|
Log-Analyse und Auswertung: Hat's mich erwischt, oder hab ich noch mal Glück gehabt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.07.2008, 12:29 | #1 |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Hallo Leute, Ich bin mir nicht sicher, ob mein PC nun infiziert wurde, oder ob ich noch mal Glück hatte. Vor ab: - Server: SBS2003 inkl. Outlook und Exchange - Client: XP - Antivirus: CA eTrust V7, aktuelle Virendefinition - Firewall: Astaro V7 Folgendes Szenario: - In meiner Astaro V7 war eine Mail in der Quarantäne in der Rubrik "Extension Blocked" - Wollte sehen, welcher Anhang geblock wurde - Klick auf Mail Downloaden - Beim Downloaden öffnet sich immer "Thunderbird" - Anhang war eine SCR - Habe die Datei nicht angeklickt oder sonstwas... - Plötzlich schlägt mein eTrust an, "Virus entdeckt" ("Netsky.C") Bin mir leider nicht mehr ganz sicher, was dann alles passierte. Hab auf jeden Fall recht schnell den Netzstecker gezogen. Es könnte sein, dass ein Script ausgeführt wurde. - Hab dann einen vollständigen "genauen" Check mit eTrust gemacht. - eTrust hat nichts gefunden. - Hab dann im Internet geforscht (mit nem anderen Rechner), was Netsky alles machen will. - Habe aber keine dieser Spuren gefunden: - C:\windows\winlogon.exe - HKLM\Software\Mircosoft\windows...\run\ICQ NET - keine EXE-Dateien in "SHAR"-Ordnern Ich hab mal den eScan durchlaufen lassen. Habe ich nun wohl noch mal Glück gehabt...? danke schon mal für Eure Hilfe, Gruß Oberchecker ------------------------------------------------------------ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 9.9.4 Sprache: German C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen. Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall Offending file found: C:\WINDOWS\winhelp.ini Offending file found: C:\WINDOWS\system32\flash.ocx ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ MicroWorld AntiVirus und Antispyware Toolkit. MicroWorld AntiVirus und Antispyware Toolkit. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\spydb.avs, Size: 836341]. Indexed Spyware Databases Successfully Created... System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{3c78b8e2-6c4d-11d1-ade2-0000f8754b99})! Action taken: Keine Maßnahme ergriffen. Objekt "energyplugin Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "energyplugin Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (C:\WINDOWS\winhelp.ini)! Action taken: Keine Maßnahme ergriffen. System found infected with malwarescanner Corrupted Adware/Spyware (C:\WINDOWS\system32\flash.ocx)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hkcr\.dbt)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: D:\Dokumente\dsb Offending Folder found: D:\Dokumente\dsb ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ CScript-Fehler: Der Zugriff auf Windows Script Host wurde fr diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen. ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry DeskCal = C:\PROGRA~1\DESKTO~1\\DeskCal.exe "C:\PROGRA~1\DESKTO~1\" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\A2FREE~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\AV-I38~1.ZIP ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\KIS700~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\mwav.exe ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\PREM_S~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\SPYBOT~3.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\SPYBOT~2.EXE ERROR!!! ScanFile fails for C:\WINDOWS\bthservsdp.dat ERROR!!! ScanFile fails for C:\WINDOWS\TempFile ERROR!!! ScanFile fails for C:\WINDOWS\system32\nvgamesr.dll Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\1vraw4fk.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\1vraw4fk.EXE Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\2ntha5ji.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\2ntha5ji.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\3xhw92qs.zip Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\4lmagv2p.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\4lmagv2p.EXE Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\8846fhhf.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\8846fhhf.EXE Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\eibu28ym.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\eibu28ym.EXE Result: ERROR!!! File C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\hp8ouixi.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\hp8ouixi.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\iwqtpi0j.exe ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\IXP000.TMP\SR1Off97.exe ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\PCCS.msi ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\z8wqkycv.exe ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{A982E~1\NOKIA_~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\SQL-SERV\Fibu\SQL\Backup\FIBU~4.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\SQL-SERV\Fibu\SQL\Backup\FIBU~3.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\SQL-SERV\Fibu\SQL\Backup\FIBU~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\FIBU\FIBU~2.