|
Plagegeister aller Art und deren Bekämpfung: infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.03.2006, 21:35 | #1 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Mein System scheint mit drei Trojanern: exploit.wmf ; exploit.java.ByteVerify ; sploit[1].anr infiziert zu sein. Ich musste aber noch nie einen Virus/Trojaner jemals von einem System entfernen, habe also gar keine Erfahrungen damit. Ich bitte Euch deshalb, mich zu begleiten und Euer Auge darauf zu halten, was und wie ich es tue. 2 installierte Scanner haben folgendes geliefert: AVG free edition C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\BlackBox.class, "Virus identified Java/ByteVerify","Infected, Embedded object" C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\VerifierBug.class, "Virus identified Java/ByteVerify","Infected, Embedded object" C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\Beyond.class, "Virus identified Java/ByteVerify","Infected, Embedded object" C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar, "Virus identified Java/ByteVerify","Infected, Archive" C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf, "May be infected by unknown virus Exploit.WMF","Infected" antivir personal edition C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar [0] Archivtyp: ZIP --> BlackBox.class [FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.2 --> VerifierBug.class [FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.4 --> Dummy.class [FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.3 --> Beyond.class [FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf [FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF Bem: der allererste Scan mit AVG hat eine weitere infizierte Datei automatisch (falsche Einstellung) gelöscht: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5U3OLEB\sploit[1].anr Was ich sonst noch getan habe: 1. Ich habe zuerst die trojaner-bord Seiten durchgeackert. 2. Da mir die obigen Virusbezeichnung unbekannt waren, habe ich nach Informationen und speziellen Entfernungstools gesucht (Google). Die uneinheitlichen Bezeichnungen der Viren in den Archiven hat mich aber vorerst eher behindert. Habe auch keine Spezialtools gefunden. 3. Ich habe mir von anderen Virenbezeichnungen ein Weiterkommen erhofft, und darum weitere virenscanner heruntergeladen und aufdatiert, soweit wie möglich installiert, aber nie einen Sytemneustart gemacht: Ad-aware SE Personal; spybot S&D; avast 4.6. Das hat aber wenig bis nichts gebracht (ohne Neustart funktioniert das wohl nicht richtig) 4. Habe noch "HijackThis" vorbereitet, aber nicht angewendet. 5. Die System-Restore-Fkt. ist ausgeschaltet. 6. Alle AktivX- Elemente sind deaktiviert. 7. Alle Dateien werden angezeigt. (auch die geschützten Sytemdateien). Bem: diesen Punkt habe ich erst nach den obigen Scans aktiviert. 8. Die obigen Scans habe ich notiert. Verständnisfrage: I. Nicht verstanden habe ich jene Tips, die empfehlen, alle IE-tempfliles und den JAVA-Cache zu löschen! Werden infizierte files durch die Scans dort nicht erfasst? Fragen zum weiteren Vorgehen: ich nehme an, dass die Scanner zum jetztigen Zeitpunkt noch nicht alle Viren gefunden haben, dass ich nochmals scannen muss. Ich würde jetzt folgendes tun: A. Die bereits gefundenen Viren löschen. B. Kaltstart im abgesicherten Modus. C. nochmals scannen, neu gefundene Viren löschen. D. Kaltstart im abgesicherten Modus. E. Hijack darüberlassen, zur Diskussion stellen. vorerst mal soweit. Ich bitte um Euere Kommentare. Mach ich zuviel, zuwenig, oder ganz falsch? Danke. habs |
26.03.2006, 03:03 | #2 |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo,
