| |
| |||||||
Log-Analyse und Auswertung: e-scan VirenmeldungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.08.2007, 16:30
| #1 |
| |  e-scan Virenmeldung Hallo, auf meinem Rechner wurde durch den Virenscanner AntiVir PersonalEdition Classic ein Virenfund gemeldet ( In der Datei 'C:\System Volume Information\_restore{3CAE282C-4DFC-4FC7-B62A-D9E576ECC77D}\RP469\A0056223.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BZub.JG.14' [TR/Spy.BZub.JG.14] gefunden. In der Datei 'C:\WINDOWS\system32\ipv6monl.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BZub.JG.14' [TR/Spy.BZub.JG.14] gefunden.) Die Dateien wurden gelöscht, daraufhin habe ich mein System mit e-scan scannen lassen. Schaut euch bitte mal mein e-scan Logfile an. Ich habe die 3 Dateien process.exe, swreg.exe und swsc.exe mit Virustotal Online checken lassen. Das Ergebnis des Checks ist ebenfalls hier aufgeführt. Vielen Dank im voraus. Ciao Maik ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.6 Sprache: German C:\DOKUME~1\Maik\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen. System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Maik\Eigene Dateien\Software\Internet\Chat\girc436.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Maik\Eigene Dateien\Software\Internet\Chat\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Maik\Eigene Dateien\Software\Internet\Virus\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Maik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\wukrj5fp.default\Cache\63329BDCd01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3CAE282C-4DFC-4FC7-B62A-D9E576ECC77D}\RP3\A0000113.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3CAE282C-4DFC-4FC7-B62A-D9E576ECC77D}\RP3\A0000121.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\1.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\2.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\3.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\1.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\2.dat Offending file found: C:\Dokumente und Einstellungen\Maik\Eigene Dateien\sicherung micro 512 mb karte\private\101f8857\cache\e\3.dat ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\ptech !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Maik\Eigene Dateien\Software\Internet\Chat\sim-0.9.3-full-win32.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 90138 Gefundene Viren: 22 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 147 Dauer des Scans bisher: 01:23:17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 16:25:55,82 Batchende: 16:26:00,29 process.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.22.0 2007.08.22 Win-AppCare/PrcViewer.53248 AntiVir 7.4.1.63 2007.08.22 - Authentium 4.93.8 2007.08.22 - Avast 4.7.1029.0 2007.08.21 - AVG 7.5.0.484 2007.08.22 - BitDefender 7.2 2007.08.22 - CAT-QuickHeal 9.00 2007.08.22 - ClamAV 0.91 2007.08.22 - DrWeb 4.33 2007.08.22 - eSafe 7.0.15.0 2007.08.22 - eTrust-Vet 31.1.5080 2007.08.22 - Ewido 4.0 2007.08.22 - FileAdvisor 1 2007.08.22 High threat detected Fortinet 2.91.0.0 2007.08.22 Misc/PrcViewer F-Prot 4.3.2.48 2007.08.22 - F-Secure 6.70.13030.0 2007.08.22 - Ikarus T3.1.1.12 2007.08.22 - Kaspersky 4.0.2.24 2007.08.22 - McAfee 5102 2007.08.21 potentially unwanted program PrcViewer Microsoft 1.2803 2007.08.22 - NOD32v2 2475 2007.08.22 Win32/PrcView Norman 5.80.02 2007.08.22 - Panda 9.0.0.4 2007.08.22 Application/Processor Prevx1 V2 2007.08.22 - Rising 19.37.22.00 2007.08.22 - Sophos 4.20.0 2007.08.22 - Sunbelt 2.2.907.0 2007.08.22 - Symantec 10 2007.08.22 - TheHacker 6.1.8.171 2007.08.21 Aplicacion/Processor.20 VBA32 3.12.2.2 2007.08.22 - VirusBuster 4.3.26:9 2007.08.22 - Webwasher-Gateway 6.0.1 2007.08.22 - weitere Informationen File size: 53248 bytes MD5: 7397f6ee4a9601a123b645c0cd428017 SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=7397f6ee4a9601a123b645c0cd428017 swreg.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.22.0 2007.08.22 - AntiVir 7.4.1.63 2007.08.22 - Authentium 4.93.8 2007.08.22 - Avast 4.7.1029.0 2007.08.21 - AVG 7.5.0.484 2007.08.22 - BitDefender 7.2 2007.08.22 - CAT-QuickHeal 9.00 2007.08.22 - ClamAV 0.91 2007.08.22 - DrWeb 4.33 2007.08.22 - eSafe 7.0.15.0 2007.08.22 suspicious Trojan/Worm eTrust-Vet 31.1.5080 2007.08.22 - Ewido 4.0 2007.08.22 - FileAdvisor 1 2007.08.22 - Fortinet 2.91.0.0 2007.08.22 - F-Prot 4.3.2.48 2007.08.22 - F-Secure 6.70.13030.0 2007.08.22 - Ikarus T3.1.1.12 2007.08.22 - Kaspersky 4.0.2.24 2007.08.22 - McAfee 5102 2007.08.21 - Microsoft 1.2803 2007.08.22 - NOD32v2 2475 2007.08.22 - Norman 5.80.02 2007.08.22 - Panda 9.0.0.4 2007.08.22 Suspicious file Prevx1 V2 2007.08.22 - Rising 19.37.22.00 2007.08.22 - Sophos 4.20.0 2007.08.22 - Sunbelt 2.2.907.0 2007.08.22 - Symantec 10 2007.08.22 - TheHacker 6.1.8.171 2007.08.21 - VBA32 3.12.2.2 2007.08.22 - VirusBuster 4.3.26:9 2007.08.22 - Webwasher-Gateway 6.0.1 2007.08.22 - weitere Informationen File size: 135168 bytes MD5: e417d888fdde9a2290c369c82a7aec3e SHA1: 54a6acf7ed038afc6a632ccd568c17fc31eac00e packers: UPX packers: UPX packers: UPX swsc.