Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Wo versteckt sich der Wurm?

Wo versteckt sich der Wurm?


Log-Analyse und Auswertung: Wo versteckt sich der Wurm?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.09.2007, 10:47   #1
Picachu
 
Wo versteckt sich der Wurm? - Böse

Wo versteckt sich der Wurm?


Hi,

ich habe seit kurzem folgendes Problem:

1. Die Seite www.gamershell.com kann ich seit kurzem einfach nicht mehr von meinem Rechner öffnen. Von einem anderen Rechner komme ich allerdings auf die Seite. Ich vermute dass da was faul ist.

2. Dazu habe ich mein TDSL Manager deinstalliert, bekomme aber immer noch Registry Änderungsmeldungen vom Systemguard des Mcaffees. Die Software ist in angegebene log Pfad: C:\Programme\T-DSL Manager\DSLMgr.exe seit langem nicht mehr vorhanden. Was löst dann die Registry Änderungen aus?

3. Ich habe vor kurzem MSN Messenger installiert, ca. 1 Woche behalten und dann wieder deinstalliert, nur so als extra Info.

Wo versteckt sich der Wurm?
--- --- --- --- ---- --- - -- - -- - - --

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:32:13, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe
C:\PROGRA~1\McAfee\MSC\mcshell.exe
C:\Programme\HijackThis\HijackThis.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?

LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.202.193.225:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;<local>
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma

Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11

\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} -

C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} -

C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11

\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www...............
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.3.102.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/en-

us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (...mysoftware ... express) -

http://www....mysoftware....com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) -

http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared

free\a2service.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-

COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame

dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. -

C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9751 bytes

Alt 10.09.2007, 13:38   #2
Cleriker
 
Wo versteckt sich der Wurm? - Standard

Wo versteckt sich der Wurm?


Hi,

da sind einige Einträge dabei, die mir nicht geheuer sind.
Aber bevor ich zum risikoreichen Fixen ermutige , würde
ich gerne folgendes sehen:

* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* F-Secure Blacklight – Rootkitscanner:
Scanne dein System mit F-Secure Blacklight
Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

mfg Cleriker
__________________
Alt 11.09.2007, 12:56   #3
Picachu
 
Wo versteckt sich der Wurm? - Standard

Wo versteckt sich der Wurm?


Hi nochmal.

Also erstmal vielen Dank für dein Feedback Cleriker. Nach meine Ergebnisse fühle ich mich irgendwie verarscht, da ich mein System regelmässig pflege und wöchentliche Scans durchführe. Was fehlt denn noch so dass mein System auch durchgehend sauber bleibt?

ESCAN Ergebnis
HTML-Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Header[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.4.2 
Sprache: German 
Virus-Datenbank Datum: 9/11/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Infektionsmeldungen[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with popuper Spyware/Adware (notepad2.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with grokster Spyware/Adware (agentins.ui)! Action taken: Keine Aktion vorgenommen. 
 System found infected with grokster Spyware/Adware (agentver.ini)! Action taken: Keine Aktion vorgenommen. 
 System found infected with grokster Spyware/Adware (agnticfg.ini)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
[b]Dateien[/b] 
~~~~~~~~~~~ 
~~~~ [i][b]Infected files[/b][/i] 
~~~~~~~~~~~ 
 Datei C:\Programme\Microsoft AntiSpyware\cleaner.log infiziert von "Exploit.HTML.Mht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ [i][b]Tagged files[/b][/i] 
~~~~~~~~~~~ 
 File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\DaemonTools_WhenUSaveNow_Installer\DaemonTools_WhenUSaveNow_Installer.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.ca". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\Webteh\_Update\bsplayer141.832.exe//data0011 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP1392\A0148785.exe//data0011 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP1392\A0148788.exe//data0014 markiert als "not-a-virus:AdWare.Win32.Ucmore.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ [i][b]Offending files[/b][/i] 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\notepad2.exe 
 Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mca4e.tmp\agentins.ui 
 Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mca4e.tmp\agentver.ini 
 Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mca4e.tmp\agnticfg.ini 
~~~~~~~~~~~ 
[b]Ordner[/b] 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst 
~~~~~~~~~~~ 
[b]Registry[/b] 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!! 
 Offending Key found: HKLM\Software\ptech !!! 
 Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\acegain liveupdate !!! 
 Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenu !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9025069-6479-11db-a1f2-000cf192258d} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Diverses[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
[b][i]Prozesse und Module[/i][/b] 
~~~~~~~~~~~~~~~~~~~~~~ 
 Executable Command Found in G\Name\Shell\AutoRun\command: G:\Autorun.exe 
 Executable Command Found in {e9025069-6479-11db-a1f2-000cf192258d}\Name\Shell\AutoRun\command: G:\Autorun.exe 
 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 
~~~~~~~~~~~~~~~~~~~~~~ 
[b][i]Scanfehler[/i][/b] 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Thunderbird\Profiles\uxxxxxx.default\Mail\post.xxxxx.xx\Inbox.sbd\xxxxx.xxx\xxxx nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\MSDN\2003FEB\1033\dnexcl2k2.hxs nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
[b][i]Hosts-Datei[/i][/b] 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
[b]Statistiken:[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 197369 
 Gefundene Viren: 26 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 545 
 Dauer des Scans bisher: 03:19:05 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Scan-Optionen[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 13:26:32,01 
Batchende: 13:26:40,21
1. Das Problem mit Notepad2 verstehe ich nicht. Falsch Alarm? Ich benutze Notepad2. Habe die exe allerdings von einer sicheren Quelle geholt. Oder habe ich ein weitere korrupte Notepad2 Datei?

