Home » Viren, Trojaner & Malware Forum » BAT/FTP Downloader gefunden - was nun? » Themenansicht

BAT/FTP Downloader gefunden - was nun?
#0
06.02.2006, 09:46
Suko
...neu hier

Beiträge: 1
#1 Hallo!
Habe folgendes Problem bei einem Rechner (XP Pro) eines Arbeitskollegen der sein Notebook sowohl zu Hause als auch in unserem Firmennetzwerk nutzt. Wir benuten CA eTrust Antivirus.
Bei Surfen im Internet zu Hause hängt sich der Rechner ständig auf. Angeblich hätte es auch eine Fehlermeldung gegeben in der angeblich ein BAT/FTP-Downloader in C:\Windows\system32\lsass.exe gefunden wurde. Habe es leider selbst nicht gesehen da es mir mein Kollege nur erzählt hat. Hier in der Firma läuft das NB im Internet einwandfrei, habe es aber aus Sicherheitsgründen eben vom Netz genommen. Da ich absoluter Newbie in Sachen Viren bin, bitte ich hier um Eure Hilfe. Der Virenscan mit unserer Software liefert keine Ergebnisse. Habe mal das Hijackthis-Logfile mit aufgeführt:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 09:15:48, on 06.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
C:\Programme\Kodak\KODAK Bildübertragungssoftware\pts.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
G:\Daten\transfer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.engels-objektmoebel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:8080;gopher=192.168.0.1:8080;http=192.168.0.1:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog
O4 - Global Startup: Acrobat Assistant.lnk = C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
O4 - Global Startup: KODAK Bildübertragungssoftware.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.team7.at/fileadmin/template/vet_install.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139063296545
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139063256697
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = engelsmoebel.local
O17 - HKLM\Software\..\Telephony: DomainName = engelsmoebel.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C438594D-D9C2-47AD-A1AB-50F3022FAB4D}: NameServer = 192.168.0.2,192.168.0.1
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
O23 - Service: Sage KHK Registry Service (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
Ist das NB von einem Virus befallen oder nicht? Für Hilfe jeder Art wäre ich dankbar!

Grüße

Michael
Seitenanfang Seitenende
06.02.2006, 15:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Suko

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1