Befall mit SpySheriff

Dieses Thema Befall mit SpySheriff im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von T0bi, 7. Nov. 2008.

Thema: Befall mit SpySheriff Hallo zusammen, ich habe hier einen sehr hartnäckigen virus. Folgendes: Auf dem Laptop eines Users wurde von...

  1. Hallo zusammen,

    ich habe hier einen sehr hartnäckigen virus.

    Folgendes:
    Auf dem Laptop eines Users wurde von Symantec AntiVirus wurd der Virus spysheriff entdeckt.
    Die lokation ist nicht aus zu machen und als Aktion wird Gelöscht - Neustart erforderlich angegeben.
    Ich habe dann alle wichtigen daten (docs xls usw) auf Laufwerk D: gesichert.
    Auch die Lösungswege hier aus dem Forum habe ich bereits abgearbeitet.

    Ich hoffe schrauber findet ein Lösung.
    Mit dem Support von Symantec haben wir bereits Kontakt aufgenommen, aber wie lange das dauert ist nicht ab zu sehen.

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:54:51, on 07.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\program files\lotus\notes7.0.2\nslsvice.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Symantec AntiVirus\DefWatch.exe
    C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\program files\lotus\notes7.0.2\ntmulti.exe
    C:\WINDOWS\system32\o2flash.exe
    C:\Programme\Symantec AntiVirus\SavRoam.exe
    C:\Programme\UltraVNC\WinVNC.exe
    C:\WINDOWS\system32\Launcher.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\WINDOWS\system32\Empirum\SWDepot.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\hardcopy\hardcopy.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Symantec AntiVirus\Rtvscan.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,Launcher.exe
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [_UserEnv] C:\WINDOWS\system32\EMPIRUM\env.exe
    O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q
    O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \\%EmpirumServer%\Configurator$\User\SwDepot.dds /I\\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /K7200 /F /E /Z2
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-21-3988454665-3962653987-1942490576-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User->EmpInstWS')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
    O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
    O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\program files\lotus\notes7.0.2\nslsvice.exe
    O23 - Service: Empirum-AUT Service (MATRIXAUT) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
    O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\program files\lotus\notes7.0.2\ntmulti.exe
    O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
    O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Empirum-Agent (SetupService) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe
    
    --
    End of file - 8181 bytes
    

    danke schon im vorraus
     
  2. Zusatz:
    Ich habe den Rechner nach dem befall mit einem neuen Image bespielt, standartsoftware installiert (email office). Ihn dann in die Domäne genommen und mich zur abschließenden konfiguration mit dem User account angemeldet.
    Vor der Anmeldung gab es noch keine Virenwarnung.
    Sobald ich mit dem Account eingeloggt war hat mir Antivirus wieder spysheriff gemeldet :(
     
  3. Danke für die schnelle Antwort :)

    So leider ist vorher etwas kontraproduktives passiert.
    Da ich nur Azubi bin hat mein cheffe einfach nochmal das ursprüngliche Image drauf.

    Ich weis das nun die wirkliche fehlerquelle suche schwerer wird, aber ich hoffe noch machbar.
    außerdem haben wir das Profil des betroffenen Users vom Server gelöscht.

    Ein neues Hijack This direkt nach dem Image einspielen:
    (Stand: Rechner nicht in der Domäne)

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:16:26, on 07.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\o2flash.exe
    C:\Programme\UltraVNC\WinVNC.exe
    C:\WINDOWS\system32\Launcher.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Programme\hardcopy\hardcopy.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,Launcher.exe
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
    O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
    O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
    O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
    O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe
    
    --
    End of file - 5444 bytes
    

    Malwarebytes:

    Code:
    Malwarebytes' Anti-Malware 1.30
    Datenbank Version: 1371
    Windows 5.1.2600 Service Pack 2
    
    07.11.2008 17:33:17
    mbam-log-2008-11-07 (17-33-17).txt
    
    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
    Durchsuchte Objekte: 90701
    Laufzeit: 11 minute(s), 28 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 1
    Infizierte Registrierungsschlüssel: 2
    Infizierte Registrierungswerte: 2
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 2
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Delete on reboot.
    
