| |
| |||||||
Log-Analyse und Auswertung: Explorer.exe von Worm.Bage.n infiziertWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.05.2005, 12:01
| #1 |
| |  Explorer.exe von Worm.Bagle.n infiziert Hallo, ich habe ein Sony Vaio Notebook mit Windows XP Pro. Vorgestern nachmittag habe ich mir beim Surfen im Internet einen Trojaner/Virus eingefangen. Avast (neueste Version und Virus-Definitionen) hat das Virus auch sofort als Win32:Trojano-1371 erkannt, jedoch offenbar nichts ausrichten können, denn plötzlich war der PC stark überlastet: lange ließ sich nichts machen. Dann erschien als Hintergrundbild eine Meldung des Trojaners, das System sei mit Spyware infiziert und müsse desinfiziert werden, um Datenverlust zu vermeiden. Anfangs war auch der Taskmanager gesperrt, was sich jedoch über die Registry ändern ließ. Seither versuche ich verzweifelt, alles zu entfernen, was sich so finden lässt. Hijackthis fand einige Einträge, die ich gleich habe löschen lassen. Ein Screenshot der entfernten Einträge befindet sich hier. Dann habe ich Ewido laufen lassen, wobei es mehrmals bei ca. 90% abgestürzt ist. Letztlich hat es aber doch einiges gefixt: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 16:37:30, 27.05.2005 + Report-Checksumme: 90978D8F + Datum der Signaturen: 27.05.2005 + Version der Scanengine: v3.0 + Suchdauer: 57 min + Untersuchte Dateien: 78791 + Geschwindigkeit: 22.84 Dateien/Sekunden + Infizierte Dateien: 14 + Entfernte Dateien: 14 + Unter Quarantäne gestellte Dateien: 14 + Dateien, die nicht geöffnet werden konnten: 0 + Dateien, die nicht gesäubert werden konnten: 0 + Binder: Ja + Packer: Ja + Archive: Ja + Gescannt wurde: C:\ + Scanergebnis: C:\WINDOWS\system32\dllcache\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup C:\WINDOWS\system32\win32.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup C:\WINDOWS\system32\latest.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup C:\WINDOWS\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05ABOTQN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPQZ01YN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118003.exe -> TrojanDownloader.Small.agq -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118007.exe -> TrojanDownloader.Agent.ho -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118008.exe -> Trojan.LowZones.y -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118009.exe -> TrojanDropper.Small.wp -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118011.exe -> TrojanDownloader.Small.awa -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118013.exe -> TrojanDownloader.Small.atl -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118014.exe -> TrojanDropper.Small.wp -> Gesäubert mit Backup C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118025.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup ::Report Ende Auch später hat Ewido immer wieder Dateien in der Systemwiederherstellung gefunden und entfernt. Inzwischen habe ich die Systemwiederherstellung ausgeschaltet, so dass dort jetzt wohl keine Dateien mehr abgelegt werden können. Seither habe ich aber Probleme mit Explorer.exe (aus dem Windows-Ordner). Diese wird von Ewido als mit "Worm.Bagle.n" infiziert gemeldet. Lasse ich Ewido die Datei säubern, stürzt entweder der Explorer oder Ewido ab. Ein paar Mal hat Ewido den Explorer aber augenscheinlich gesäubert, jedoch dann verlangt, dass Explorer.exe über die Windows-CD neu installiert wird. Seither war es immer so, dass beim Neustart von Windows Ewido sich beschwert hat, dass die Explorer.exe verseucht ist, und ich nur mit Windows arbeiten konnte, indem ich die Warnung ignoriert habe. Beim letzten Systemstart hat sich aber Ewido nicht mehr beschwert, und auch der konkrete Scan der Explorer.exe mit Ewido lässt vermuten, dass Explorer.exe nicht mehr verseucht ist. Irgendwie kann ich dem aber noch nicht ganz trauen! Avast hat übrigens die Explorer.exe zu keiner Zeit als infiziert angesehen ... Nun (nochmal) meine Fragen im Überblick: 1. Kann man überhaupt die Explorer.exe separat neu installieren über die Windows-CD? 2. Wie stehen die Chancen, dass die Explorer.exe jetzt wirklich virenfrei ist, dass also Ewido recht hat? Für Eure Hilfe wäre ich Euch sehr dankbar!!!! Viele Grüße Sven P.S.: Ich sende mal den aktuellen Hijackthis-Report mit: Logfile of HijackThis v1.99.0 Scan saved at 12:20:24, on 28.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\PackethSvc.exe C:\Programme\Avast\aswUpdSv.exe C:\Programme\Avast\ashServ.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Avast\ashDisp.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Avast\ashWebSv.exe C:\Programme\Apoint\Apntex.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe C:\Programme\HOTSYNC.EXE C:\Programme\Avast\ashMaiSv.exe C:\Dokumente und Einstellungen\********\Desktop\System\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: SunClock5.lnk = C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (IPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - h**p://www.justis.com/J-Net/smsx.cab O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - http://h**ps://img.web.de/v/fotoalbu...pload_1115.cab O21 - SSODL: System - {96CC8BC0-F91C-4B63-9732-261B28DA2EED} - vr_sys.dll (file missing) O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Avast\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown - C:\Programme\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe O23 - Service: AVM FRITZ!web Routing Service - Cisco Systems, Inc. - (no file) O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe Geändert von Feuermelder (28.05.2005 um 17:22 Uhr) |
| Themen zu Explorer.exe von Worm.Bage.n infiziert |
| 1.exe, adobe, adobe reader, antivirus, askbar, avast, avast!, bho, content.ie5, desktop, drivers, einstellungen, entfernen, excel, file missing, frage, gesperrt, immer wieder, immer wieder da, infizierte, infizierte dateien, internet, internet explorer, keine dateien, quara, registry, rundll, scan, security, security suite, software, sony vaio, spyware, system, taskmanager, taskmanager gesperrt, trojaner/virus, träge, warnung, windows, windows messenger, windows xp, ändern |
Baum-Darstellung