|
Log-Analyse und Auswertung: blöder WurmWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.01.2007, 19:36 | #1 |
| blöder Wurm Hallo, bin neu hier, weil die Sache hier echt unangenehm ist. Ich hatte schon den einen oder anderen Virus und bin mit ihm fertig geworden, aber dieser ist echt mies. Der Virus löscht alle exe Dateien von Antivirensoftware und zB Spybot. Ich hatte das große Pech, dass mein Antivirenprogramm (Panda) ihn natürlich bei der letztmöglichen Chance zu scannen nicht erkannt hat (da fehlt jetzt auch die exe). Auch die Panda notfall-bootcd findet nix. Onlinescanner sprechen von einem Wurm...jeder von einem anderen und machen können die natürlich nix. Nun das Schönste: Der abgesicherte Modus funktioniert nicht mehr, sondern startet den Computer lediglich neu. Nur das Bios scheint verschont geblieben zu sein. Ansonsten noch das Merkmal, dass er sich mit dem IExplorer beschäftigt und mein System verlangsamt. Wenn man den IExplorer löscht, ist er eine Sekunde wie von Zauberhand wieder da. Standartgemäß nutze ich Firefox und habe den Explorer so ziemlich entmachtet...ich glaube jedoch, dass er Werbe-Fenster öffnen würde, wenn er es könnte. Wo er auf alle Fälle steckt (wo alle onlinescanner drauf abfuhren) ist das Verzeichnis C:\WINDOWS\exefld Killbox kann genutzt werden und wie ihr gleich seht auch Hijackthis...alles andere ist schwierig Logfile of HijackThis v1.99.1 Scan saved at 19:17:50, on 10.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\eMule\eMule.exe C:\Programme\PeerGuardian2\pg2.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M "Stylus D88" /EF "HKCU" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton Internet Security\ccPwdSvc.exe (file missing) O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\programme\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE (file missing) Meine einzige Hoffnung sehe ich momentan in einer neuen Notfall-Bootcd, aber wenn euch was besseres einfällt...was mir Geld und nerven spart, wäre ich sehr dankbar. |
10.01.2007, 19:46 | #2 | |
blöder WurmZitat:
Ja das ist der Nachteil eben von Onlinescanner erkennen nur den Virus,aber ein gekaufter Virenscanner kann ihn sogar beseitigen (ich hoffe ich liege da nicht falsch --loool) moni
__________________ |
10.01.2007, 20:18 | #3 | |
/// Helfer-Team | blöder WurmZitat:
@Gerrit Bleibe mal ruhig. Poste genau, was Panda wo genau gefunden hat. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________ |
11.01.2007, 01:03 | #4 |
| blöder Wurm Erstmal: wirklich vielen Dank felix1. Nachdem mir anom geantwortet hatte, war ich definitiv etwas desillusioniert Hier erstmal Folgendes: Panda hat nichts gefunden. Wirklich gar nichts...deswegen möchte ich auch auf eine andere Antivirensoftware umsteigen. Man sollte wenigstens darüber informiert werden, wenn ein Virus sich installiert (auch wenn das Programm nichts dagegen tun kann). Der Meinung bin ich jedenfalls. Hier F_secure Blacklight: 1/11/07 00:38:05 [Info]: BlackLight Engine 1.0.55 initialized 01/11/07 00:38:05 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/11/07 00:38:05 [Note]: 7019 4 01/11/07 00:38:05 [Note]: 7005 0 01/11/07 00:38:07 [Note]: 7006 0 01/11/07 00:38:08 [Note]: 7011 1740 01/11/07 00:38:08 [Note]: 7026 0 01/11/07 00:38:08 [Note]: 7026 0 01/11/07 00:38:48 [Note]: FSRAW library version 1.7.1021 01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe 01/11/07 00:38:53 [Note]: 10002 2 01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys 01/11/07 00:38:53 [Note]: 10002 2 01/11/07 00:38:54 [Note]: 10002 3 01/11/07 00:38:54 [Note]: 10002 3 01/11/07 00:38:54 [Note]: 10002 2 01/11/07 00:38:54 [Note]: 10002 2 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg 01/11/07 00:44:04 [Note]: 10002 3 01/11/07 00:44:04 [Note]: 10002 2 01/11/07 00:44:04 [Note]: 10002 2 01/11/07 00:46:17 [Note]: 10002 2 01/11/07 00:46:17 [Note]: 10002 2 01/11/07 00:48:32 [Note]: 7007 0 Hier Ewido: folgt in ca. einer halben Stunde Wirklich vielen Dank...was soll ich sagen...nicht viele Menschen sind dazu bereit einem zu helfen, wenn man kaum eine Gegenleistung bringen kann. Ich würde es sehr gern, aber reden wir darüber privat, wenn wir das Problem gelöst haben |
11.01.2007, 01:58 | #5 |
| blöder Wurm Ich schieb mich mal kurz dazwischen. Auf Deinem System ist ein Wurm gelandet, der sich per Rootkit tarnt. W32/Bagle-KJ - Wurm - Sophos Bedrohungsanalyse C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys Sehe ich das richtig, dass Blacklight, die Dateien nicht gelöscht hat (benutze Blacklight nicht)? In diesem Fall würde ich vorschlagen, über die Wiederherstellungskonsole das komplette Verzeichnis löschen. Hierfür wird allerdings das Passwort für den Account namens "Administrator" benötigt. Hast Du dieses?