    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fjwsel (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psuty (Trojan.Agent) -> Quarantined and deleted successfully.
    
    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\FJWSWNP.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    C:\WINDOWS\system32\FJWSWNP.dll (Trojan.Agent) -> Delete on reboot.
    C:\WINDOWS\system32\PSUWNP.dll (Trojan.Agent) -> Delete on reboot.
    
    Fals nun alles sauber sein sollte, die große Frage:
    Wir haben noch 2 Rechner mit dem selben Befall festgestellt und mich würde primär interessieren ob es möglich ist das User Profile auf unserem fileserver verseucht sind?
    Schließlich kam der Virus Alarm erst nachdem ich mich mit dem User account eingeloggt hatte und das profil vom Server wieder auf den Laptop kopiert wurde.

    (der vorige absatz wurde während des scan laufs geschrieben :) )
    So wie es aussieht ist schon das Image verseucht? liege ich da richtig?

    ich würde mich freuen wenn deinen kommentar ein wenig ausführlicher auslegst schrauber, das ich azubi zum fachinformatiker bin und mich die sachen wirklich brennend interessieren, z.b. wie du merkst das was verdächtig ist (erfahrung?)

    vielen danke schonmal
     
  4. so hab mich nun auch mal registriert um ordentlich posten zu können.
    jedes mal einen neuen post erstellen zum editieren stinkt!

    Nach 10stunden mit viren und servern rumschlagen geh ich nun in mein verdientes wochenende :)
    ich melde mich Montag wieder.

    grüße
     
  5. hi,

    entweder das image oder euer server spielt hier virenschleuder :).

    kann ich so nicht sagen, bin ich nicht wirklich der fachmann in sachen server und so.


    arbeite von der selben seite mit den anleitungen das tool RSIT ab, poste die Logs in code-tags. wenn ich dann einen überblick habe können wir uns richtig unterhalten :).
     
  6. Guten morgen schrauber,

    nach einem hoffentlich erholsamen wochenende, wieder auf ins gefecht!

    RSIT info.txt
    Code:
    info.txt logfile of random's system information tool 1.04 2008-11-10 07:37:30
    
    ======Uninstall list======
    
    -->C:\Programme\InstallShield Installation Information\{F37167DD-4436-4641-90B6-329D60632DDA}\Setup.exe REMOVEALL --u:{F37167DD-4436-4641-90B6-329D60632DDA}
    -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Reader 8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A80000000002}
    AFPL Ghostscript 8.54-->C:\Programme\gs\uninstgs.exe C:\Programme\gs\gs8.54\uninstal.txt
    AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe C:\Programme\gs\fonts\uninstal.txt
    Agere Systems HDA Modem-->agrsmdel
    Communications-->C:\Programme\Communications\Uninstall.Communications.exe /remove
    FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r
    Fujitsu Hotkey Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{805BDB3F-6803-45F7-B959-4FE5B921BC55}\setup.exe 
    Fujitsu System Extension Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{12FDAA4D-A9DF-4057-A420-A056E36B4610}\setup.exe 
    Hardcopy (c:\programme\hardcopy)-->SwSetupu c:\programme\hardcopy\hardcopy.del
    HijackThis 2.0.2-->C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe /uninstall
    Hotfix für Windows XP (KB935448)-->C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe
    Hotfix für Windows XP (KB952287)-->C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe
    Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_27A6 PCI\VEN_8086&DEV_27A2
    InterVideo WinDVD 7-->C:\Programme\InstallShield Installation Information\{90885A82-9673-49EA-AB39-AF776639C67C}\setup.exe REMOVEALL
    IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
    J2SE Runtime Environment 5.0 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150070}
    Lexmark Software deinstallieren-->C:\Programme\Lexmark_HostCD\Install\Uninstall.exe
    Lifebook Application Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{271274D2-92C6-4EEC-A0AD-9DA5272AD5C9}\setup.exe 
    LiveUpdate 2.0 (Symantec Corporation)-->C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
    Malwarebytes' Anti-Malware-->C:\Programme\Malwarebytes' Anti-Malware\unins000.exe
    Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
    Microsoft .NET Framework 1.1 Hotfix (KB928366)-->C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
    MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
    O2Micro Flash Memory Card Windows Driver-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{E1E58954-D885-44E7-B8C2-F0E9A6DA1652} /l1033 
    Power Saving Utility-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{79821CAD-999C-443D-B420-96F914C84E27} 
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe
    SAP Front End-->C:\WINDOWS\SAPwksta\setup\sapsetup.exe /uninstall /norestart
    Sema M2 Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{3A869DD0-D7D6-11D4-BA9B-00A0C9B0EF29}\Setup.exe -l0x9 -uninst 
    Shock Sensor Utility-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{70B6A483-F815-4879-9AA4-3DCE9BCC61A0} 
    Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows Media Player (KB911564)-->C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB890046)-->C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB899587)-->C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB913580)-->C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB920213)-->C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB923689)-->C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB923694)-->C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB923980)-->C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB924270)-->C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB925454)-->C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB926255)-->C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB929969)-->C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB938464)-->C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB944338-v2)-->C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB946648)-->C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB950762)-->C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB950974)-->C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB951066)-->C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB951376-v2)-->C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB951698)-->C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB952954)-->C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB954211)-->C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB956390)-->C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB956391)-->C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB956803)-->C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB956841)-->C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB957095)-->C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe
    Sicherheitsupdate für Windows XP (KB958644)-->C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe
    Synaptics Pointing Device Driver-->rundll32.exe C:\Programme\Synaptics\SynTP\SynISDLL.dll,standAloneUninstall
    TUGZip 3.4-->C:\Programme\TUGZip\unins000.exe
    UltraVNC v1.0.2-->C:\Programme\UltraVNC\unins000.exe
    Update für Windows XP (KB898461)-->C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe
    Update für Windows XP (KB900485)-->C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe
    Update für Windows XP (KB951072-v2)-->C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe
    Wireless Selector-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BF91B0A2-52DC-4230-B44F-7C34FA861D41} 
    