__________________wenn Du XP oder 2000 und alle Patches hast, macht Dir der wmf Exploid nichts aus. Lade Dir Cleanup, erstelle dannach ein eScan Log, nach der in meiner Signatur verlinkten Anleitung. Poste den Inhalt der escan_neu.txt. Gruß Schrulli
__________________ |
26.03.2006, 14:56 | #3 | ||
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo Schrulli
__________________Danke für Deine Antwort. Wie gesagt, ich bin noch ziemlich unsicher in Virenbekämpfung und im Umgang mit den Tools und wie man die beste Wirkung erzielt. Darum meine Nachfagen: Habe CleanUp runtergeladen u. installiert. Zitat:
Habe auch eScan bei MicroWorld runtergeladen. Zitat:
Bitte um Nachsicht. Gruß. habs |
26.03.2006, 15:15 | #4 |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo, erst mittels Cleanup Temp Dateien löschen, dann diese Anleitung ausdrucken, lesen und genau ausführen. Das führt Dich dann nach ca. 2-3 Stunden zu einer eScan_neu.txt. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
26.03.2006, 15:33 | #5 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo Schrulli, Der eScan-download ist eine exe.datei; mit rechtsklick habe ich keine möglichkeit zu entpacken; im menu 'datei' auch nicht. habs |
26.03.2006, 16:24 | #6 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Nachtrag CleanUp beschwert sich über laufende Antivirenprogramme. Die Guard, Shield -oder wie auch immer- ist ausgeschaltet. Das hilft aber nicht. Ich finde keinen Abstellknopf für die Hauptprogramme. (Antivir Pers.Ed Classic 7.00.; AVG FreeEd. 7.1.). Muss ich diese im Taskmanager abschiessen?? habs |
26.03.2006, 20:41 | #7 |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo, rechtsklick auf den Regenschirm, unten Rechts, dann "Antivir Guard aktivieren" abhaken. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
26.03.2006, 23:06 | #8 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr hallo Schrulli Wie schon vorher gesagt, ich habe die Guard bei Antivir abgehakt; und bei AVG ist alles ausgeschaltet was möglich ist (Shield, EmailSanner, ExplorerScanner, Updater). Für VirusVault und Sheduler gibts keine Knöpfe, die sind aktiv. habs |
26.03.2006, 23:11 | #9 |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo, ok, ich habe üerlesen, das DU zwei Virenprogramme Antivir und AVG aktiv hast. Warum das, sowas fürt über kurz oder lang immer zu Problemen. Deinstalliere eines und wenn das Cleanup nicht funktioniert, führe den eScan ohne die vorherige Bereinigung durch. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
26.03.2006, 23:45 | #10 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo Habe jetzt Antivir deinstalliert. (Mehrere Scanner habe ich wegen einer Empfehlung bei nickles.de "Viren und Trojaner finden und beseitigen", 05.04.2005 installiert.) Ich muss Dir aber vollauf Recht geben, ich konnte nie beide shields parallel oben halten; die haben sich immer gegenseitig gestört. Ich weiss, Greenhorns sind enorm mühselig. Bitte, bitte nicht die Geduld verlieren. Da ist immer noch die Frage, dass ich bei eScan nichts entpacken kann (siehe früheres post). Was schlägst Du vor?? habs |
26.03.2006, 23:48 | #11 | |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo, wenn Du Winrar o.ä. auf dem Rechner hast, kannst Du die Datei sehr wohl mittels Rechtsklick entpacken. Ansonsten landen die Dateien im C:\Dokumente und Einstellungen\*Benutzer*\Lokale Einstellungen\Temp Steht aber auch in der Anleitung Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
27.03.2006, 00:28 | #12 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Schrulli Sorry, hatte den link auf winrar überlesen, das war doof. Habe winrar installiert. (Musste es 2mal machen, die option 'in kontextmenu kakadieren' muss aktiv sein, sonst wird 'dateien entpacken' dort nicht eingetragen.) Habe nun Mwav.exe entpackt. Versuche nun eScan zu starten. Gehe offline, melde mich dann wieder. habs |