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
11.01.2007, 02:02 | #6 |
| blöder Wurm ewido: hat folgendes gefunden: c:\dokumente und einstellungen\***\Lokale Einstellungen\Temp\~4E.exe ~7.exe ~B.exe c:\windows\exefld\30431187.exe c:\windows\exefld\30660578.exe er sagt, das sind worm.bagle.hc und worm.bagle.hb... und jetzt versuche ich es zu "removen"...mal sehen was passiert... |
11.01.2007, 09:00 | #7 | |
blöder WurmZitat:
sorry tut mir leid Gerrit (lol) moni
__________________ anom "Sie stehen vor einer großartigen Reise des Lebens. Glückwunsch und viel Spaß dabei!“ |
11.01.2007, 12:42 | #8 |
| blöder Wurm @anom: is schon ok Hab das Verzeichnis gelöscht. Das Problem scheint behoben zu sein. Herzlichen Dank an Alle. Jetzt bin ich wieder etwas schlauer. Noch eine Empfehlung womit ich das System scannen soll? Geändert von Gerrit (11.01.2007 um 13:09 Uhr) |
11.01.2007, 13:08 | #9 |
blöder Wurm hi, da bin ich aber erleichtert und schön das es wieder funktioniert. moni
__________________ anom "Sie stehen vor einer großartigen Reise des Lebens. Glückwunsch und viel Spaß dabei!“ |
11.01.2007, 14:07 | #10 |
| blöder Wurm Poste unbedingt nochmal ein neues Log von Blacklight! Den Rootkittreiber und die .exe hast Du aller Wahrscheinlichkeit nämlich noch auf Deinem Rechner.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
11.01.2007, 16:12 | #11 |
| blöder Wurm 01/11/07 15:46:09 [Info]: BlackLight Engine 1.0.55 initialized 01/11/07 15:46:09 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/11/07 15:46:16 [Note]: 7019 4 01/11/07 15:46:16 [Note]: 7005 0 01/11/07 15:46:24 [Note]: 7006 0 01/11/07 15:46:24 [Note]: 7011 1736 01/11/07 15:46:25 [Note]: 7026 0 01/11/07 15:46:25 [Note]: 7026 0 01/11/07 15:46:59 [Note]: FSRAW library version 1.7.1021 01/11/07 15:58:30 [Note]: 2000 1012 01/11/07 16:10:57 [Note]: 7007 0 |
11.01.2007, 16:16 | #12 | |
| blöder Wurm Das hier hast Du auch entfernt? Zitat:
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
11.01.2007, 16:21 | #13 |
| blöder Wurm uups...das hole ich sofort nach |
11.01.2007, 16:24 | #14 |
| blöder Wurm Dann kontrolliere danach gleich nochmal mit Blacklight (viele Schädlinge haben Zombiequalitäten).
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
11.01.2007, 16:59 | #15 |
| blöder Wurm 01/11/07 16:51:06 [Info]: BlackLight Engine 1.0.55 initialized 01/11/07 16:51:06 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/11/07 16:51:11 [Note]: 7019 4 01/11/07 16:51:11 [Note]: 7005 0 01/11/07 16:51:16 [Error]: 6024 1 01/11/07 16:51:16 [Error]: 6024 1 01/11/07 16:51:16 [Note]: 7006 0 01/11/07 16:51:17 [Note]: 7011 1992 01/11/07 16:51:17 [Note]: 7026 0 01/11/07 16:51:17 [Note]: 7026 0 01/11/07 16:51:18 [Error]: 6024 1 01/11/07 16:51:47 [Note]: FSRAW library version 1.7.1021 01/11/07 16:59:38 [Note]: 7007 0 Die genannten Dateien in der exefld waren nicht mehr vorhanden... |
Themen zu blöder Wurm |
antivirus, bho, computer, desktop, drivers, einstellungen, excel, exe, exe dateien, firefox, funktioniert nicht mehr, geld, hijack, internet, internet explorer, internet security, mozilla, mozilla firefox, programm, protection center, proxy, scan, security, software, symantec, system, usb, virus, windows, windows xp, wurm |