    ======Environment variables======
    
    ComSpec=%SystemRoot%\system32\cmd.exe
    Path=C:\ora81\bin;C:\Programme\Oracle\jre\1.1.7\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    windir=%SystemRoot%
    FP_NO_HOST_CHECK=NO
    OS=Windows_NT
    PROCESSOR_ARCHITECTURE=x86
    PROCESSOR_LEVEL=6
    PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 2, GenuineIntel
    PROCESSOR_REVISION=0f02
    NUMBER_OF_PROCESSORS=2
    PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    TEMP=%SystemRoot%\TEMP
    TMP=%SystemRoot%\TEMP
    
    -----------------EOF-----------------
    
    [br][br]Erstellt am: 10.11.08 um 07:43:10[hr][br]RSIT log.txt
    Code:
    Logfile of random's system information tool 1.04 (written by random/random)
    Run by Administrator at 2008-11-10 07:37:25
    Microsoft Windows XP Professional Service Pack 2
    System drive C: has 12 GB (60%) free of 20 GB
    Total RAM: 1014 MB (67% free)
    
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:37:28, on 10.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\o2flash.exe
    C:\Programme\UltraVNC\WinVNC.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\Launcher.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Programme\hardcopy\hardcopy.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINDOWS\system32\wuauclt.exe
    G:\RSIT.exe
    C:\Programme\trend micro\Administrator.exe
    
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://windowsupdate.microsoft.com/[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.150.40:8080
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,Launcher.exe,
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
    O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
    O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
    O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
    O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
    O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
    O4 - HKLM\..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe -servicehelper
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225984553711[/url]
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
    O23 - Service: OracleOraHome8ClientCache - Unknown owner - C:\ora81\BIN\ONRSD.EXE
    O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe
    
    --
    End of file - 5311 bytes
    
    ======Registry dump======
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
    Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    SSVHelper Class - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll [2006-05-03 434279]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    RTHDCPL=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
    Alcmtr=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
    igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]
    igfxpers=C:\WINDOWS\system32\igfxpers.exe [2005-11-03 118784]
    SynTPEnh=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
    SSUtility=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
    PSUtility=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
    LoadFUJ02E3=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
    IndicatorUtility=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
    LoadFujitsuQuickTouch=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
    LoadBtnHnd=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
    AGRSMMSG=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
    LtMoh=C:\Programme\ltmoh\Ltmoh.exe [2005-05-18 188416]
    SunJavaUpdateSched=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe [2006-05-03 36975]
    WinVNC=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
    FreePDF Assistant=C:\Programme\FreePDF_XP\fpassist.exe [2005-05-27 310272]
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
    