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.22.0 2007.08.22 - AntiVir 7.4.1.63 2007.08.22 - Authentium 4.93.8 2007.08.22 - Avast 4.7.1029.0 2007.08.21 - AVG 7.5.0.484 2007.08.22 - BitDefender 7.2 2007.08.22 - CAT-QuickHeal 9.00 2007.08.22 - ClamAV 0.91 2007.08.22 - DrWeb 4.33 2007.08.22 - eSafe 7.0.15.0 2007.08.22 suspicious Trojan/Worm eTrust-Vet 31.1.5080 2007.08.22 - Ewido 4.0 2007.08.22 - FileAdvisor 1 2007.08.22 Low threat detected Fortinet 2.91.0.0 2007.08.22 - F-Prot 4.3.2.48 2007.08.22 - F-Secure 6.70.13030.0 2007.08.22 - Ikarus T3.1.1.12 2007.08.22 - Kaspersky 4.0.2.24 2007.08.22 - McAfee 5102 2007.08.21 - Microsoft 1.2803 2007.08.22 - NOD32v2 2475 2007.08.22 - Norman 5.80.02 2007.08.22 - Panda 9.0.0.4 2007.08.22 - Prevx1 V2 2007.08.22 - Rising 19.37.22.00 2007.08.22 - Sophos 4.20.0 2007.08.22 - Sunbelt 2.2.907.0 2007.08.22 - Symantec 10 2007.08.22 - TheHacker 6.1.8.171 2007.08.21 - VBA32 3.12.2.2 2007.08.22 - VirusBuster 4.3.26:9 2007.08.22 - Webwasher-Gateway 6.0.1 2007.08.22 - weitere Informationen File size: 40960 bytes MD5: c16b1595e3c2ffc875ef28bf66ec557f SHA1: 4da6d047e81fd13e0cfa4e390b85d35f9a136887 packers: UPX packers: UPX Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c16b1595e3c2ffc875ef28bf66ec557f packers: UPX |
|
22.08.2007, 16:49
| #2 | |
| /// TB-Ausbilder     | e-scan Virenmeldung Hi,
__________________die Meldungen von eScan sind nicht weiter bedenklich. Die erkannten Dateien gehören zu Smitfraudfix, einem Tool das eine Smitfraudinfektion bereinigen soll. Da die Programme ähnlich funktionieren, wie die Viren, die sie beheben kommt es zu solchen Fehlerkennungen. Was anderes ist die Meldung von Antivir! Es handelt sich mit hoher Wahrscheinlichkeit um einen Backdoortrojaner aus der cimuz-Familie und das kann er: Zitat:
Die einzige Möglichkeit den Jungen sicher wieder von deinem System zu bekommen ist eine Neuinstallation. Dabei würde ich dir empfehlen dich an folgende Anleitung zu halten: Neuaufsetzen Damit du so schnell nicht wieder kontaminiert wirst. Gib bis zum Neuaufsetzen bitte keinerlei Passwörter, Onlinebankingdaten oder auch Kreditkartenangaben auf diesem Rechner mehr ein, trenne am besten so schnell wie möglich die Internetverbindung und ändere sämtliche Passwörter nachdem du den Rechner sauber neuaufgesetzt hast. lg myrtille |
|
22.08.2007, 17:10
| #3 |
| | e-scan Virenmeldung Hallo, danke für deine schnelle Hilfe.
__________________Habe mir schon fast gedacht, dass ich mein System Neuaufsetzen muss. Kann ich meine wichtigen Dateien einfach so auf DVD Brennen und nach Neuinstallation des BS wieder auf mein System kopieren? Ciao Maik |
|
22.08.2007, 18:50
| #4 |
| /// TB-Ausbilder | e-scan Virenmeldung Hi,  ein Sichern der Daten sollte möglich sein (und solltest du von jetzt an auch regelmäßig tun.  Was wäre wenn die Festplatte nicht befallen ist, sondern kaputt geht?  )Achte dabei aber bitte darauf, dass du keine ausführbaren Dateien (.exe, .com, etc. ) sicherst. In diese könnte sich Malware injektiert haben um so auf deinen neuen Rechner zu kommen. Textdokumente, Musik, Bilder sind allerdings eigentlich unbedenklich. Ein wichtiger Punkt ist, dass du das SP2 auf einem sauberen Rechner lädst, dort auf CD brennst und das SP2 dann beim Neuaufspielen deines derzeit befallenen Rechners installierst bevor du mit dem Rechner ins Internet gehst. lg myrtille |
|
23.08.2007, 11:12
| #5 |
| | e-scan Virenmeldung Hallo, mit dem Sichern da hast du schon recht. Ich sichere meine Daten, nur leider nicht so oft wie ich hätte machen sollen. Hab mir jetzt aber fest vorgenommen, deinen Ratschlag zu befolgen. System ist wieder Ungezieferfrei, hab die Ratschläge zum Neuaufsetzen des Systems befolgt. Vielen Dank für die Hilfe. Ciao Maik |
|
| Themen zu e-scan Virenmeldung |
| .dll, 1.exe, antivir, browser, dateisystem, drivers, einstellungen, fehler, festplatte, firefox, hosts-datei, infected, internet, karte, logfile, maßnahme, mozilla, object, programm, programme, prozesse, registry, scan, software, system, temp, trojan, virus, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
