Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.
Hi
Vorab: Ich hatte bisher noch nie Probleme (jetzt eig. auch nicht) mit Viren o.ä. und mein Kaspersky hat mich noch nie schützen müssen.
So, nun zu meinen "Problem":
Gestern habe ich mal einen eScan gemäss Anleitung durchgeführt und siehe da, es werden natürlich mehrere Viren gefunden. Aus Erfahrung kann ich einige ausschliessen, wegen den bekannten False-Positives von eScan.
Naja, ihr Pro's seht es euch an:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL
eScan Version: 9.4.4
Sprache: English
Virus Database Date: 10/3/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~ Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\DELL\drivers\R122161\HDAQFE\win2k3\jpn\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\DELL\drivers\R122161\HDAQFE\win2k3\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\jpn\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k_xp\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll
Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll
~~~~~~~~~~~ Ordner
~~~~~~~~~~~
~~~~~~~~~~~ Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCR\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~ Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-C\OnoteLR.cab not Scanned. Possibly password protected...
C:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB not Scanned. Possibly password protected...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :255.255.255.255 broadcasthost
C:\WINDOWS\System32\drivers\etc\hosts :::1 localhost
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # mistyped URLs to search engines. They
C:\WINDOWS\System32\drivers\etc\hosts : # log all such errors.
C:\WINDOWS\System32\drivers\etc\hosts : # URLs to their site.
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # and potentially other sites.
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # up CSS on livejournal
C:\WINDOWS\System32\drivers\etc\hosts : # problems with NPR.org
C:\WINDOWS\System32\drivers\etc\hosts : # ads and track users across
C:\WINDOWS\System32\drivers\etc\hosts : # the com.com family of sites
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # and some distribute adware and spyware
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # message board spam and are unlikely to be real sites
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 17
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 44
Time Elapsed: 01:52:51
Total Objects Scanned: 67740
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled
Batchstart: 21:40:20.26
Batchende: 21:40:56.53
Was mir auffällt sind die Hosts und die Offending Files, sowie die Datei qfe.exe, welche an mehreren Orten gefunden wurde.
Ich hab alle genannten Files mal bei VT auswerten lassen: Kein Fund!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:21, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Desweiteren findet Spybot noch die "Malware" Mailskinner.rtk in den Reg-Einträgen: (Nach einem Reboot ist sie wieder da)
Zitat:
MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin
MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin.1
MailSkinner.rtk: [SBI $68FD185E] Class ID (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C704648D-6030-47E9-ADBA-1E13B6A784AE}
Zum Thema Seltsamer eScan-Log! Paranoia? - Hi
Vorab: Ich hatte bisher noch nie Probleme (jetzt eig. auch nicht ) mit Viren o.ä. und mein Kaspersky hat mich noch nie schützen müssen.
So, nun zu meinen "Problem":
- Seltsamer eScan-Log! Paranoia?...