|
Log-Analyse und Auswertung: HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.10.2005, 10:34 | #1 |
| HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj) Hallo Zusammen, Bekomme seit einigen Tagen von meinem Virenscannprogramm von Avast nach jedem Systemstart die Meldung, dass sich in der Datei C:\msdos.exe der Backdoortrojaner Win3:Hacdef:F (Trj). Mögliche Aktionen daraufhin sind "Löschen" und "in den Container verschieben", was ich beides schon mehrere Male probiert habe, mit dem Resultat, dass beim nächsten Systemstart die Meldung + der Datei msdos.exe nur wieder auftaucht, das löschen bzw. das in den Container verschieben also nix gebracht hat. Habe daraufhin mal wieder Antivir installiert, der mir auch prompt den Backdoortrojaner Win3:Hacdef:F (Trj) entdeckt hat, und ihn beim nächsten Systemstart löschen wollte. Antivir hat zumindest diesbezüglich keine Meldung mehr gebracht und auch ein kompletter Scan hat keine Meldung mehr bezüglich Win3:Hacdef:F (Trj) gebracht, dafür aber eine Menge (ca.20 - soll ich die Reportdatei auch mal posten) )anderer Virenmeldungen gebracht, zumeist von irgendwelchen Exe-Dateien im Windows-Systemordner, bei denen ich mir beim besten Willen nicht erklären kann, wie die ale auf meinen Pc gekommen sind. Habe nun nach mehreren Scans mit Antivir, die alle nichts mehr endeckt habe, noch mal mir Avast die Datei msdos.exe durchsucht, worauf hin gleich wieder altbekannte Meldung mit Win3:Hacdef:F (Trj) kam. Zumindest scheint die Datei im Moment aber dauerhaft gelöscht bzw im Container zu sein. Trotzdem habe ich die Befürchtung, mein System ist alles andere als sauber, auch wenn derzeit beide Virenscanner die klappe halten. Grund für diese Annahme ist der zweifache Eintrag wkssvc.exe in meinem Autostart (msconfig), die auch nach Entfernung der Häckchen nach jeden Neustart wieder aktiviert sind. Hier ist deswegen mal mein Ergebnis nach einen HijackThis-Scan und hoffe ihr könnt mir sagen, ob ich mein System neu aufsetzen muss, oder ob es noch andere Rettung gibt: Logfile of HijackThis v1.99.1 Scan saved at 10:32:30, on 08.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Security\Antivir\AVGUARD.EXE D:\Programme\Security\Avast Antivirus\aswUpdSv.exe D:\Programme\Security\Avast Antivirus\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\Wbutton.exe D:\programme\player\Quick Time 6\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Nützliches\Tuning-Tools\Icon Saver\IconSaver.exe D:\Programme\Security\Antivir\AVGNT.EXE D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\Alcohol.exe D:\Programme\Nützliches\Backup-Programme\Anti-Blaxx\Anti-Blaxx.exe D:\Programme\Security\Antivir\AVWUPSRV.EXE D:\Programme\Brenn-Software\Nero RW Ahead\InCD\InCDsrv.exe D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4ss.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4gui.exe D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4gui.exe D:\Programme\Security\Avast Antivirus\ashMaiSv.exe D:\Programme\Security\Avast Antivirus\ashWebSv.exe C:\WINDOWS\system32\rundll32.exe D:\Programme\Security\Antivir\AVWIN.EXE D:\Programme\Security\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\NTZLIC~1\TUNING~1\Ashampoo WinOptimizer Platinum Suite\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\NTZLIC~1\TUNING~1\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Programme\Internetprogramme\NetTransport 2\NTIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\player\Quick Time 6\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [IconSaver] D:\Programme\Nützliches\Tuning-Tools\Icon Saver\IconSaver.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Security\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows Workstation Service] wkssvc.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Alcohol.exe Autorun] D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\Alcohol.exe /startup O4 - HKLM\..\Run: [Anti-Blaxx Manager] D:\Programme\Nützliches\Backup-Programme\Anti-Blaxx\Anti-Blaxx.exe O4 - HKLM\..\RunServices: [Windows Workstation Service] wkssvc.exe O4 - HKCU\..\Run: [Windows Workstation Service] wkssvc.exe O4 - HKCU\..\RunServices: [Windows Workstation Service] wkssvc.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\Programme\Internetprogramme\NetTransport 2\NTAddList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit Net Transport herunterladen - D:\Programme\Internetprogramme\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internetprogramme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internetprogramme\ICQLite\ICQLite.exe O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - h**ps://img.web.de/v/aktenkoffer/activex/upload_1115.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - h**ps://www1.pc-sicherheit.web.de/ols/fscax.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - h**p://ccon.futuremark.com/global/msc34.