2. Wie kommt es dass soviele "Offending Folders" mcafee Ordner sind? Was ist hier faul?

3. Laufwerk G ist in diesem Fall ein DeamonTool Laufwerk mit einem geladenen Image. Sind die für Laufwerk G aufgelistete "executables" normal oder ist da was mit dem Image faul?

4. Meine hosts Datei ist i.O. Habe keine extra Einträge drin ... vielleicht Meldung wegen einer extra Zeile ?

FSLB Ergebnis

HTML-Code:
09/10/07 15:02:29 [Info]: BlackLight Engine 1.0.64 initialized
09/10/07 15:02:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/10/07 15:02:29 [Note]: 7019 4
09/10/07 15:02:29 [Note]: 7005 0
09/10/07 15:02:33 [Note]: 7006 0
09/10/07 15:02:34 [Note]: 7011 408
09/10/07 15:02:34 [Note]: 7026 0
09/10/07 15:02:35 [Note]: 7026 0
09/10/07 15:02:47 [Note]: FSRAW library version 1.7.1022
09/10/07 15:15:27 [Note]: 7007 0
Dieser Scan hat nichts gefunden.


Weitere Vorgehensweise
Von den gefundenen Adware und Freunde habe ich noch nie gehört.
1. Wie gefährlich sind sie?
2. Würde es reichen einfach die dubiose Einträge bzw. Dateien oder Ordner zu löschen oder empfehlt ihr andere Wege?

Z.Z. benutze ich nur Mcafee Internet Paket komplett als Schutz. Gegen Spyware lass ich wöchentlich ein Scan mit a-sqaured laufen. Davor hatte ich nebenbei das Microsoft Tool: Windows Defender gehabt. W-Defender wirklich sehr gut um einen Einblick in laufende Prozesse, Verbindungen etc. zu bekommen. W-Defender habe ich aber entfernt.
Sitze dazu hinter einem Router mit nur bestimmte Ports offen. Spiele halt gerne, also Gameports hauptsächlich.

Was empfehlt ihr um mein System besser abzusichern?

PS: Bin geschockt dass ich mich die ganze Zeit "sauber" gefühlt habe und jetzt die Ergebnisse sehe
__________________
Alt 11.09.2007, 15:46   #4
Cleriker
 
Wo versteckt sich der Wurm? - Standard

Wo versteckt sich der Wurm?


Also,

sieht gar nicht so schlimm aus, aber was hier wieder bestätigt
wird, dass der escan manchmal nur noch Mist rausbringt.

Zitat:
C:\Programme\Microsoft AntiSpyware\cleaner.log
Diese Datei bitte löschen.

Zitat:
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP1392\A0148785.exe//data0011 markiert als "not-a-virus:AdTool.Win32.WhenU.a". File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP1392\A0148788.exe//data0014 markiert als "not-a-virus:AdWare.Win32.Ucmore.e".
Wie weit man sich auf das Ergebnis verlassen kann, bin ich mir nicht sicher,
deshalb mach folgendes:

* Schädlinge in der Systemwiederherstellung
- Deaktiviere die Systemwiederherstellung und wechsel
in den abgesichteren Modus -> Anleitung
- Überprüfe mit deinem Antivirscanner die localen Festplatten
- Neustart

Du sagtest zwar, notepad2.exe sei gewollt, aber deine anfangs
bemerkten Anzeichen deuten auf diesen Kerl hin
Schau deshalb selber in der Registrierung nach, ob die Einträge
übereinstimmen. (mögliche Einträge stehen im Link unter Erweitert)

Anschließend würde ich noch folgendes empfehlen:
Lade dir Spybot Search & Destroy (nicht Teatimer aktivieren)
oder Clean Up runter und lass eines der beiden Tools deine Unreinheiten säubern.