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\LK20~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\ME888C~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\ME894C~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\ME980A~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\ME9881~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\MED181~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200704~1\X\SQL_BA~1\LK20~1\ME1181~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\X\SQL_BA~1\LK20~1\ME894C~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\X\SQL_BA~1\LK20~1\ME980A~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\X\SQL_BA~1\LK20~1\MED181~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\X\SQL_BA~1\LK20~1\ME1181~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\Y\SQL\Backup\FIBU~4.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\Y\SQL\Backup\FIBU~3.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200705~1\Y\SQL\Backup\FIBU~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200717~1\X\SQL_BA~1\LK20~1\MEFA61~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\MECC2E~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\MEC9A3~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\MEC8E0~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\ME2871~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\MEB161~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200719~1\X\SQL_BA~1\LK20~1\MEF961~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200720~1\Dbhh\H\SQL_BA~1\LK20~1\ME88E5~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\SQL-SERV\Fibu\SQL\Backup\FIBU~4.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\SQL-SERV\Fibu\SQL\Backup\FIBU~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\X\SQL_BA~1\LK20~1\ME092C~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\X\SQL_BA~1\LK20~1\ME0A61~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\X\SQL_BA~1\LK20~1\ME39CF~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\ANWEND~1\Ahead\NEROBA~1\INFOFI~1\200726~1\X\SQL_BA~1\LK20~1\ME72CF~1.NCO ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\KIS700~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\Desktop\ANTIVI~1\PREM_S~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\1vraw4fk.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\1vraw4fk.EXE Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\2ntha5ji.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\2ntha5ji.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\3xhw92qs.zip Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\4lmagv2p.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\4lmagv2p.EXE Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\8846fhhf.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\8846fhhf.EXE Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\eibu28ym.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\eibu28ym.EXE Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\hp8ouixi.EXE: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\LOKALE~1\Temp\hp8ouixi.EXE Result: ERROR!!! File C:\Dokumente und Einstellungen\ADMIN001\Lokale Einstellungen\Temp\iwqtpi0j.exe is Not Scanned ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\ADMIN001\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\MSSQL7\Books\sqlbol.chm Result: ERROR!!! File C:\ORGATMP\INTERNET\TMP\20080129170140406.zip: Scanning Failure!!! ERROR!!! ScanFile fails for C:\ORGATMP\INTERNET\TMP\20080129170140406.zip Result: ERROR!!! File C:\ORGATMP\ADMIN001\SELFPACK\ARCS2X\STAMM.ZIP: Scanning Failure!!! ERROR!!! ScanFile fails for C:\ORGATMP\ADMIN001\SELFPACK\ARCS2X\STAMM.ZIP Result: ERROR!!! File C:\ORGATMP\ADMIN001\SELFPACK\language.2: Scanning Failure!!! ERROR!!! ScanFile fails for C:\ORGATMP\ADMIN001\SELFPACK\language.2 Result: ERROR!!! File C:\ORGATMP\R\LOGIKAL\ADMIN001\stamm.zip: Scanning Failure!!! ERROR!!! ScanFile fails for C:\ORGATMP\R\LOGIKAL\ADMIN001\stamm.zip ERROR!!! ScanFile fails for C:\pagefile.sys ERROR!!! ScanFile fails for C:\PROGRA~1\AUTOCA~1\Help\aclt.chm ERROR!!! ScanFile fails for C:\PROGRA~1\AUTOCA~1\Help\ACLT_A~1.CHM ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.1 Company_Standort_M_r #BANZAI-Router C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.2 Company_Standort_M #Linux C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.4 PROD_II C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.6 AV C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.7 CENTERM C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.9 OLM_I C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.10 PROD_I C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.11 OLM_II C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.13 EDV_II C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.14 Compaq C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.20 LACK C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.22 WING C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.23 REITER # derzeit nicht im Netz C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.24 TXT_I C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.27 KOCH C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.28 DBM