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Security\Antivir\AVGUARD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Security\Avast Antivirus\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Security\Avast Antivirus\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Security\Avast Antivirus\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Security\Avast Antivirus\ashWebSv.exe" /service (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Security\Antivir\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Imapi Helper - Alex Feinman - D:\Programme\Nützliches\Backup-Programme\Iso Recorder\ImapiHelper.exe O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - D:\Programme\Brenn-Software\Nero RW Ahead\InCD\InCDsrv.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4ss.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\StarWind\StarWindService.exe Was mir als Laie diesbezüglich aufgefallen ist: 1. wkssvc.exe, die immer mitgestartet wird. 2. einige andere Programme, die mir nichts sagen und die im Hintergrund mitlaufen, z.B.: smss.exe 3. es steht verdamm oft googletoobar, ICQ oder MSN drinnen, obwohl ich ICQ und MSN gar nicht laufen lassen hatte 4. die Internetseiten, die sich hier drinnen finden, sind mir zwar alle bekannt wurden aber das letzte Mal vor ewigkeiten besucht. Warum tauchen die dann in einem soclehn Scan auf?? Meine Frage, wenn ich mein System neu aufsetzen müsste: Ich habe 3 Partitionen: Reicht es, wenn ich die Windowspartition formatiere und Windows neu installiere, os dass meine Musik, Eigenen Dateien, etc. auf den anderen Partitionen erhalten bleibt. Wenn ich meine komplette Platte platt machen muss, wie rette ich am besten meine Bilder, Lieder und eigenen Dateien?? Ich wollte das alles auf meine USB-Festplatte auslagern, oder kann ich davon ausgehen, dass die auch schon verseucht ist, weil ich sie in den letzten Tagen immer mal angeschlossen hatte. Meine Idee war, alles wichtige auf die USB Platte, C:, D:, und E: komplett löschen und formatieren und neu partitionieren bei der Windows neu installation. Eigene Dateien und Musik wieder von der USB-Platte auf die richtige. Einen neuen hijack-Scan durchführen und wieder posten. Noch eine letzte Sache. Ein bis 2 Tage nach dem mir der Virus das erste mal aufgefallen ist, bekomme ich beim Start verschiedenster Programme die Windows-Fehlermeldung: "Die Anweisung in "0x667ab86b" verweist auf Speicher in "0x009fc000". Der Vorgang "read" konnte nicht durchgeführt werden." Kann diese Fehlermeldung damit zusammenhängen, dass mein Trojaner das gleiche Speichersegment, auf das das Programm zugreifen will, im Hintergrund schon belagert? Ich weiß, das war alles ein bisschen ausführlich und viele Probleme auf einmal. Trotzdem Danke für eure Hilfe iLu |
08.10.2005, 11:17 | #2 | |
| HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj) Hallo,
__________________du musst das System leider neu aufsetzen. Eine sehr gute Anleitung findest du hier. Grund ist dieser Wurm, der außerdem dieses Rootkit ablegt. Meist reicht es aus die Systempartition zu formatieren, aber am sichersten ist es alle Partitionen zu formatieren. Nicht ausführbare Dateien (Musik, Filme etc.) kannst du relativ gefahrlos sichern, jedoch wäre es angebracht, die externe Platte vor dem Zurückspielen der Daten z.B. mit eScan zu überprüfen. Auf ausführbare Dateien würde ich ganz verzichten. Zitat:
|
09.10.2005, 09:41 | #3 |
| HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj) Hallo und vielen Dank für deine Hilfreiche Antwort.
__________________Eine Frage habe ich aber noch. Habe Passwörter für email und Co in meinem IE als Cookies gespeichert (in zukunft werd ich Mozilla nehmen), sind diese jetzt alle als bekannt anzusehen und sollte ich sie ändern, sobald mein System wieder sauber ist? Und für die Zukunft: Welche (kostenlose) Firewall und Virenscanner empfiehlst du (bisher war ich unschlüssig bei den Virenscannern zw. Avast und Antivir, bei der Firewall habe ich vor längerem Zonealarm gegen Keiro eingetauscht) Also Danke nochmal und schönen Sonntag |
09.10.2005, 11:19 | #4 |
| HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj) @iLuVaTaR-Wue Habe Passwörter für email und Co in meinem IE als Cookies gespeichert (in zukunft werd ich Mozilla nehmen), sind diese jetzt alle als bekannt anzusehen und sollte ich sie ändern, sobald mein System wieder sauber ist? Ja, siehe auch Punkt 9 der Anleitung zum Neuaufsetzen Welche (kostenlose) Firewall und Virenscanner empfiehlst du Viele hier nützen kein FW, ein Virenscanner zu empfehlen würde eine heisse Diskussion auslösen zwischen rot und gelbe Schachtelanhänger. Lese die Links von der Anleitung durch, dort findest du sehr viele Infos. chaosman
__________________ Bonus vir semper tiro |
Themen zu HiJack Log-File i.V.m. wkssvc.exe und Win3:Hacdef:F (Trj) |
adobe, antivir, antivirus, ausgehen, autorun, avast, avast antivirus, avast!, backdoor, bho, danke, erste mal, excel, exe-dateien, explorer, f-secure, firewall, frage, google, hijack, hängen, icqtoolbar, internet, internet explorer, komplett löschen, launch, log-file, mehrere, msdos.exe, musik, neu aufsetzen, neustart, outlook express, programm, rundll, saver, scan, security, system neu, system neu aufsetzen, urlsearchhook, verweist auf speicher, warum, windows xp |