|
Log-Analyse und Auswertung: Ursache eScan-Alarm?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.11.2006, 11:43 | #1 |
| Ursache eScan-Alarm? Hallo Habe mein System kürzlich mit eScan gechecked und die Fehlermeldung „Error entdeckt …“ kam auf. Letzten Endes hat eScan jedoch nichts Konkretes gefunden. Daraufhin habe ich noch Antivir gegenlaufen lassen. Das hat ebenfalls neben den üblichen Warnungen nichts zu beanstanden gehabt. Wieso schlägt eScan dann aber Alarm? Weiß nun nicht so Recht mit der Fehlermeldung von escan umzugehen. Hier der aktuellste HJT log Logfile of HijackThis v1.99.1 Scan saved at 11:30:24 p.m., on 12/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Tweak-XP Pro 4\transtask.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Maxthon\Maxthon.exe C:\Programme\Winamp\winamp.exe C:\Programme\Maxthon\Maxthon.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Virenscannin'\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=h**p://W*W.BenQ.COM/ O17 - HKLM\System\CCS\Services\Tcpip\..\{00EF9DEF-92D0-4885-A2EA-D4052B8116CE}: NameServer = 203.97.33.14 203.97.37.14 O17 - HKLM\System\CS1\Services\Tcpip\..\{00EF9DEF-92D0-4885-A2EA-D4052B8116CE}: NameServer = 203.97.33.14 203.97.37.14 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe Irgendwas Verdächtiges zu erkennen? Für Deine/Eure Bemühungen schon einmal ein Dankeschön vorab. |
12.11.2006, 22:38 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm? Kannst Du die genaue Fehlermeldung von eScan posten?
__________________Zitat:
Zitat:
__________________ |
13.11.2006, 09:28 | #3 |
| Ursache eScan-Alarm? Die Originalnachricht von eScan Antivirus Tool Utility (Version 8.6.5) lautet
__________________„ Error entdeckt!!! Sie müssen die Vollversion haben um den Error zu entfernen. Klicken Sie auf eScan erwerben, um zum Webshop zu gelangen…“ . Das hilft wahrscheinlich nicht viel weiter aber Du hattest danach verlangt. Hier die Ergebnisse von Jotti (mit inaktivierter Windows-Firewall) „The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file” Und das sind die Ergebnisse von Virustotal: Complete scanning result of "VVSN.exe_", received in VirusTotal at 11.13.2006, 09:02:24 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.10.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.12.2006 no virus found BitDefender 7.2 11.13.2006 no virus found CAT-QuickHeal 8.00 11.11.2006 no virus found ClamAV devel-20060426 11.12.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.53 11.13.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.12.2006 no virus found Fortinet 2.82.0.0 11.13.2006 no virus found F-Prot 3.16f 11.10.2006 no virus found F-Prot4 4.2.1.29 11.10.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.13.2006 no virus found McAfee 4893 11.10.2006 no virus found Microsoft 1.1609 11.13.2006 no virus found NOD32v2 1862 11.10.2006 no virus found Norman 5.80.02 11.10.2006 no virus found Panda 9.0.0.4 11.12.2006 no virus found Sophos 4.11.0 11.07.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.10.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.12.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 |
13.11.2006, 18:08 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm?Zitat:
C:\Programme\VVSN\VVSN.exe checken lassen!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.11.2006, 20:52 | #5 |
| Ursache eScan-Alarm? Genau das hab ich mehr als einmal gemacht. Bei Jotti und bei Virustotal. Weiss nicht warum das in der Art veraendert wurde?? Einwenig verwirrend ist auch dass die Datei offensichtlich in der Art in C: gar nicht/nicht mehr existiert??? Kann es sein dass just Daemontools Probleme macht? War in der Vegangenheit schon oefter der Fall. Hier wird die VVSN.exe derart beschrieben: Was macht eigentlich die VVSN.EXE? [Archive] - THE DAEMONS HOME |
14.11.2006, 06:45 | #6 |
