD---- C:\WINDOWS\Installer
2008-11-06 16:46:21 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-06 16:46:18 ----D---- C:\WINDOWS\WinSxS
2008-11-06 16:44:28 ----D---- C:\Programme\Messenger
2008-11-06 16:19:32 ----D---- C:\WINDOWS\SoftwareDistribution
2008-11-06 16:18:36 ----D---- C:\WINDOWS\Help
2008-11-06 16:16:15 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-11-06 16:16:03 ----N---- C:\WINDOWS\win.ini
2008-11-06 16:15:22 ----RSD---- C:\WINDOWS\Fonts
2008-11-06 16:14:48 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-11-06 15:54:26 ----A---- C:\WINDOWS\ODBC.INI
2008-11-06 15:52:58 ----D---- C:\Programme\Microsoft Office
2008-11-06 15:52:57 ----D---- C:\Programme\Gemeinsame Dateien
2008-11-06 15:52:50 ----D---- C:\Programme\Gemeinsame Dateien\System
2008-11-06 15:51:19 ----D---- C:\WINDOWS\system
2008-11-06 12:39:42 ----D---- C:\WINDOWS\system32\appmgmt
2008-10-15 17:57:39 ----A---- C:\WINDOWS\system32\netapi32.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-27 40192]
R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]
R2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
R3 NETw3x32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows XP 32 Bit; C:\WINDOWS\system32\DRIVERS\NETw3x32.sys [2006-09-27 1709696]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 41472]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-03 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-03 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-03 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-03 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-03 41088]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-03 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 O2Flash;O2Micro Flash Memory; C:\WINDOWS\system32\o2flash.exe [2005-09-13 57344]
R2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 OracleOraHome8ClientCache;OracleOraHome8ClientCache; C:\ora81\BIN\ONRSD.EXE [2000-10-19 411244]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------

Hast du jetzt schon die möglichkeit zu sagen wo das Problem liegt?
Kann auch eine nicht System Partition wie z.b. D: befallen werden?

grüße

schrauber · 10.11.2008

schau ich mir heut Abend an wenn ich von der Arbeit zu Hause bin.[br][br]Erstellt am: 10.11.08 um 09:14:40

[br]So wie es aussieht liegt das prob nicht auf diesem rechner.

mach bitte von der seite mit den anleitungen den kaspersky onlinescan.

pyroxeno · 11.11.2008

Hallo Schrauber.

Den OnlineScan habe ich gestern (erfolglos, update nicht möglich) bereits probiert. Denke unsere Firewall und der Squidquard spielen da nicht mit.

Ich habe den Laptop heute früh wieder an den User übergeben, mehrer Scans haben nichts mehr gebracht.

trotzdem vielen Danke für deine Hilfe/Mühe.Hallo Schrauber.

Befall mit SpySheriff

T0bi

T0bi

schrauber

T0bi

pyroxeno

schrauber

pyroxeno

schrauber

pyroxeno

Befall mit SpySheriff

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums