| |
| |||||||
Log-Analyse und Auswertung: Sprechender Wurm + CiD problemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.02.2008, 17:17
| #1 |
| |  Sprechender Wurm + CiD problem Hallo! Ich habe schon zuvor böse erfahrung mit Viren gehabt, aber so etwas noch nie: Der sprechende Wurm (du willst alles haben, du willst nicht das alte, du willst die power, du willst es jetzt!). Hab gesehen, dass jemand ein ähnliches Problem schon ein mal hatte aber gefunden wurde damals nichs, weil kein HJT-log dabei war - das ändere ich jetzt! Das ist ganz neu, eben vor 30 minuten passiert, und zwar war die einzige Deutsche Webseite die ich besucht habe (also *NICHT KLICKEN*) http://www.halomods.bungie.at/. Ich kann mir nicht vorstellen dass englische Seiten einen deutschsprachigen Wurm hätten, mag aber wohl sein. Das Andere ist dass ich jetzt IE im offline-modus schalten musste weil ständig Fenster aufgingen, die von der CiD Werbeagentur stammen. Zwar mag ich IE sowieso nicht aber manchmal brauch ich es schon. Jetzt will es immer von offline-modus ins online-modus geschalten werden. Also, zum HJT-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:15:02, on 21.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Steam\Steam.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\system32\gzmrt.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Dale locks] C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201093727265 O17 - HKLM\System\CCS\Services\Tcpip\..\{E5DE4994-52CA-4DA1-84AA-D7D627331F34}: NameServer = 213.94.78.16 213.94.78.17 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 6180 bytes Veoh und Free Download manager sind angeblich *clean* Produkte, also weiss ich nicht was es sein könnte. Bedanke mich recht herzlich schon im Voraus! |
|
21.02.2008, 17:25
| #2 | |
  | Sprechender Wurm + CiD problem Hi,
__________________lass folgende Dateien mal online prüfen: C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\system32\gzmrt.dll virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat:
chris
__________________ |
|
21.02.2008, 17:37
| #3 |
| | Sprechender Wurm + CiD problem C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe findet sich nicht - sehr eigenartig!
__________________Habe auch Manuel gesucht, nicht zu sehen... |
|
21.02.2008, 18:07
| #4 |
| | Sprechender Wurm + CiD problem Datei sm56hlpr.exe empfangen 2008.02.21 17:45:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/31 (0%) Datei gzmrt.dll empfangen 2008.02.18 20:02:31 (CET) Status: Beendet Ergebnis: 8/32 (25.00%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.18.0 2008.02.18 - AntiVir 7.6.0.67 2008.02.18 ADSPY/AdRotator.Gen Authentium 4.93.8 2008.02.17 - Avast 4.7.1098.0 2008.02.18 - AVG 7.5.0.516 2008.02.18 Adware Generic2.ABZT BitDefender 7.2 2008.02.18 Adware.AdRotator.Gen CAT-QuickHeal 9.50 2008.02.16 AdWare.TrafficSol.v (Not a Virus) ClamAV 0.92.1 2008.02.18 - DrWeb 4.44.0.09170 2008.02.18 - eSafe 7.0.15.0 2008.02.17 - eTrust-Vet 31.3.5546 2008.02.18 - Ewido 4.0 2008.02.18 - FileAdvisor 1 2008.02.18 - Fortinet 3.14.0.0 2008.02.18 - F-Prot 4.4.2.54 2008.02.17 - F-Secure 6.70.13260.0 2008.02.18 - Ikarus T3.1.1.20 2008.02.18 AdWare.AdRotator Kaspersky 7.0.0.125 2008.02.18 not-a-virus:AdWare.Win32.TrafficSol.v McAfee 5232 2008.02.18 - Microsoft 1.3204 2008.02.18 - NOD32v2 2883 2008.02.18 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.17 - Prevx1 V2 2008.02.18 - Rising 20.32.02.00 2008.02.18 - Sophos 4.26.0 2008.02.18 - Sunbelt 3.0.884.0 2008.02.18 - Symantec 10 2008.02.18 - TheHacker 6.2.9.223 2008.02.18 Adware/TrafficSol.v VBA32 3.12.6.1 2008.02.17 - VirusBuster 4.3.26:9 2008.02.18 - Webwasher-Gateway 6.6.2 2008.02.18 Ad-Spyware.AdRotator.Gen Sind beide also nicht als auffälig angekommen. Was mich verwirrt ist eben diese "PlusPeak" Datei, keine Ahnung was sie ist. Drinnen sind zwei Anwendungen, dich ich jetzt mal gleich zum Spaß überprüfen lasse: "Eq slow store" und "isibmezk". Und eben nicht dieses owns love mags.exe... EDIT: aha! Datei Eq_slow_store.exe empfangen 2008.02.21 18:09:00 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 6/32 (18.75%) Laden der Serverinformationen... Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.21 - AntiVir 7.6.0.67 2008.02.21 TR/Dldr.Swizzor.Gen Authentium 4.93.8 2008.02.21 Possibly a new variant of W32/Swizzor-based!Maximus Avast 4.7.1098.0 2008.02.20 - AVG 7.5.0.516 2008.02.21 - BitDefender 7.2 2008.02.21 - CAT-QuickHeal 9.50 2008.02.20 - ClamAV None 2008.02.21 - DrWeb 4.44.0.09170 2008.02.21 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5552 2008.02.21 - Ewido 4.0 2008.02.21 - FileAdvisor 1 2008.02.21 - Fortinet 3.14.0.0 2008.02.21 - F-Prot 4.4.2.54 2008.02.20 W32/Swizzor-based!Maximus F-Secure 6.70.13260.0 2008.02.21 - Ikarus T3.1.1.20 2008.02.21 - Kaspersky 7.0.0.125 2008.02.21 - McAfee 5234 2008.02.20 - Microsoft 1.3204 2008.02.20 - NOD32v2 2893 2008.02.21 - Norman 5.80.02 2008.02.21 - Panda 9.0.0.4 2008.02.21 - Prevx1 V2 2008.02.21 - Rising 20.32.32.00 2008.02.21 - Sophos 4.26.0 2008.02.21 Mal/Swizzor-C Sunbelt 3.0.884.0 2008.02.21 - Symantec 10 2008.02.21 - TheHacker 6.2.9.225 2008.02.21 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.21 Trojan.DL.Swizzor.Gen!Pac.2 Webwasher-Gateway 6.6.2 2008.02.21 Trojan.Dldr.Swizzor.Gen weitere Informationen und die andere Datei isibmezk.exe empfangen 2008.02.21 18:22:39 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 7/32 (21.88%) Laden der Serverinformationen... Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.21 - AntiVir 7.6.0.67 2008.02.21 TR/Dldr.Swizzor.Gen Authentium 4.93.8 2008.02.21 Possibly a new variant of W32/Swizzor-based!Maximus Avast 4.7.1098.0 2008.02.20 - AVG 7.5.0.516 2008.02.21 - BitDefender 7.2 2008.02.21 - CAT-QuickHeal 9.50 2008.02.20 - ClamAV 0.92.1 2008.02.21 - DrWeb 4.44.0.09170 2008.02.21 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5552 2008.02.21 - Ewido 4.0 2008.02.21 - FileAdvisor 1 2008.02.21 - Fortinet 3.14.0.0 2008.02.21 - F-Prot 4.4.2.54 2008.02.20 W32/Swizzor-based!Maximus F-Secure 6.70.13260.0 2008.02.21 - Ikarus T3.1.1.20 2008.02.21 Trojan-Downloader.Swizzor Kaspersky 7.0.0.125 2008.02.21 - McAfee 5234 2008.02.20 - Microsoft 1.3204 2008.02.20 - NOD32v2 2893 2008.02.21 - Norman 5.80.02 2008.02.21 - Panda 9.0.0.4 2008.02.21 - Prevx1 V2 2008.02.21 - Rising 20.32.32.00 2008.02.21 - Sophos 4.26.0 2008.02.21 Mal/Swizzor-C Sunbelt 3.0.884.0 2008.02.21 - Symantec 10 2008.02.21 - TheHacker 6.2.9.225 2008.02.21 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.21 Trojan.DL.Swizzor.Gen!Pac.2 Webwasher-Gateway 6.6.2 2008.02.21 Trojan.Dldr.Swizzor.Gen Geändert von morrybyte (21.02.2008 um 18:40 Uhr) |
|
22.02.2008, 12:54
| #6 |
| | Sprechender Wurm + CiD problem Habe die Anweisungen gefolgt, aber die Datei ist einfach nicht da. Vielleicht haben ja die Datein in meinem Edit vom vorrigen Post was damit zu tun? |
|
22.02.2008, 13:40
| #7 |
| | Sprechender Wurm + CiD problem Hi, Swizzor, gehe nach folgender Anleitung vor: http://www.trojaner-board.de/28388-a...ntfernung.html Zum Suchen: Swizzor :: Swizzor Removal Instructions chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu Sprechender Wurm + CiD problem |
| ad-aware, alert, avg, bho, browser, cid, dll, e-mail, explorer, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, plug-in, problem, programme, rundll, s-1-5-18, seiten, software, system, viren, windows, windows xp, wurm |
Linear-Darstellung
