| |
| |||||||
Log-Analyse und Auswertung: Wurmverdacht: Überprüfung bitteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.03.2007, 11:23
| #1 |
| |  Wurmverdacht: Überprüfung bitte hi leuds, meine Firewall hat schon mehrmals einen Wurm gemeldet, den ich nicht löschen kann...hoffentlich könnt ihr mir hier weiterhelfen: Noch zu erwähnen ist, dass seitdem ich diesen Wurm auf meinem PC habe ich kein internet update beim meinem Virenprgramm machen kann. Hab auch schonmal ein anderes virenprogramm gedownloadet, aber es ist immernoch das gleiche Problem HiJackThis Logs: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 12:20:22, on 25.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA\AVKClient\AVKCl.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA\AVKClient\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\G DATA\AVKClient\AVKCl.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WIR01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.1.250:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AvkClient] C:\Programme\G DATA\AVKClient\AVKCl.exe /GUI O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139323958441 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = WIR.DE O17 - HKLM\Software\..\Telephony: DomainName = WIR.DE O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = WIR.DE O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = WIR.DE O20 - AppInit_DLLs: strmatkc.dll O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKCl.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe -- End of file - 5878 bytes |
|
25.03.2007, 12:49
| #2 |
 | Wurmverdacht: Überprüfung bitte Hallo,
__________________lasse mal bite folgende Datei beiJotti oder Virustotal auswerten! ( Link in meiner SIG ) C:\WINDOWS\system32\odtemdt2.dll Sollte wohl dieser Wurm sein Poste das gesamte Ergebnis! Gruß Mellosun
__________________ |
|
25.03.2007, 13:14
| #3 |
| | Wurmverdacht: Überprüfung bitte So weit ich mich ersinnen kann ist das der Wurm: Email-Worm. Win32.Warezor.lj
__________________Axo und ich hab ihn über ICQ bekommen Complete scanning result of "odtemdt2.dll", received in VirusTotal at 03.25.2007, 13:56:09 (CET). Antivirus Version Update Result AhnLab-V3 2007.3.24.1 03.24.2007 no virus found AntiVir 7.3.1.44 03.25.2007 WORM/Stration.Gen Authentium 4.93.8 03.24.2007 W32/Warezov.gen4 Avast 4.7.936.0 03.23.2007 no virus found AVG 7.5.0.447 03.24.2007 no virus found BitDefender 7.2 03.25.2007 DeepScan:Generic.Stration.F1F77D9F CAT-QuickHeal 9.00 03.23.2007 no virus found ClamAV devel-20070312 03.25.2007 Worm.Stration.ACA-1 DrWeb 4.33 03.25.2007 Win32.HLLM.Limar eSafe 7.0.14.0 03.22.2007 Win32.Stration.DB eTrust-Vet 30.6.3506 03.23.2007 Win32/Stration!generic Ewido 4.0 03.24.2007 Worm.Warezov.mm FileAdvisor 1 03.25.2007 no virus found Fortinet 2.85.0.0 03.25.2007 W32/Stration.MM@mm F-Prot 4.3.1.45 03.23.2007 W32/Warezov.gen4 F-Secure 6.70.13030.0 03.24.2007 Email-Worm.Win32.Warezov.mm Ikarus T3.1.1.3 03.25.2007 Trojan.Win32.Agent.ahs Kaspersky 4.0.2.24 03.25.2007 Email-Worm.Win32.Warezov.mm McAfee 4991 03.23.2007 no virus found Microsoft 1.2306 03.25.2007 no virus found NOD32v2 2143 03.25.2007 Win32/Stration.YF Norman 5.80.02 03.23.2007 no virus found Panda 9.0.0.4 03.24.2007 W32/Spamta.UT.worm Prevx1 V2 03.25.2007 no virus found Sophos 4.15.0 03.23.2007 W32/Strati-Gen Sunbelt 2.2.907.0 03.24.2007 no virus found Symantec 10 03.25.2007 W32.Stration.DB@mm TheHacker 6.1.6.080 03.23.2007 W32/Warezov.mm UNA 1.83 03.16.2007 no virus found VBA32 3.11.2 03.24.2007 no virus found VirusBuster 4.3.7:9 03.25.2007 no virus found Webwasher-Gateway6.0.1 03.25.2007 Worm.Stration.Gen Aditional Information File size: 241664 bytes MD5: 58400cec5f11612a062a79fd85e92148 SHA1: 130307d5599f89efaec03e8f75daf2fdee23cb59 hoffe mal das, des erkennbar ist |
|
| Themen zu Wurmverdacht: Überprüfung bitte |
| administrator, adobe, antivirus, appinit_dlls, bho, browseui preloader, c.exe, dateien, einstellungen, excel, firewall, g data, hkus\s-1-5-18, ics, internet, internet explorer, kein internet, launch, löschen, messenger, micro, microsoft, mozilla, mozilla firefox, programm, programme, s-1-5-18, software, system, system32, trend micro, windows, windows xp, wurm |
Linear-Darstellung