27.03.2006, 12:20 | #13 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo Habe 'CleanUp' erfolgreich ausgeführt. Ich hatte beim Start noch eine 2. Fehlermeldung wegen akiven Browsern. Mein IE war aber geschlossen . Habe die Meldung dann übergangen. Habe 'eScan' erfolgreich ausgeführt. Hier der LOG-Auszug: System XP Home mit SP2, letzter Update 16.2.2006 WinOffice 2003 Prof Mon Mar 27 02:00:16 2006 => ********************************************************** Mon Mar 27 02:00:16 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Mon Mar 27 02:00:16 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Mon Mar 27 02:00:16 2006 => ********************************************************** Mon Mar 27 02:00:16 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com) Mon Mar 27 02:00:16 2006 => Log File: C:\Bases_X\MWAV.LOG Mon Mar 27 02:00:16 2006 => MWAV Registered: FALSE. Mon Mar 27 02:00:16 2006 => OS Type: Windows Workstation Mon Mar 27 02:00:16 2006 => Local Fixed Drives: c:\,e:\ Mon Mar 27 02:00:16 2006 => MWAV Mode: Only Scan files. Mon Mar 27 02:00:18 2006 => Latest Date of files inside MWAV: 24 Mar 2006 13:24:40. Mon Mar 27 02:00:20 2006 => AV Library Loaded... Mon Mar 27 02:00:20 2006 => MWAV doing self scanning... Mon Mar 27 02:00:20 2006 => Scanning File C:\Bases_X\kavss.exe Mon Mar 27 02:00:20 2006 => Scanning File C:\Bases_X\Getvlist.exe Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavss.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavssdi.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavssi.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavvlg.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\msvlclnt.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\ipc.dll Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\main.avi Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\virus.avi Mon Mar 27 02:00:21 2006 => MWAV files are clean. Mon Mar 27 02:01:02 2006 => Virus Database Date: 3/24/2006 Mon Mar 27 02:01:02 2006 => Virus Database Count: 183808 Mon Mar 27 02:02:06 2006 => Downloading AntiVirus and Anti-Spyware Databases... Mon Mar 27 02:02:16 2006 => Downloads Successful... Mon Mar 27 02:02:21 2006 => Indexed Spyware Databases Successfully Created... Mon Mar 27 02:02:22 2006 => Reload of AntiVirus Signatures successfully done. Mon Mar 27 02:02:22 2006 => Virus Database Date: 3/27/2006 Mon Mar 27 02:02:22 2006 => Virus Database Count: 180080 Mon Mar 27 02:03:08 2006 => AV Library Unloaded (3)... Mon Mar 27 02:40:53 2006 => ********************************************************** Mon Mar 27 02:40:53 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Mon Mar 27 02:40:53 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Mon Mar 27 02:40:53 2006 => ********************************************************** Mon Mar 27 02:40:53 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com) Mon Mar 27 02:40:53 2006 => Log File: C:\Bases_X\MWAV.LOG Mon Mar 27 02:40:53 2006 => MWAV Registered: FALSE. Mon Mar 27 02:40:53 2006 => OS Type: Windows Workstation Mon Mar 27 02:40:53 2006 => Local Fixed Drives: c:\,e:\ Mon Mar 27 02:40:53 2006 => MWAV Mode: Only Scan files. Mon Mar 27 02:40:56 2006 => Latest Date of files inside MWAV: 27 Mar 2006 01:36:54. Mon Mar 27 02:40:59 2006 => AV Library Loaded... Mon Mar 27 02:40:59 2006 => MWAV doing self scanning... Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavss.exe Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\Getvlist.exe Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavss.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavssdi.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavssi.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavvlg.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\msvlclnt.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\ipc.dll Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\main.avi Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\virus.avi Mon Mar 27 02:40:59 2006 => MWAV files are clean. Mon Mar 27 02:40:59 2006 => Virus Database Date: 3/27/2006 Mon Mar 27 02:40:59 2006 => Virus Database Count: 180080 Mon Mar 27 02:43:11 2006 => ********************************************************** Mon Mar 27 02:43:11 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Mon Mar 27 02:43:11 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Mon Mar 27 02:43:11 2006 => Mon Mar 27 02:43:11 2006 => Support: support@mwti.net Mon Mar 27 02:43:11 2006 => Web: http://www.mwti.net Mon Mar 27 02:43:11 2006 => ********************************************************** Mon Mar 27 02:43:11 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com) Mon Mar 27 02:43:11 2006 => Log File: C:\Bases_X\MWAV.LOG Mon Mar 27 02:43:11 2006 => User Account: *** Mon Mar 27 02:43:11 2006 => Windows Root Folder: C:\WINDOWS Mon Mar 27 02:43:11 2006 => Windows Sys32 Folder: C:\WINDOWS\system32 Mon Mar 27 02:43:11 2006 => OS: Windows XP Mon Mar 27 02:43:11 2006 => Latest Date of files inside MWAV: 27 Mar 2006 01:36:54. Mon Mar 27 02:43:12 2006 => Options Selected by User: Mon Mar 27 02:43:12 2006 => Memory Check: Enabled Mon Mar 27 02:43:12 2006 => Registry Check: Enabled Mon Mar 27 02:43:12 2006 => StartUp Folder Check: Disabled Mon Mar 27 02:43:12 2006 => System Folder Check: Disabled Mon Mar 27 02:43:12 2006 => System Area Check: Disabled Mon Mar 27 02:43:12 2006 => Services Check: Enabled Mon Mar 27 02:43:12 2006 => Drive Check: Disabled Mon Mar 27 02:43:12 2006 => All Drive Check :Enabled Mon Mar 27 02:43:12 2006 => Folder Check: Disabled Mon Mar 27 02:43:12 2006 => ***** Scanning Memory Files ***** ....................Infected Mon Mar 27 02:45:16 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\real\realplayer\history\amateur.lnk Mon Mar 27 02:45:16 2006 => System found infected with xxxtoolbar Spyware/Adware (amateur.lnk)! Action taken: No Action Taken. Mon Mar 27 02:45:16 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\real\realplayer\history\lesbian.lnk Mon Mar 27 02:45:16 2006 => System found infected with xxxtoolbar Spyware/Adware (lesbian.lnk)! Action taken: No Action Taken. Mon Mar 27 02:45:17 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Mon Mar 27 02:45:17 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. .................Errors Mon Mar 27 02:43:41 2006 => ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI... Mon Mar 27 02:43:44 2006 => ERROR!!! Invalid Entry \??\D:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS... Mon Mar 27 02:43:45 2006 => ERROR!!! Invalid Entry \??\D:\NTGLM7X.sys in SYSTEM\CurrentControlSet\Services\SetupNTGLM7X... Mon Mar 27 02:48:22 2006 => Result: ERROR!!! File C:\Installer\lavasoft\ad_aware SE Pers 1.06\aawsepersonal.exe is Not Scanned Mon Mar 27 02:48:52 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!! Mon Mar 27 02:48:52 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys Mon Mar 27 02:54:06 2006 => Result: ERROR!!! File C:\Programme\lavasoft\Ad-Aware SE Personal V1.06\Skins\Ad-Aware SE default.ask is Not Scanned Mon Mar 27 03:25:05 2006 => ***** Scanning complete. ***** Mon Mar 27 03:25:05 2006 => Total Objects Scanned: 32490 Mon Mar 27 03:25:05 2006 => Total Critical Objects: 3 Mon Mar 27 03:25:05 2006 => Total Disinfected Objects: 0 Mon Mar 27 03:25:05 2006 => Total Objects Renamed: 0 Mon Mar 27 03:25:05 2006 => Total Deleted Objects: 0 Mon Mar 27 03:25:05 2006 => Total Errors: 6 Mon Mar 27 03:25:05 2006 => Time Elapsed: 00:41:52 Mon Mar 27 03:25:05 2006 => Virus Database Date: 3/27/2006 Mon Mar 27 03:25:05 2006 => Virus Database Count: 180080 Mon Mar 27 03:25:05 2006 => Scan Completed. Mon Mar 27 11:53:40 2006 => Virus Database Date: 3/27/2006 Mon Mar 27 11:53:40 2006 => Virus Database Count: 180080 Mon Mar 27 12:00:15 2006 => Generating Virus List... getvlist.exe C:\Bases_X\vlist.txt Ich bitte um Eure Kommentare Gruss habs |
27.03.2006, 22:28 | #14 | |
> MalwareDB | infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo, die Ergebnisse bei Dir sind falase positives. Prüfe zur Sicherheit Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
28.03.2006, 15:51 | #15 |
| infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr Hallo Schrulli Ich habe die Datei "ctfmon.exe" bei jotti und virusTotal gescannt. Hier die Ergebnisse: This is a report processed by VirusTotal on 03/28/2006 at 11:51:43 (CET) after scanning the file "ctfmon.exe" file. Antivirus Version Update Result AntiVir 6.34.0.14 03.28.2006 no virus found Avast 4.6.695.0 03.25.2006 no virus found AVG 386 03.27.2006 no virus found Avira 6.34.0.54 03.28.2006 no virus found BitDefender 7.2 03.28.2006 no virus found CAT-QuickHeal 8.00 03.27.2006 no virus found ClamAV devel-20060202 03.27.2006 no virus found DrWeb 4.33 03.28.2006 no virus found eTrust-InoculateIT 23.71.113 03.28.2006 no virus found eTrust-Vet 12.4.2136 03.27.2006 no virus found Ewido 3.5 03.28.2006 no virus found Fortinet 2.71.0.0 03.28.2006 no virus found F-Prot 3.16c 03.27.2006 no virus found Ikarus 0.2.59.0 03.28.2006 no virus found Kaspersky 4.0.2.24 03.28.2006 no virus found McAfee 4727 03.27.2006 no virus found NOD32v2 1.1459 03.27.2006 no virus found Norman 5.70.10 03.27.2006 no virus found Panda 9.0.0.4 03.27.2006 no virus found Sophos 4.04.0 03.27.2006 no virus found Symantec 8.0 03.28.2006 no virus found TheHacker 5.9.7.120 03.26.2006 no virus found UNA 1.83 03.23.2006 no virus found VBA32 3.10.5 03.27.2006 no virus found jotti Datei: ctfmon.exe Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Mit der allerersten Virusmeldung von AVG (das ist nun natürlich Tage her) wurden auch noch 3 Dateien als geändert gemeldet: Objekt; Resultat; Status; C:\WINDOWS\system32\user32.dll,"Change","Changed" C:\WINDOWS\system32\shell32.dll,"Change","Changed" C:\WINDOWS\system32\ntoskrnl.exe,"Change","Changed" Ich wusste nicht sorecht, ob das was zu bedeuten hat, oder nur daher kommt, dass ich 3 Tage vorher von Outlook Express nach Outlook (Office) uminstalliert hatte. Jedenfalls habe ich diese Dateien nun auch nach bei Jotti und VirusTotal durchgejagt. 5 von 6 Ergebnissen waren negativ. Nur "shell32.dll" (8MB) konnte jotti nicht verarbeiten (habe es 3mal versucht). Der Datei-Upload wurde nach 4-5min. abgebrochen. Ich weiss nicht warum. Jotti war nur ca. 50 % ausgelastet, und es sind ja Dateien bis 15BM möglich. Ich weiss dass nichts 100%-ig ist. Trotzdem: 1. Heisst das jetzt, dass mit 'CleanUp' alle Schädlinge ausgemistet wurden?? 2. Die Trojaner haben also keine Malware installiert??? 3. Und es sind keine verwaisten Starteinträge für die Malware zurückgeblieben?? 4. Hast Du eine mir eine knappe Erklärung (oder etwas zu lesen), wie es zu den Falschalarmen kommt?? Gruss habs |
Themen zu infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr |
ad-aware, antivir, avast, avg, avg free, content.ie5, datei, dateien, einstellungen, entfernen, falsche, free, geliefert, gelöscht, google, hijack, hijackthis, infected, infizierte, infizierte datei, internet, java-virus, kaltstart, löschen, object, scan, seite, seiten, system, trojaner, viren, virus/trojaner |