C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.30 PUTZ C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.31 BEST C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.32 HAUABM C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.33 BDEBACK C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.34 BDE-2 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.40 centerm-i C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.41 OLSM_III C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.42 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.43 CAD-3 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.44 EDV_II C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.60 CAD-1 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.61 CAD-2 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.62 CAD-4 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.63 CAD-5 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.90 Xerox C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.103 Canon-Kopierer C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.200 LAP1 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.201 LAP2 C:\WINDOWS\System32\drivers\etc\hosts:168.192.152.202 LAP3 C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.1 Company_StandortH_r #BANZAI-Router C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.2 Company_StandortH #LIGNOS-Linux C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.3 EDV C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.4 DB C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.5 OLH_IV C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.6 FIB C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.7 SQL-SERV C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.8 OL C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.11 CAD_I C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.18 CADM C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.40 FIBU C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.70 OL_II C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.80 VER_I C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.100 #Kyosera F-1010 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.101 # C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.102 Sharp-Kopierer C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.103 # C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.104 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.110 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.111 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.200 LAP1 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.201 LAP2 C:\WINDOWS\System32\drivers\etc\hosts:168.192.153.202 LAP3 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 85492 Zahl der kritischen Objekte: 10 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 180 Zeit verstrichen: 01:12:07 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Registrierungsdatenbank-Überprüfung: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 12:58:04,07 Batchende: 12:58:08,26 Geändert von OberChecker1 (11.07.2008 um 13:19 Uhr) |
11.07.2008, 12:53 | #2 |
> MalwareDB | Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Ich würde an Deiner Stelle nicht weiter Firmeninterna, die sicherlich noch nicht schlimm sind, dennoch hier nicht zu suchen haben, ins Internet stellen.
__________________Frage bitte einen Admin der sich damit auskennt.
__________________ Geändert von BataAlexander (11.07.2008 um 13:12 Uhr) |
11.07.2008, 13:11 | #3 |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Traurig, aber wahr: Ich bin der Admin :-(
__________________Keine Angst, hab alle sichtbaren IP-Adressen und Namen mit "Suchen&Ersetzen" geändert. Es sind also keine realen Angaben mehr vorhanden. |
11.07.2008, 13:17 | #4 |
> MalwareDB | Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Traurig, aber hart: Dann hast Du den falschen Job. Wenn Du Dich selber nicht mit dem Thema Virenbefall auskennst, so lasse bitte einen externen Sachverständigen kommen. Über die Fernwartung hier kommt man zu schnell zu dem Punkt, dass diese komische machdas.bat ja doch essentiell wichtig war um deinen bestimmten client übers Netzwinzubinden und nein es gibt kein Backup. In diese Situtation möchte ich nicht kommen und auch Fachbetriebe haben das Recht Ihr Schärflein zu verdienen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
11.07.2008, 13:26 | #5 |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Hallo Alexander, nun ja, meine Qualifikation sei mal dahingestellt. Es geht mir ja im Moment darum, zu erfahren, ob der eScan schon was festgestellt hat, oder nicht. Wenn jemand sagt: "Ohh, das-und-das sieht aber schlimm aus" werde ich mir immer noch geeignete Maßnahmen überlegen. Deswegen wäre ich froh, wenn mir jemand etwas zu meinem geposteten Skript sagen könnte |
11.07.2008, 13:47 | #6 |
> MalwareDB | Hat's mich erwischt, oder hab ich noch mal Glück gehabt? eScan ist imho dafür nicht geeignet. Alles was Du getan hast war an sich falsch, einzig eTrust hat Dich dran gehindert die Datei weiter auszuführen, indem der Guard die Datei beim schreiben auf die Festplatte bzw. kurz dannach prüfte uns gelöscht hat.