| Ohne Worte Hab es nochmal wiederholt. Hab mich wohl beim Pasten vertan. Ohne Worte... Complete scanning result of "VVSN.exe", received in VirusTotal at 11.14.2006, 06:36:36 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.13.2006 no virus found Authentium 4.93.8 11.14.2006 no virus found Avast 4.7.892.0 11.13.2006 no virus found AVG 386 11.13.2006 no virus found BitDefender 7.2 11.14.2006 no virus found CAT-QuickHeal 8.00 11.13.2006 no virus found ClamAV devel-20060426 11.13.2006 no virus found DrWeb 4.33 11.13.2006 no virus found eTrust-InoculateIT 23.73.54 11.14.2006 no virus found eTrust-Vet 30.3.3190 11.13.2006 no virus found Ewido 4.0 11.13.2006 no virus found Fortinet 2.82.0.0 11.14.2006 no virus found F-Prot 3.16f 11.14.2006 no virus found F-Prot4 4.2.1.29 11.14.2006 no virus found Ikarus 0.2.65.0 11.13.2006 no virus found Kaspersky 4.0.2.24 11.14.2006 no virus found McAfee 4894 11.13.2006 no virus found Microsoft 1.1609 11.14.2006 no virus found NOD32v2 1864 11.13.2006 no virus found Norman 5.80.02 11.13.2006 no virus found Panda 9.0.0.4 11.13.2006 no virus found Sophos 4.11.0 11.13.2006 no virus found TheHacker 6.0.1.117 11.12.2006 no virus found UNA 1.83 11.13.2006 no virus found VBA32 3.11.1 11.13.2006 no virus found VirusBuster 4.3.15:9 11.13.2006 no virus found |
14.11.2006, 16:36 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm? Und welche Dateigröße? Anscheinend kommt die über die Toolbar von Daemontools mit, deinstallier diese. Notfalls Daemontools komplett deinstallieren und das Setup erneut starten, aber dieses mal aufpassen, dass die Search-/Toolbar nicht mitkommt.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.11.2006, 08:03 | #8 |
| Ursache eScan-Alarm? Die Dateigröße des Files war unverändert 0 Bytes. Habe deiner Anweisung nach Daemon tools deinstalliert. Daraufhin erschien nach Neustart auf einmal der Folder C:\Programme\VVSN im hdd. Vorher war zwar immer mit HJT und Security Taskmanager zu erkennen dass da etwas in diesem Ordner gestartet wird, aber der eigentliche Ordner war nicht zu finden. Der Ordner VVSN enthielt beim ersten Auffinden nur die VVSN.exe. Nach kurzer Zeit expandierte er allerdings und enthält jetzt noch zusätzlich die 2 Dateien vvsn.cfg und den Folder Ui der wiederum images und scripte von WhenU.com beinhaltet. Das ist schätzungsweise der Bastard von Adware? Kann den Prozess VVSN.exe, der jetzt auch plötzlich im Windows Taskmanager auftaucht (Vorher nur im Sec. Tasman.), schließen. Er wird allerdings auch beim Ausschalten mit Killbox beim darauf folgenden Neustart wieder mit gestartet. Alles in Allem hat mich das alles veranlasst noch einmal mit Jotti und Virustotal zu scannen. Ergebnisse hier: Complete scanning result of "VVSN.exe", received in Jotti at 11.15.2006, 07:16:08 (CET). Datei: VVSN.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Adware-Spyware/SaveNow.BI adware gefunden ArcaVir Adware.Whenu.D22 gefunden Avast Win32:Adware-gen. gefunden AVG Antivirus Generic.EAI gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.SaveNow gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:AdWare.Win32.SaveNow.bi (4, 1, 400) gefunden Fortinet Adware/WhenU gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SaveNow.bi gefunden NOD32 Win32/Adware.WhenU.SaveNow application gefunden Norman Virus Control W32/Whenu.A gefunden VirusBuster Adware.Vvsn.B gefunden VBA32 AdWare.Whenu.a gefunden Complete scanning result of "VVSN.exe", received in VirusTotal at 11.15.2006, 07:16:08 (CET). Antivirus Version Update Result AntiVir 7.2.0.39 11.15.2006 no virus found Authentium 4.93.8 11.14.2006 no virus found Avast 4.7.892.0 11.14.2006 no virus found AVG 386 11.14.2006 no virus found BitDefender 7.2 11.15.2006 no virus found CAT-QuickHeal 8.00 11.14.2006 no virus found ClamAV devel-20060426 11.14.2006 no virus found DrWeb 4.33 11.15.2006 no virus found eTrust-InoculateIT 23.73.56 11.15.2006 no virus found eTrust-Vet 30.3.3192 11.14.2006 no virus found Ewido 4.0 11.14.2006 no virus found Fortinet 2.82.0.0 11.15.2006 no virus found F-Prot 3.16f 11.14.2006 no virus found F-Prot4 4.2.1.29 11.14.2006 no virus found Ikarus 0.2.65.0 11.14.2006 no virus found Kaspersky 4.0.2.24 11.15.2006 no virus found McAfee 4895 11.14.2006 no virus found Microsoft 1.1609 11.15.2006 no virus found NOD32v2 1866 11.14.2006 no virus found Norman 5.80.02 11.14.2006 no virus found Panda 9.0.0.4 11.14.2006 no virus found Sophos 4.11.0 11.13.2006 no virus found TheHacker 6.0.1.118 11.14.2006 no virus found UNA 1.83 11.14.2006 no virus found VBA32 3.11.1 11.14.2006 no virus found VirusBuster 4.3.15:9 11.14.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 Im Virustotal log ist allerdings unklar wieso 0 Bytes angezeigt wird. zZ. ist die VVSN.exe 105 kb groß. Sicherheitshalber stelle ich noch einmal den aktuellen HJT log mit ein: Logfile of HijackThis v1.99.1 Scan saved at 7:45:20 p.m., on 15/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Tweak-XP Pro 4\transtask.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Virenscannin'\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=h..p://W.W.BenQ.COM/ O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe Habe noch keine weiteren Schritte unternommen, wie löschen der Dateien etc., weil ich nach dem nun doch sehr offensichtlichen Befall mir erst mal deine Meinung einholen wollte wie und wo man jetzt am besten anfängt… |
