|
Plagegeister aller Art und deren Bekämpfung: Bitte MWAV-Log überprüfen, was ist bei mir los?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.05.2006, 23:07 | #1 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Hallo, ich habe (immernoch) das Problem, dass meine ActiveX-Sicherheitszoneneinstellung fürs Internet (und damit gleichzeitig für meine Ordner bei WinME) auf unendlich ist, und ich deswegen nichts mehr öffnen kann. Nun habe ich es geschafft, zwei verschiedene Virenscanner (AntiVir und MWAV) durchlaufen zu lassen, aber keiner hat irgendeinen offensichtlichen Virus gefunden. Kann jemand hier dennoch einen Blick auf mein MWAV-Log werfen, falls euch einfällt, was es sein könnte? Es wurden nur Errors angezeigt, also habe ich nur die kopiert. Ansonsten hänge ich noch das HiJack This Log an, je einmal während des abgesicherten Modus und während des "normalen" Betriebes. Sie unterscheiden sich aber nur in den laufenden Prozessen. Übrigens sind die Viren-Definitionen etwas veraltet, aber ich kann nicht ins Internet mit dem Ding und zum einzeln herunterladen habe ich sie nicht gefunden und die aktuellen vom Internetcomputer-Temp-Ordner in den Temp-Ordner vom kaputten Computer zu kopieren hat auch nicht funktioniert... Vielen Dank, Johannes. Wed May 17 20:37:23 2006 => ********************************************************** Wed May 17 20:37:23 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Wed May 17 20:37:23 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Wed May 17 20:37:23 2006 => ********************************************************** Wed May 17 20:37:23 2006 => Source: C:\***'\MWAV.EXE Wed May 17 20:37:23 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM) Wed May 17 20:37:23 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG Wed May 17 20:37:23 2006 => MWAV Registered: FALSE. Wed May 17 20:37:23 2006 => OS Type: Windows Workstation Wed May 17 20:37:23 2006 => OS: Windows ME Wed May 17 20:37:23 2006 => Ver: Version 4.90 (Build 3000) Wed May 17 20:37:23 2006 => Windows Root Folder: C:\WINDOWS Wed May 17 20:37:23 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM Wed May 17 20:37:23 2006 => Local Fixed Drives: c:\ Wed May 17 20:37:23 2006 => MWAV Mode: Only Scan files. Wed May 17 20:37:23 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55. Wed May 17 20:37:29 2006 => AV Library Loaded... Wed May 17 20:37:29 2006 => MWAV doing self scanning... Wed May 17 20:37:29 2006 => Scanning File C:\WINDOWS\TEMP\kavss.exe Wed May 17 20:37:29 2006 => Scanning File C:\WINDOWS\TEMP\Getvlist.exe Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavss.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavssdi.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavssi.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavvlg.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\msvlclnt.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\ipc.dll Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\main.avi Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\virus.avi Wed May 17 20:37:30 2006 => MWAV files are clean. Wed May 17 20:37:42 2006 => Virus Database Date: 5/12/2006 Wed May 17 20:37:42 2006 => Virus Database Count: 193177 Wed May 17 20:37:50 2006 => Downloading AntiVirus and Anti-Spyware Databases... Wed May 17 20:37:51 2006 => Downloads Not Successful! Wed May 17 20:38:55 2006 => Downloading AntiVirus and Anti-Spyware Databases... Wed May 17 20:38:56 2006 => Downloads Not Successful! Wed May 17 20:39:00 2006 => AV Library Unloaded (3)... Wed May 17 20:39:13 2006 => ********************************************************** Wed May 17 20:39:13 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Wed May 17 20:39:13 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Wed May 17 20:39:13 2006 => ********************************************************** Wed May 17 20:39:13 2006 => Source: C:\***'\MWAV.EXE Wed May 17 20:39:13 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM) Wed May 17 20:39:13 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG Wed May 17 20:39:13 2006 => MWAV Registered: FALSE. Wed May 17 20:39:13 2006 => OS Type: Windows Workstation Wed May 17 20:39:13 2006 => OS: Windows ME Wed May 17 20:39:13 2006 => Ver: Version 4.90 (Build 3000) Wed May 17 20:39:13 2006 => Windows Root Folder: C:\WINDOWS Wed May 17 20:39:13 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM Wed May 17 20:39:13 2006 => Local Fixed Drives: c:\ Wed May 17 20:39:13 2006 => MWAV Mode: Only Scan files. Wed May 17 20:39:13 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55. Wed May 17 20:39:17 2006 => AV Library Loaded... Wed May 17 20:39:17 2006 => MWAV doing self scanning... Wed May 17 20:39:17 2006 => Scanning File C:\WINDOWS\TEMP\kavss.exe Wed May 17 20:39:17 2006 => Scanning File C:\WINDOWS\TEMP\Getvlist.exe Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavss.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavssdi.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavssi.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavvlg.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\msvlclnt.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\ipc.dll Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\main.avi Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\virus.avi Wed May 17 20:39:18 2006 => MWAV files are clean. Wed May 17 20:39:18 2006 => Virus Database Date: 5/12/2006 Wed May 17 20:39:18 2006 => Virus Database Count: 193177 Wed May 17 20:45:23 2006 => ********************************************************** Wed May 17 20:45:23 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility. Wed May 17 20:45:23 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc. Wed May 17 20:45:23 2006 => Wed May 17 20:45:23 2006 => Support: support@mwti.net Wed May 17 20:45:23 2006 => Web: http://www.mwti.net Wed May 17 20:45:23 2006 => ********************************************************** Wed May 17 20:45:23 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM) Wed May 17 20:45:23 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG Wed May 17 20:45:23 2006 => Windows Root Folder: C:\WINDOWS Wed May 17 20:45:23 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM Wed May 17 20:45:23 2006 => OS: Windows ME Wed May 17 20:45:23 2006 => Ver: Version 4.90 (Build 3000) Wed May 17 20:45:24 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55. Wed May 17 20:45:24 2006 => Options Selected by User: Wed May 17 20:45:24 2006 => Memory Check: Enabled Wed May 17 20:45:24 2006 => Registry Check: Enabled Wed May 17 20:45:24 2006 => StartUp Folder Check: Enabled Wed May 17 20:45:24 2006 => System Folder Check: Enabled Wed May 17 20:45:24 2006 => System Area Check: Disabled Wed May 17 20:45:24 2006 => Services Check: Enabled Wed May 17 20:45:24 2006 => Drive Check: Disabled Wed May 17 20:45:24 2006 => All Drive Check :Enabled Wed May 17 20:45:24 2006 => Folder Check: Disabled Wed May 17 20:46:29 2006 => ***** Scanning Registry Files ***** Wed May 17 20:46:29 2006 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Wed May 17 20:46:29 2006 => ERROR!!! Invalid Entry WebCheck = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken. Wed May 17 20:46:31 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken. Wed May 17 20:46:36 2006 => ***** Scanning StartUp Folders ***** Wed May 17 20:46:36 2006 => ERROR!!! Unable to Read User StartUp Folder...Reason Der Schlüssel der Konfigurationsregistrierung ist ungültig. (0x3f2) Wed May 17 20:46:37 2006 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC... Wed May 17 21:54:25 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip is Not Scanned Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip is Not Scanned Wed May 17 21:54:26 2006 => C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip not Scanned. Possibly password protected... Wed May 17 21:54:26 2006 => Scanning File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip is Not Scanned Wed May 17 21:54:26 2006 => C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip not Scanned. Possibly password protected... Wed May 17 21:54:26 2006 => Scanning File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BackOrificeB.zip Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BackOrificeB.zip is Not Scanned Thu May 18 21:09:06 2006 => ***** Scanning Registry Files ***** Thu May 18 21:09:06 2006 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Thu May 18 21:09:06 2006 => ERROR!!! Invalid Entry WebCheck = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken. Thu May 18 21:09:08 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken. Thu May 18 21:09:15 2006 => ***** Scanning StartUp Folders ***** Thu May 18 21:09:15 2006 => ERROR!!! Unable to Read User StartUp Folder...Reason Der Schlüssel der Konfigurationsregistrierung ist ungültig. (0x3f2) Thu May 18 21:09:15 2006 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC... Thu May 18 22:37:57 2006 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned Thu May 18 23:01:24 2006 => ***** Scanning complete. ***** Thu May 18 23:01:24 2006 => Total Objects Scanned: 109814 Thu May 18 23:01:24 2006 => Total Critical Objects: 0 Thu May 18 23:01:24 2006 => Total Disinfected Objects: 0 Thu May 18 23:01:24 2006 => Total Objects Renamed: 0 Thu May 18 23:01:24 2006 => Total Deleted Objects: 0 Thu May 18 23:01:24 2006 => Total Errors: 5 Thu May 18 23:01:24 2006 => Time Elapsed: 01:47:29 Thu May 18 23:01:24 2006 => Virus Database Date: 5/12/2006 Thu May 18 23:01:24 2006 => Virus Database Count: 193177 Thu May 18 23:01:24 2006 => Scan Completed. Thu May 18 23:05:04 2006 => Virus Database Date: 5/12/2006 Thu May 18 23:05:04 2006 => Virus Database Count: 193177 Thu May 18 23:05:10 2006 => AV Library Unloaded (3)... |
18.05.2006, 23:43 | #2 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Hallo JWCompany,
__________________wechsel in den abgesicherten Modus und fixe (Scan mit HJT, Häkchen vor Eintrag und auf fix checked klicken): Alle "015"-Einträge. Zu Escan: Du solltest Die Anleitung nochmals genau durchlesen (Ordner "C:\basis_x" erstellen, die "MWAV.EXE" dortin entpacken etc.). In einem Temp-Ordner hat "Escan" nichts verloren. dartus
__________________ |
19.05.2006, 00:23 | #3 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Hallo Dartus,
__________________danke für deine schnelle Antwort. Ich habe gerade den Computer im abgesicherten Modus gestartet, aber jedes Mal, wenn ich diese Einträge gelöscht habe und dannach wieder auf scan klicke, sind sie wieder da! Und gleichzeitig bei Backups (mittlerweile schon vier Mal die gleichen). Aber ich denke du hast Recht, mein Problem wird mit diesem 015 Einträgen zu tun haben. Nur wie kann ich sie löschen, ohne dass sie gleich wiederkommen? Danke, Johannes. |
19.05.2006, 12:26 | #4 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Um das noch nachzureichen: Ich habe auf deinen Hinweis hin MWAV nach allen Regeln neu installiert und auch die Virendefinitionen aktualisiert. Aber das Resultat ist das gleiche, 4 mal ERROR!!! aber keine Virenfunde... Ich habe die Log-Datei angehängt, falls jemand weiß, was mir das Leben schwer macht. Außerdem habe ich versuchsweise den Spybot Search & Destroy Tea Timer aktiviert. Ich dachte mir, der würde Änderungen der Registry immer von mir bestätigen lassen. Wenn ich mit HJT einen beliebigen Eintrag (es war der 016 mit dem cartesianinc.com, das kam mir Spanisch vor) fixen wollte, hat er sich auch brav gemeldet, ob ich das tun möchte. Allerdings hat er sich beim fixen der 015 Einträge nicht gemeldet! Und natürlich waren sie beim erneuten Scan wieder da. Kann es sein, diese Registryeinträge werden noch nicht einmal von HJT erreicht, sondern der Löschversuch schon vorher irgendwie abgeblockt? Danke, Johannes. Geändert von JWCompany (19.05.2006 um 12:43 Uhr) |
19.05.2006, 12:49 | #5 |
Administrator > Competence Manager | Bitte MWAV-Log überprüfen, was ist bei mir los? Lass mal folgende Datein bei Virustotal auswerten: C:\WINDOWS\SYSTEM\SHIMGAPI.DLL c:\windows\System\atmarpc.sys und poste danach das Ergebnis... Gruß Daniel
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
19.05.2006, 13:43 | #6 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Hallo Daniel, danke auch dir für deine Hilfe. Weder ich mit dem Explorer, noch WinRar mit "Dateien zum Archiv hinzufügen" können diese Dateien auf der Festplatte finden. Auch nicht, wenn ich mit Knoppix Live-Linux mir den Ordner ansehe. Weißt du, wie ich diese Dateien dennoch kopieren könnte (mangels funktionierender Internetverbindung an dem Computer)? Abgesehen davon, unter SHIMGAPI.DLL gibt Google "mydoom" aus. Sollte ich einfach mal ein Removal-Tool ausprobieren, oder wird es nur noch schlimmer wenn ich nicht weiß, was ich tue? Danke, Johannes. |