    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    Hardcopy.LNK - C:\Programme\hardcopy\hardcopy.exe
    InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
    C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    dontdisplaylastusername=0
    legalnoticecaption=
    legalnoticetext=
    shutdownwithoutlogon=1
    undockwithoutlogon=1
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun=145
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    
    ======List of files/folders created in the last 1 months======
    
    2008-11-10 07:37:25 ----D---- C:\rsit
    2008-11-10 07:37:25 ----D---- C:\Programme\trend micro
    2008-11-07 17:17:25 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
    2008-11-07 17:17:21 ----D---- C:\Programme\Malwarebytes' Anti-Malware
    2008-11-07 17:17:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-11-06 16:49:22 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
    2008-11-06 16:49:11 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$
    2008-11-06 16:49:04 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
    2008-11-06 16:48:57 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
    2008-11-06 16:48:52 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
    2008-11-06 16:48:48 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
    2008-11-06 16:48:42 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
    2008-11-06 16:44:45 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
    2008-11-06 16:44:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
    2008-11-06 16:44:38 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
    2008-11-06 16:44:34 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
    2008-11-06 16:44:30 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
    2008-11-06 16:44:27 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
    2008-11-06 16:44:23 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
    2008-11-06 16:44:19 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
    2008-11-06 16:44:15 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
    2008-11-06 16:44:13 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
    2008-11-06 16:43:51 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
    2008-11-06 16:43:15 ----HDC---- C:\WINDOWS\$NtUninstallKB923723$
    2008-11-06 16:43:09 ----HDC---- C:\WINDOWS\$NtUninstallKB935448$
    2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
    2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
    2008-11-06 16:18:35 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
    2008-11-06 15:52:57 ----D---- C:\Programme\Gemeinsame Dateien\DESIGNER
    2008-11-06 15:52:56 ----D---- C:\Programme\Microsoft Works
    2008-11-06 15:52:49 ----D---- C:\WINDOWS\SHELLNEW
    2008-11-06 15:52:45 ----D---- C:\Programme\Microsoft.NET
    
    ======List of files/folders modified in the last 1 months======
    
    2008-11-10 07:37:25 ----RD---- C:\Programme
    2008-11-10 07:36:05 ----D---- C:\WINDOWS\Temp
    2008-11-07 18:30:13 ----A---- C:\WINDOWS\SchedLgU.Txt
    2008-11-07 17:34:58 ----D---- C:\WINDOWS\system32\drivers
    2008-11-07 17:34:58 ----D---- C:\WINDOWS\system32
    2008-11-07 17:17:25 ----D---- C:\WINDOWS\Prefetch
    2008-11-07 17:15:44 ----HD---- C:\WINDOWS\inf
    2008-11-07 17:15:43 ----D---- C:\WINDOWS\system32\CatRoot2
    2008-11-07 17:13:21 ----D---- C:\WINDOWS\system32\Lang
    2008-11-07 08:40:46 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
    2008-11-06 17:04:32 ----D---- C:\WINDOWS
    2008-11-06 16:53:12 ----RSHD---- C:\WINDOWS\system32\dllcache
    2008-11-06 16:49:22 ----RSD---- C:\WINDOWS\assembly
    2008-11-06 16:49:21 ----HD---- C:\WINDOWS\$hf_mig$
    2008-11-06 16:49:20 ----A---- C:\WINDOWS\imsins.BAK
    2008-11-06 16:49:16 ----D---- C:\Programme\Internet Explorer
    2008-11-06 16:49:08 ----D---- C:\WINDOWS\Microsoft.NET
    2008-11-06 16:46:45 ----D---- C:\WINDOWS\Debug
    2008-11-06 16:46:39 ----SHD---- C:\Config.Msi
    2008-11-06 16:46:22 ----SHD---- C:\WINDOWS\Installer
    2008-11-06 16:46:21 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
    2008-11-06 16:46:18 ----D---- C:\WINDOWS\WinSxS
    2008-11-06 16:44:28 ----D---- C:\Programme\Messenger
    2008-11-06 16:19:32 ----D---- C:\WINDOWS\SoftwareDistribution
    2008-11-06 16:18:36 ----D---- C:\WINDOWS\Help
    2008-11-06 16:16:15 ----SD---- C:\WINDOWS\Downloaded Program Files
    2008-11-06 16:16:03 ----N---- C:\WINDOWS\win.ini
    2008-11-06 16:15:22 ----RSD---- C:\WINDOWS\Fonts
    2008-11-06 16:14:48 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
    2008-11-06 15:54:26 ----A---- C:\WINDOWS\ODBC.INI
    2008-11-06 15:52:58 ----D---- C:\Programme\Microsoft Office
    2008-11-06 15:52:57 ----D---- C:\Programme\Gemeinsame Dateien
    2008-11-06 15:52:50 ----D---- C:\Programme\Gemeinsame Dateien\System
    2008-11-06 15:51:19 ----D---- C:\WINDOWS\system
    2008-11-06 12:39:42 ----D---- C:\WINDOWS\system32\appmgmt
    2008-10-15 17:57:39 ----A---- C:\WINDOWS\system32\netapi32.dll
    