__________________ --> Hat's mich erwischt, oder hab ich noch mal Glück gehabt? |
11.07.2008, 15:13 | #7 | |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Hab gerde noch mal mit nem Techniker von unserem Systemhaus telefoniert. Zusammen sind wir einige Einstellungen durchgegangen. Wir sind zu dem Schluss gekommen, dass mein eTrust den Wurm in dem Moment gestoppt hat, als er loslegen wollte. Die Einstellung vom Echtzeit-Scan war auf "Löschen" eingestellt, so dass ich in der Protokoll-Ansicht auch nur noch sehen kann, dass mein eTrust heute morgen den Wurm NetskyC überführt hat. Leider kann ich Deine Meinung nicht ganz nachvollziehen. Und einfach zu behaupten, ich hätte ALLES falsch gemacht, finde ich dann doch etwas zu platt. - Firewall aktiv und aktuell (korrekt) - eTrust aktiv und aktuell (korrekt) - bei Verdacht sofort Netzwerk gezogen (zumindest nicht das Schlechteste) - Verschiedene Virenscanner den Client (und den Server) checken lassen (korrekt) - Eine als "Extension Blocking" Markierte Email downgeladen: Geb ich zu, das war blöd. Aber meiner Meinug nach nicht vorher zu sehen. Ich hätte erwartet, dass so eine Mail im "infected"-Ordner landet. Außerdem hätte ich NICHT erwartet, dass das Script automatisch losläuft Wobei ich ja nicht mal sagen kann, ob nun das virus-Script oder mein eTrust ausgeführt wurde... Zitat:
Wieso hat eTrust MICH daran gehindert, die Datei auszuführen?? Also soo blöd bin ich nun auch nicht, dass ich diese Datei auch noch angeklickt hätte. - Vielen Dank!!- Also einigen wir uns darauf: - ich war so blöd, eine bereits suspekte Mail runter zu laden (geb ich zu!) - Meine Technik war aber auf dem neuesten Stand (was ich täglich kontrolliere!!) . Das Virus hat keinen Schaden anrichten können. Und dafür ist das Programm schließlich da! - Mit allen weiteren Aktionen habe ich zumindest keinen weiteren Schaden angerichtet, und mein Systemhaus ist der Meinung, dass alles OK sei... In diesem Sinne: 'n schön' Tach noch |
11.07.2008, 16:51 | #8 | ||
> MalwareDB | Hat's mich erwischt, oder hab ich noch mal Glück gehabt?Zitat:
Zitat:
Eine Glanzleistung war das so oder so nicht, dass hast Du aber ja selber schon bemerkt.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
11.07.2008, 17:15 | #9 |
Administrator > Competence Manager | Hat's mich erwischt, oder hab ich noch mal Glück gehabt? @oberchecker1 Schau doch mal ob es eine Datei gibt die modifiziert wurde, zu finden unter C:\Windows\winlogon.exe Desweiteren nachsehen ob es hier Auffälligkeiten gibt: Code:
ATTFilter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key Ist dies alles nicht geschehen sollte auch keine Infizierung stattgefunden haben.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
11.07.2008, 17:16 | #10 | |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Also meine ursprüngliche Hoffnung war ja, dass jemand meine eScan-Auswertung irgendwie überprüft, und einen entsprechenden Hinweis abgibt, was zu tun wäre. SO ETWAS hätte ich gerne gelesen... <edit> Oder eben: eScan ist Quatsch. Starte mit Programm XYZ, mache dann ABC und danach DEF... So was hätte sich bestimmt auch gut gelesen... </edit> Zitat:
Dafür wurde ja auch dieses Forum geschaffen. Und ich denke, dass 99% aller Fälle, die hier gepostet werden, wesentlich fahrlässiger gehandelt haben, als ich! (z.B. gar keine AntiVirus-Software, oder auf sonstigen ominösen Seiten gesurft...) Geändert von OberChecker1 (11.07.2008 um 17:28 Uhr) |
11.07.2008, 17:42 | #11 | |