19.05.2006, 16:13 | #7 | |
Administrator > Competence Manager | Bitte MWAV-Log überprüfen, was ist bei mir los?Zitat:
(wenn du sie gefunden hast, benenne sie um und kopiere sie in ein Verzeichnis deines Vertrauens , damit du sie bei Virustotal auch finden kannst! Den "mydoom" Wurm hatte ich nämlich dabei auch schon im Sinn Gruß Daniel
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
19.05.2006, 16:55 | #8 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Das kann ich leider nicht. Bei den Extras > Ordneroptionen > Ansicht ist alles leer, ich kann keine Einstellungen ändern, und zurücksetzen auch nicht. Es gibt doch hier ein Programm was hin und wieder empfohlen wird, wenn eine Datei als infiziert ausgegeben wurde, aber wenn man sie irgendwie löschen will bekommt man immer die Meldung, dass es diese Datei gar nicht gibt. Kann man nicht dieses Programm (welches?) dazu benutzen, die Dateien trotz allem auf Diskette zu kopieren? Oder kennst du einen Trick, um Systemdateien und versteckte Dateien irgendwie trotzdem anzuzeigen? Johannes. |
19.05.2006, 17:05 | #9 |
Administrator > Competence Manager | Bitte MWAV-Log überprüfen, was ist bei mir los? Da die Datei SHIMGAPI.DLL "offensichtlich" mit dem "mydoom" Wurm in Verbindung steht, würde ich an dieser Stelle das Removal-Tool zum Einsatz bringen! Kaputt machen kannst du damit auch nicht viel...melde dich bitte nochmal was dabei herausgekommen ist! Viel Glück
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
19.05.2006, 17:12 | #10 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Ich hatte vorhin mal den Stinger http://vil.nai.com/vil/stinger/ von McAffee und das Removal-Tool http://www.symantec.com/avcenter/ven...oval.tool.html von Symantec suchen lassen, aber beides mal kein Fund. Aber ich habe entdeckt, dass ich vor einem halben Jahr mal mit HJT einen taskmon.exe-Eintrag gefixt hatte, und der steht doch auch in Verbindung mit mydoom oder? Ich bin verwirrt. Wie kriege ich nur diese Datei auf Diskette... Johannes. |
19.05.2006, 17:18 | #11 |
Administrator > Competence Manager | Bitte MWAV-Log überprüfen, was ist bei mir los? Versuche mal bitte diesen Link: hier sollte das tool nichts finden, erstell bitte einen kompletten Hijacklog hiers ins Forum bzw. arbeite das hier ab (nur die letzten 3 Monate kopieren!) Aber erst das tool laufen lassen und dann den Rest... Gruß
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
19.05.2006, 18:14 | #12 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Danke nocheinmal für deine Mühe und Hilfe, Daniel. Ich habe die datfind.bat ausgeführt, dann CleanUp wie da angegeben ausgeführt, neugestartet und dann echo.zip ausgeführt. Schließlich nocheinmal Hijack This. Die Ergebnis-Logs sind im Anhang (von diesem und dem nächsten Post wegen der Beschränkung auf vier Anhänge). Johannes. |
19.05.2006, 18:15 | #13 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Nun die Logs für Echo.bat (Windows\Downloaded Program Files) und Hijack This. |
19.05.2006, 18:20 | #14 |
Administrator > Competence Manager | Bitte MWAV-Log überprüfen, was ist bei mir los? Das man sehen konnte ist i.O., installiere mal bitte noch folgendes Programm-->hier (Achtung!Direkt Download) und lass es einmal komplett dein System bereinigen.. Tretten denn jetzt noch irgendwie Probleme auf??
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
19.05.2006, 18:32 | #15 |
| Bitte MWAV-Log überprüfen, was ist bei mir los? Ja, leider ist immernoch alles beim alten, die ActiveX-Einstellung ist immernoch auf unendlich... Kennst du Tools, mit denen ich die Ordneroptionen einstellen kann, ohne über die Windowsregisterkarte zu gehen ( Quickops http://www.wiesi.at/modules.php?name...download&cid=1 war das was ich gesucht habe, aber ich bräuchte das Net Framework, und weil ich nur mit Disketten arbeiten kann, ist das keine Lösung)? Johannes. |
Themen zu Bitte MWAV-Log überprüfen, was ist bei mir los? |
abgesicherten modus, ad-aware, antivir, antivirus, c:\windows\temp, check, einstellung, ellung, file, hijack, hijack this, internet, kopieren, log file, microsoft, nicht gefunden, ordner, problem, programme, prozesse, recovery, registry, scan, services, software, spybot, spyware, virus, webcheck, windows, windows\temp |