15.11.2006, 12:00 | #9 |
| Ursache eScan-Alarm? Also irgendwie ist das alles doch ziemlich obskur. Offensichtlich handelt es sich ja um die Adware von WhenU.com die anscheinend auch noch vollkommen legal bei Daemon tools frei Haus mitgeliefert wird, wie ich bei Wikipedia gelesen habe. Nachdem ich aber jetzt mit Sec. Taskman., dem ‚normalen’ Taskmanager und Killbox den Prozess mehrere Male gestoppt hatte, ist er, sowie der Ordner in C: , nicht mehr aufzufinden. Es wird jetzt bei keinem der erwähnten Programme selbst eine hidden activity, wie zuvor, angezeigt. Selbst der HJT log (unmittelbar nach Neustart) hat sich verändert: Logfile of HijackThis v1.99.1 Scan saved at 11:50:25 p.m., on 15/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Tweak-XP Pro 4\transtask.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Virenscannin'\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..t://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..t://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=h..t://W.W.BenQ.COM/ O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe |
15.11.2006, 18:03 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm? Da wird wohl eine Dateigröße von Null Bytes angezeigt, weil die Adware wohl den Zugriff auf sich selbst verhindert . Null Bytes = Leere Datei = kein Virus! Vllt. solltest Du D-Tools nochmal komplett deinstallieren (wenn nicht schon passiert). Falls Du das Setup für D-Tools nochmal ausführst, achte darauf, dass nicht erneut die Bar mitinstalliert wird. Dein Logfile sieht auch mittlerweile sauber aus. Hast Du schonmal ne manuelle Suche nach dieser Datei gestartet?
__________________ Logfiles bitte immer in CODE-Tags posten |
15.11.2006, 20:41 | #11 |
| Ursache eScan-Alarm? Kann Adware auch virale Formen annehmen?? Dachte bisher Adware waere ein Advertisement Add und nicht unbedingt sonderlich gefaehrlich... ? Lasse mich aber gern eines besseren belehren. D-tools ist jetzt erstmal vollkommen runtergeworfen und wird auch nicht mehr installiert bis das exakte Problem dingfest ist. Wie in obigen Post schon erwaehnt , war zwischenzeitlich der Folder VVSN in C: aufzufinden. In der aktuellsten Situation blieb die manuelle Suche nach der Datei im kompletten System erfolglos. |
15.11.2006, 22:42 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm? Virale Form...naja, die Übergänge sind fließend. Zlob als Beispiel für Spy-/Adware mit dem Charakter eines Trojanischen Pferdes, welches (unbekannten) Code nachladen kann. Und sich auch sehr hartnäckig im System festsetzen kann... Bei der Toolbar von D-Tools trifft das m.E. eher nicht zu Trotzdem würde ich diese nicht installieren, unnötiger Ballast.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.11.2006, 23:01 | #13 |
| Ursache eScan-Alarm? Die Sache ist ja jetzt nur die, dass ich ja D-tools vollstaendig deinstalliert habe und trotzdem die VVSN.exe aktiv war (zumindest mehrere Neustarts danach)? Denkst Du dass die VVSN.exe mit der Deinstallation auch pulverisiert wurde? Dass der log soweit sauber aussieht ist . und laesst dies ja vermuten. Jedoch wird bei eScan immer noch dieselbe Nachricht wie in meinem initial Post gezeigt. |
15.11.2006, 23:08 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ursache eScan-Alarm?Zitat:
Wenn man was Genaueres sagen will, muss die die komplette Fehlermeldung, die eScan dir da ausspuckt, notieren und posten. Nur "Error entdeckt..." reicht nicht, man sollte schon wissen wo.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.11.2006, 11:45 | #15 |
| Ursache eScan-Alarm? Wie erwähnt wird mir leider von eScan nur das ausgespuckt. Die genaue Meldung siehe Posts before. Kann von eScan Seite nur noch die 11 seitige Virus log Information anbieten... |
Themen zu Ursache eScan-Alarm? |
adobe, antivir, avg, avira, bho, cyberlink, escan, excel, explorer, fehlermeldung, hijack, hijackthis, internet, internet explorer, monitor, nvidia, programme, registry, rundll, senden, shortcut, software, system, windows, windows xp |