> MalwareDB | Hat's mich erwischt, oder hab ich noch mal Glück gehabt?Zitat:
Im Zweiten Gang hast Du es ja richtig gemacht und jemand internen gefragt, der sich mit Eurem Netz auskennt, wie ich es auch bereits geschrieben hatte. Fehler machen wir alle, aber wir müssen damit umgehen können.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
21.05.2009, 12:46 | #12 |
| Hat's mich erwischt, oder hab ich noch mal Glück gehabt? Hilfe Hilfe Hilfe! :< Ich hab keine Ahnung warum, aber mien Antivir (ja, neue version geupdated blabla) zeigt mir immer 3 Warnungen an, die wie folgt im Report erscheinen: ----------------------------------------------------------------------------------------------- Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows.old\Users\....\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HHT54JWQ\swflash[1].cab [0] Archivtyp: CAB (Microsoft) --> FP_AX_CAB_INSTALLER.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Ende des Suchlaufs: Mittwoch, 20. Mai 2009 17:37 Benötigte Zeit: 1:36:18 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 34213 Verzeichnisse wurden überprüft 327798 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 327796 Dateien ohne Befall 1848 Archive wurden durchsucht 3 Warnungen 0 Hinweise --------------------------------------------------------------------------------------------------------------- besonders zerbreche ich mir den kopf über : "C:\Windows.old\Users\... \Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HHT54JWQ\swflash[1].cab [0] Archivtyp: CAB (Microsoft) --> FP_AX_CAB_INSTALLER.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen." 1. Seit kurzem ist diese 3. Warnung dabei 2. .CAB ist doch eine virtuelle "Tür" oder nicht? 3. hab diese datei mal an virustotal geschickt, und es kam folgendes Ergebnis: -------------------------------------> Datei swflash_1_.cab empfangen 2009.05.20 20:22:49 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/39 (2.57%) File size: 365804 bytes MD5...: 451f92561f350c89cca30b886d169316 SHA1..: 2211e699793cc0e03b2b0b4a693eddd821222c89 SHA256: a3fa0dd1d56845738da34c3a1368613c67e4b5f26c4bb9898b1a6d058c122379 SHA512: a1a0d996e4d365fd6bbad1da2b270cda8483092d0a708f2ff7da883fb17a13a8 d5abfb540ffaa08c1abe718c38eb0a3c1a1a41e95541fba8f8a0b6f955f3b4e1 ssdeep: 6144:l40wcKaRW5mo00A3WQd8wDoMmTMEP/0vI1gIyQj4iSnbYMpvB:lz2aM5V7A 3v8wMYEEMggApvB PEiD..: - TrID..: File type identification Microsoft Cabinet Archive (99.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set ------------------------------------------------------------------------------------------------------------ Bevor ich diese 3.warnung nun immer bekam meldete mein Antivir einen Virusbefall gefunden zu haben, den ich dann schnell gelöscht habe. ISt er nun weg oder ist diese 3. warnung eine sperrangelweite tür für meinen pc? O_o Hab ich nochmal Glückgehabt? Traue mich nicht an mein Online Banking, oder wow account ohne mehr Infos Hab im Inet gelesen das so ein Dialer rumgeht? Geändert von Wesen87 (21.05.2009 um 13:20 Uhr) |
Themen zu Hat's mich erwischt, oder hab ich noch mal Glück gehabt? |
1.exe, administrator, adware, antispyware, antivirus, computer, dateisystem, desktop, drivers, einstellungen, exe-dateien, fehlalarm, firewall, infiziert, internet, kis, maßnahme, mssql, nicht sicher, programme, prozesse, quara, registrierungsdatenbank, registry, server, software, spyware, standort, system, temp, windows, windows script host, windows xp, windows\system32\drivers, öffnet |