    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-27 40192]
    R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
    R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]
    R2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
    R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
    R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
    R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]
    R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
    R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
    R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
    R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
    R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
    R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
    R3 NETw3x32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows XP 32 Bit; C:\WINDOWS\system32\DRIVERS\NETw3x32.sys [2006-09-27 1709696]
    R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
    R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
    R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
    R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
    R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
    R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
    R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
    R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
    R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
    R3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
    R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
    S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 41472]
    S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
    S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
    S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
    S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
    S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584]
    S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-03 42368]
    S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-03 44928]
    S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-03 42752]
    S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-03 43008]
    S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
    S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504]
    S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-03 41088]
    S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]
    S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-03 42240]
    
    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
    R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
    R2 O2Flash;O2Micro Flash Memory; C:\WINDOWS\system32\o2flash.exe [2005-09-13 57344]
    R2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
    S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
    S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
    S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
    S3 OracleOraHome8ClientCache;OracleOraHome8ClientCache; C:\ora81\BIN\ONRSD.EXE [2000-10-19 411244]
    S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
    
    -----------------EOF-----------------
    
    Hast du jetzt schon die möglichkeit zu sagen wo das Problem liegt?
    Kann auch eine nicht System Partition wie z.b. D: befallen werden?

    grüße
     
  7. schau ich mir heut Abend an wenn ich von der Arbeit zu Hause bin.[br][br]Erstellt am: 10.11.08 um 09:14:40[hr][br]So wie es aussieht liegt das prob nicht auf diesem rechner.

    mach bitte von der seite mit den anleitungen den kaspersky onlinescan.
     
  8. Hallo Schrauber.

    Den OnlineScan habe ich gestern (erfolglos, update nicht möglich) bereits probiert. Denke unsere Firewall und der Squidquard spielen da nicht mit.

    Ich habe den Laptop heute früh wieder an den User übergeben, mehrer Scans haben nichts mehr gebracht.

    trotzdem vielen Danke für deine Hilfe/Mühe.Hallo Schrauber.
     
Die Seite wird geladen...

Befall mit SpySheriff - Ähnliche Themen

Forum Datum
PC Virusbefall nach entfernung kein Desktop sichtbar Windows 7 Forum 25. Aug. 2011
PC nach Malware-Befall neu aufsetzen? Windows XP Forum 17. Mai 2013
Malwarebytes meint Befall - was meinen die Spezialisten? Viren, Trojaner, Spyware etc. 4. Nov. 2012
Vermutlich Virus-befallene Datensicherung prüfen und wieder herstellen? Viren, Trojaner, Spyware etc. 19. Jan. 2010
schwerer Befall Viren, Trojaner, Spyware etc. 11. Dez. 2009