Edit: Gib bitte danach ein Feedback, wie
weit was gefruchtet hat, bzw. was du dann
noch für Anzeichen / Probleme hast.

mfg Cleriker

Alt 12.09.2007, 09:28   #5
Picachu
 
Wo versteckt sich der Wurm? - Standard

Wo versteckt sich der Wurm?


Spy & Bot hat einiges bei mir geputzt.

Die Systemwiederherstellung werde ich bald machen.

Ich glaube aber das alles i.O. sein wird. Am Ende will ich dann nochmal die ganze Scans (2. Post) laufen lassen. Dafür brauche ich aber ein halber Tag .... dauert sehr lang obwohl ich nur eine 120 Gig Platte habe.

Thx nochmal und ich bin ein wenig beruhigt da ich jetzt weisst was ich 1 mal pro Monat machen sollte nl. gründliche Scans.


Antwort

Themen zu Wo versteckt sich der Wurm?
adobe, adobe reader, bho, computer, diagnostics, dsl, excel, explorer, firefox, firewall, helper, hijack, hijackthis, hkus\s-1-5-18, hotspot, internet, internet explorer, log, mozilla, mozilla firefox, nvidia, pdf, preferences, problem, programme, registry, rundll, s-1-5-18, software, trend micro, versteckt sich, windows, windows xp, wurm, wurm?


« Chaos im Computer meiner Untermieterin | Werbepopups aus dem Nichts »


Ähnliche Themen: Wo versteckt sich der Wurm?


  1. Windows 8.1, email von dhl mit Sendungsnummer angeklickt, hat sich jetzt ein Trojaner auf meinem PC versteckt?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2015 (31)
  2. IE agiert versteckt und läßt sich nicht deinstallieren
    Log-Analyse und Auswertung - 15.02.2014 (10)
  3. PWS:Win32/Zbot.gen!AJ schon gelöscht oder versteckt er sich noch?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (9)
  4. Botnetz versteckt sich im Tor-Netzwerk
    Nachrichten - 10.12.2012 (0)
  5. Wurm verbreitet sich auf Tumblr
    Nachrichten - 03.12.2012 (0)
  6. Trojaner (BKA) versteckt sich hartnäckig
    Log-Analyse und Auswertung - 14.11.2012 (44)
  7. Spyware.zbot von malwarebytes gefunden und angeblich entfernt - bin ich sicher oder versteckt es sich nur?
    Plagegeister aller Art und deren Bekämpfung - 31.10.2012 (5)
  8. habe gestern 2 Java Viren gefunden und glaube das sich noch irgendwo was versteckt hat
    Log-Analyse und Auswertung - 09.10.2012 (10)
  9. Bei Google Suche öffnen sich falsche Seiten / Trojaner versteckt im System Bezahle 100€
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (1)
  10. Virus versteckt Dateien - Windows Recovery Wurm
    Plagegeister aller Art und deren Bekämpfung - 04.05.2011 (14)
  11. Virus versteckt Dateien evtl Windows Recovery Wurm
    Plagegeister aller Art und deren Bekämpfung - 20.04.2011 (41)
  12. 20 TAN Trojaner versteckt sich irgendwo
    Log-Analyse und Auswertung - 21.09.2010 (15)
  13. Malware versteckt sich vor Suchmaschinen
    Nachrichten - 26.04.2010 (0)
  14. TR/Crypt.XPACK.Gen ist nicht zu löschen, versteckt sich ??
    Log-Analyse und Auswertung - 06.04.2010 (6)
  15. Trojaner versteckt sich in der Windows-Wiederherstellung
    Nachrichten - 24.09.2009 (0)
  16. trojaner versteckt sich
    Plagegeister aller Art und deren Bekämpfung - 10.09.2006 (1)
  17. Wo versteckt sich das Biest?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2005 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wo versteckt sich der Wurm? - Hi, ich habe seit kurzem folgendes Problem: 1. Die Seite www.gamershell.com kann ich seit kurzem einfach nicht mehr von meinem Rechner öffnen. Von einem anderen Rechner komme ich allerdings auf - Wo versteckt sich der Wurm?...
Archiv
Du betrachtest: Wo versteckt sich der Wurm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131