|
Log-Analyse und Auswertung: " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.01.2008, 02:21 | #1 | ||
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Hallo, als ich den Inhalt des Ordners C:\Users\Admin\AppData\Local\Temp\ löschen wollte ist Sophos (da lief es noch) auf ein paar Sachen gestoßen, die ihm nicht gefallen haben (z.B. ein reload.exe und ein download.exe, die wurden mit Hilfe von sophos gelöscht). Daraufhin habe ich einen HijackThis-Scan gemacht und bin auf einige Einträge aus eben diesem Ordner gestoßen, jeweils mit dem Vermerk: File missing. Es handelt sich um folgende Einträge: Zitat:
Zitat:
Ich weiß nicht, ob diese Dinger wirklich schädlich sind (und ob es einen guten grund hat, dass ich sie nicht fixen kann), also gehe ich lieber auf Nummer sicher und frage. Wäre nett, wenn sich das mal jemand anguckt. lg nunja Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:16:20, on 01.01.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16575) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Nero\Nero 7\InCD\InCD.exe C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe C:\Program Files\ASUS\ATK Media\DMedia.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\ASUSTPE.exe C:\Windows\ASScrPro.exe C:\Program Files\PowerForPhone\PowerForPhone.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Sophos\AutoUpdate\ALMon.exe C:\Program Files\jdk\bin\javaw.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\mmc.exe C:\Windows\system32\Taskmgr.exe C:\Program Files\Sophos\Sophos Anti-Virus\SavMain.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ASUSTPE] C:\Windows\system32\ASUSTPE.exe O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\HJT\HijackThis.exe /startupscan O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '***') O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '***') O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe" (User '***') O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup (User '***') O4 - S-1-5-21-836278891-959880045-3722424293-1000 Startup: SDK Tray Menu.lnk = ? (User '***') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O13 - Gopher Prefix: O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: BNY - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BNY.exe O23 - Service: BOXEPYWFI - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BOXEPYWFI.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DHHSNEM - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\DHHSNEM.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: JQXLS - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\JQXLS.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: PYMMPGNEF - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\PYMMPGNEF.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: SPZICTR - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\SPZICTR.exe -- End of file - 8000 bytes |
02.01.2008, 02:45 | #2 |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Du hast wohl mal den Rootkitrevealer laufen lassen?
__________________Nicht gefährlich, kosmetisch kannst Du die Einträge mittels HJT fixen, dazu musst Du es aber als Admin ausrühren (Rechtsklich / ausführen als). Die Temp Ordern kann Du z.B. mit dem CCleaner löschen. |
02.01.2008, 03:14 | #3 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Ja, genau, den hatte ich laufen.
__________________Jetzt hat auch das fixen geklappt. Sieht viel schöner aus, jetzt. Oh und danke für den Tipp mit dem CCleaner, so geht alles viel schneller. P.S.: Wenn der andere Thread jetzt gelöscht wird, soll ich das Problem mit Sophos hier dann nochmal schildern? Wenn niemand einen Rat weiß, werde ich mit dem CCleaner mal Sophos löschen, da geht das ja auch, wie ich gerade gesehen habe... |
02.01.2008, 03:22 | #4 | |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixenZitat:
|
02.01.2008, 15:50 | #5 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Ok, hat sich erledigt. Habe Sophos deinstalliert und neu installiert, jetzt läuft es wieder wie geschmiert. Sophos hatte mal was gefunden und gelöscht... Ich habe jetzt mehrere Scanner laufen lassen (Spybot -SD und Ad-Aware und eScan) und die haben nichts gefunden. Waren vielleicht vermurkste Einstellungen... |
02.01.2008, 15:53 | #6 | |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixenZitat:
So long |
04.01.2008, 03:54 | #7 | ||
| Rechnerabsturz bei gmer-scan So, da bin ich wieder. Habe noch eine Frage. Ich habe die Paranoia auf die Spitze getrieben und habe noch GMER laufen lassen. Jetzt hängt sich mein Rechner aber ständig auf, wenn GMER läuft und zwar immer an der gleichen Stelle: unter Devices und zwar \Cdfs. Ich habe dann mal die ganzen Häckchen weggemacht, also die Unterpunkte (System, Devices, etc.) einen nach dem anderen gescannt und habe festgestellt, dass mein Rechner sich auch bei Modules aufhängt und zwar sofort. Alles andere ging. Wollte mal fragen woran das liegt. (Ich habe alle mir bekannten Antivirenprogramme natürlich ausgeschalten) Ach ja, die Anfangsanzeige lautete: Zitat:
Zitat:
paranoiker ;-) |
04.01.2008, 09:16 | #8 |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Es ist möglich, das GMER und die anderen Vertreter dieser Sorte nicht 100% Vista komptibel sind. Bei mir rebootet Vista Ultimate bei einem GMER Scan im übrigen(1.0.13.12551). Hast Du GMER denn mal als Admin augehährt ( rechtklick / ausführen als...)? Dann lief es bei mir zumindest durch. |
04.01.2008, 13:22 | #9 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Ja, habe ich. Die Version die ich hier habe, lässt sich eh nur mit Adminrechten ausführen... |
04.01.2008, 16:02 | #11 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Da geht gar nichts, egal wie ich es mache. Ich habe sogar versucht mich gleich als Admin anzumelden, da wurde es dann richtig seltsam. Also erstmal blau. Dann erschien der Rest auch noch und dazu eine Meldung, dass cmd.exe nicht gefunden wurde. Das Hintergrundbild blieb blau und das war es vor ein paar Tagen definitiv nicht. Dann haben sich einige Programme bei mir gemeldet (Autostart??), eines teilte mir mit, ich könne es nicht ausführen und solle mich doch mit administrativen Rechten anmelden (Ich war doch Admin!!!)... Und der CCleaner wollte auch starten und irgendjemand hat mir mitgeteilt, dass der CCleaner die Registry ändern will (habe ich abgenickt). Dann habe ich den Rechner neugestartet und mich nochmals als Admin angemeldet. Die Meldung mit cmd.exe kam nicht mehr. Wenn ich jetzt cmd.exe ausführe, öffnet sich das Fenster. Ich habe dann noch mal einen gmer-scan versucht (als Admin und mit "als Administrator ausführen"), da hat sich der Rechner wieder aufgehängt. Argh, es wird immer mysteriöser. Ach ja und gestern ist mir bei meinem normalen Benutzerkonto noch aufgefallen, dass Desktopsymbole (die bei mir nach Themen geordnet sind) nach einem Neustart plötzlich ganz wo anders zu finden waren. Das mein Virenscanner vor ein paar Tagen gesponnen hat, habe ich ja schon erwähnt. Er war nicht aktiv, obwohl eingeschalten. Also entweder stelle ich mich saublöd an oder irgendwas stimmt da nicht... |
04.01.2008, 16:30 | #12 |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Daher also die Rootkit Paranoia. Das gemer nicht läuft, Rootkit Revealer wohl auch nicht wollte und Dein Av Programm nicht aktiv war klingt erstmal schlecht. Versuchen wir ModGreper * Lade Modgreper von hier. * Entpacke es nach c:\ * Lade die mg.bat von hier . * Speicher diese auf dem Desktop * Klicke die mg.bat an, ein schwarzes Fenster erscheint * nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz * dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen * poste den Inhalt der modgreper.txt im Forum ---- modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden. |
04.01.2008, 17:45 | #13 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Ok, habe ich gemacht. Beim erstenmal hat sich der Rechner wieder aufgehängt. Dann habe ich mir nochmal die Virensoftware angeguckt und habe entdeckt, dass der Windowsdefender im Sicherheitscenter zweimal aufgeführt wird und habe ihn zum Schweigen gebracht. Spybot war im Schlummermodus, lies sich aber nicht beenden, also habe ich es deinstalliert. Dann lief mg.bat, allerdings so schnell, dass ich nichts gesehen habe, außer dass da ganz kurz ein Fenster aufgetaucht ist. Die erstellte txt-Datei ist leer. Ist das gut? P.S.: Habe mich gefragt, ob Spybot vielleicht schuld dran ist, dass GMER nicht läuft und habe nochmal versucht die Modules zu scannen. Hat sich wieder aufgehängt. |
05.01.2008, 04:44 | #14 | |
> MalwareDB | " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixenZitat:
Die anderen Fehler sind schon seltsam, aber ich denke immer noch das es dann an Vista liegt. |
24.02.2008, 17:54 | #15 |
| " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen Falls es jemanden interessiert, es konnten alle Probleme gelöst werden: 1. Vista entfernen 2. Linux installieren |
Themen zu " Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich" lässt sich nicht fixen |
0 bytes, adobe, asus, bho, defender, explorer, file, firefox, gservice, handel, hijack, hotkey, internet, internet explorer, local\temp, löschen, microsoft, mozilla, mozilla firefox, neustart, rundll, saver, screensaver, software, sophos, symantec, system, temp, trend micro, vista, windows, windows defender, windows sidebar, wmp |