Win32.Weird.10240

KaGü · 24.11.2005, 17:39

Hallo!

Bitdefender Prf. 8 plus hat nachstehnde Vierenmeldung abgegeben:

Win32.Weird.10240 uninstallfirefox.exe

Ich ersuche um Hilfe - danke!
Liebe Grüße
KaGü

Hijackthis lofile:

Logfile of HijackThis v1.99.1
Scan saved at 17:27:29, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.utanet.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - h**p://www.popfile.de/myplaylist/pc/partner/mcbeat/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Yopie · 24.11.2005, 18:22

Zitat:

Zitat von KaGü

Bitdefender Prf. 8 plus hat nachstehnde Vierenmeldung abgegeben:

Virenmeldung, bitte! Hat mit Mathematik nichts zu tun.

Zitat:

Win32.Weird.10240 uninstallfirefox.exe

Gibts dazu auch eine Pfadangabe?

Log sieht überfrachtet, aber sauber aus.

Gruß

Yopie

KaGü · 24.11.2005, 18:34

Hi!
Verstehe die Anspielung "Mathematik" nicht.

Pfad: c:/windows

LG
KaGü

Yopie · 24.11.2005, 18:38

Scan die Datei mal unter http://virusscan.jotti.org/de, um einen Fehlalarm auszuschließen. Poste die Ergebnisse.

Es heißt "Virenmeldung", nicht "Vierenmeldung" oder "Fünfenmeldung". Weil es "Virus" heißt, und nicht "Vierus". Ich will diesen Fehler nicht mehr lesen, er kommt hier an Board schon viel zu oft vor!

Gruß

Yopie

KaGü · 24.11.2005, 18:45

Ok, der Groschen ist gefallen - ich werds mir merken!

Ergebnis folgt in Kürze
KaGü

KaGü · 24.11.2005, 18:56

Die Datei existiert nicht mehr, da ich diese, nachdem sie von Bitdefender in den Quarantäneordner geschoben wurde, gelöscht habe.

KaGü

Yopie · 24.11.2005, 19:01

Das ist u.U. schlecht, denn der Meldung nur eines AV-Programms traue ich nur ungern.

Deswegen, um auf Nummer sicher zu gehen:
http://www.trojaner-board.de/showthread.php?t=17492

Beachte die Anleitung genau, und poste das Ergebnis mit Hilfe der find.bat.

Gruß

Yopie

KaGü · 25.11.2005, 05:38

Hier die Auswertung:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 20 18:09:51 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender8\Infected\*.*
Tue Sep 20 20:53:18 2005 => Total Disinfected Files: 0
Thu Nov 24 20:06:13 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Nov 24 20:07:32 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Thu Nov 24 22:42:21 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender8\Infected\*.*
Fri Nov 25 01:45:21 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 24 20:02:25 2005 => Offending value found in HKCU\Software\gnu !!!
Thu Nov 24 20:06:13 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Nov 24 20:07:32 2005 => Offending file found: C:\DOKUME~1\GNTER~1\LOKALE~1\Temp\setup_wm.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 20 20:53:18 2005 => Total Virus(es) Found: 0
Fri Nov 25 01:45:21 2005 => Total Virus(es) Found: 3
Tue Sep 20 20:53:18 2005 => Total Errors: 830
Fri Nov 25 01:45:21 2005 => Total Errors: 831
Tue Sep 20 20:53:18 2005 => Time Elapsed: 03:58:02
Fri Nov 25 01:45:21 2005 => Time Elapsed: 05:42:09
Tue Sep 20 20:53:18 2005 => Total Objects Scanned: 124564
Fri Nov 25 01:45:21 2005 => Total Objects Scanned: 132205
Tue Sep 20 16:54:05 2005 => Virus Database Date: 2005/09/20
Tue Sep 20 20:53:18 2005 => Virus Database Date: 2005/09/20
Tue Sep 20 21:01:26 2005 => Virus Database Date: 2005/09/20
Thu Nov 24 20:00:32 2005 => Virus Database Date: 2005/11/24
Fri Nov 25 01:45:21 2005 => Virus Database Date: 2005/11/24
Fri Nov 25 04:56:38 2005 => Virus Database Date: 2005/11/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Yopie · 25.11.2005, 15:41

Zitat:

Zitat von KaGü

Thu Nov 24 20:02:25 2005 => Offending value found in HKCU\Software\gnu !!!
Thu Nov 24 20:06:13 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Nov 24 20:07:32 2005 => Offending file found: C:\DOKUME~1\GNTER~1\LOKALE~1\Temp\setup_wm.exe

Na, das sieht doch noch recht harmlos aus. Die beiden angesprochenen Dateien solltest du löschen, und den Registry-Eintrag mal unter die Lupe nehmen. Evtl. hilft da auch ein Scan mit Spybot S&D. Von W32.weird keine Spur, und das ist auch gut so.

Gruß

Yopie

KaGü · 25.11.2005, 17:34

Hi Yopie!

Danke!

Spybot S&D hat nichts gefunden und die beiden Dateien habe ich gelöscht! Ich hoffe, dass die Angelegenheit somit erledigt ist!

LG
KaGü

24.11.2005, 18:38	#4
Yopie Moderator, a.D.	Win32.Weird.10240 Scan die Datei mal unter http://virusscan.jotti.org/de, um einen Fehlalarm auszuschließen. Poste die Ergebnisse. Es heißt "Virenmeldung", nicht "Vierenmeldung" oder "Fünfenmeldung". Weil es "Virus" heißt, und nicht "Vierus". Ich will diesen Fehler nicht mehr lesen, er kommt hier an Board schon viel zu oft vor! Gruß Yopie

24.11.2005, 19:01	#7
Yopie Moderator, a.D.	Win32.Weird.10240 Das ist u.U. schlecht, denn der Meldung nur eines AV-Programms traue ich nur ungern. Deswegen, um auf Nummer sicher zu gehen: http://www.trojaner-board.de/showthread.php?t=17492 Beachte die Anleitung genau, und poste das Ergebnis mit Hilfe der find.bat. Gruß Yopie

Win32.Weird.10240

Plagegeister aller Art und deren Bekämpfung: Win32.Weird.10240