|
Plagegeister aller Art und deren Bekämpfung: Scriptvirus ?! html/rce.genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.09.2008, 08:41 | #1 |
| Scriptvirus ?! html/rce.gen Hallo forum. wie der titel schon sagt habe ich ein problem mit dem scriptvirus html/rce.gen Falls das thema im falschen forum ist bitte verschieben! ich habe schon google und die sufu genuzt aber nichts gefunden was mir wirklich hilft oder mein problem lösen kann. Das einzigste was ich bisher rausgefunden habe das viele diesen virus durch eine eigene homepage haben,was bei mir allerdings nicht der fall ist und ich mir deswegen nicht erklären kann wo ich denn virus her habe. ich verstehe auch nicht viel von trojanern oder anderen viren nur das die böse sachen machen können :P nunja ich hoffe das ihr mir irgendwie helfen könnt. Als ich antivir durchlaufen lassen habe weil meine festplatten nur noch durch rechtsklick "öffnen" geöffnet werden können,zeigt mir antivir denn genannten virus,erstmal habe ich auf löschen gedrückt und dachte das thema wäre damit erledigt. Nach 5 minuten ungefähr kamm antivir wieder mit der selben meldung. C:/BLOKKMONSTA.vbs Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.gen da meine festplatte in 3 teile aufgeteilt ist(C, D und E) habe ich denn virus auf jedem festplattenteil. Nach der 2 virusmeldung habe ich denn virus in Quarantäne verschoben. naja hat genau so wenig geholfen, alle 5 minuten kommt die meldung und egal was ich anklicke es kommt immer wieder. Momentan bin ich echt am verzweifeln,weil ich nicht weis wie das problem zu lösen ist.Ich verstehe auch nicht viel von diesen ganzen logs und so was hier gepostet wird deswegen bitte ich um etwas rücksicht und nicht das ich hier mit fachwörten zugeballert werde^^ ich poste euch mal denn bericht denn antivir ausgespuckt hat. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 1. September 2008 08:56 Es wird nach 1369550 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: opfer Computername: BLOKKMONSTA Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15 ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53 ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47 Engineversion : 8.1.1.19 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.63 311673 Bytes 06.08.2008 13:13:47 AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49 AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48 AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 06:35:21 AEHEUR.DLL : 8.1.0.47 1368437 Bytes 06.08.2008 13:13:47 AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48 AEGEN.DLL : 8.1.0.35 315764 Bytes 06.08.2008 14:38:47 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21 AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21 AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Windows Systemverzeichnis Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\setupprf.dat Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 1. September 2008 08:56 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TTTVRC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscript.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '35' Prozesse mit '35' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\BLOKKMONSTA.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. Die Registry wurde durchsucht ( '60' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\WINDOWS\system32' Ende des Suchlaufs: Montag, 1. September 2008 08:59 Benötigte Zeit: 02:50 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 168 Verzeichnisse wurden überprüft 6538 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 6537 Dateien ohne Befall 4 Archive wurden durchsucht 1 Warnungen 1 Hinweise ich hoffe auf schnelle hilfe =) mfg locha PS: wer rechtschreibfehler findet darf sie behalten :P Geändert von Locha1988 (01.09.2008 um 08:48 Uhr) |
01.09.2008, 09:22 | #2 |
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.gen Halli hallo Locha1988 und
__________________Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete: C:\WINDOWS\system32\BLOKKMONSTA.vbs C:\BLOKKMONSTA.vbs D:\BLOKKMONSTA.vbs E:\BLOKKMONSTA.vbs
Systemanalyse
__________________ |
01.09.2008, 09:57 | #3 |
| Scriptvirus ?! html/rce.gen Danke erstmal für die schnelle antwort =)
__________________Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\BLOKKMONSTA.vbs" not found! Deletion of file "C:\WINDOWS\system32\BLOKKMONSTA.vbs" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\BLOKKMONSTA.vbs" deleted successfully. File "D:\BLOKKMONSTA.vbs" deleted successfully. File "E:\BLOKKMONSTA.vbs" deleted successfully. Completed script processing. ******************* Finished! Terminate. http://rapidshare.de/files/40367548/avz_sysinfo.zip.html mfg Locha |
01.09.2008, 10:14 | #4 | |
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.genDateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Führe dieses Skript mit AVZ aus (File->Custom Skript) Code:
ATTFilter begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); BC_DeleteFile('rmzog.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Melde dich danach mit einer frischen Problem- bzw. Besserungsbeschreibung
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 10:26 | #5 |
| Scriptvirus ?! html/rce.gen * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! _______________________________ welchen dateipfad meinst du? habe jetzt auch versteckte datei offen aber ich weis nicht was ich jetzt bei virustotal eingeben muss |
01.09.2008, 10:28 | #6 | |
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.gen Na die: Zitat:
__________________ --> Scriptvirus ?! html/rce.gen |
01.09.2008, 11:15 | #7 |
| Scriptvirus ?! html/rce.gen hätt ich mir auch denken können^^ naja erstmal die beiden sachen die ich mit virustotal gescannt habe,hoffe hab es richtig abkopiert! WINAMP : Datei winampa.exe empfangen 2008.09.01 11:43:44 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.09.01 - AntiVir 7.8.1.23 2008.09.01 - Authentium 5.1.0.4 2008.09.01 - Avast 4.8.1195.0 2008.08.31 - AVG 8.0.0.161 2008.09.01 - BitDefender 7.2 2008.09.01 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.09.01 - DrWeb 4.44.0.09170 2008.09.01 - eSafe 7.0.17.0 2008.08.31 - eTrust-Vet 31.6.6057 2008.08.29 - Ewido 4.0 2008.08.31 - F-Prot 4.4.4.56 2008.09.01 - F-Secure 7.60.13501.0 2008.09.01 - Fortinet 3.14.0.0 2008.09.01 - GData 19 2008.09.01 - Ikarus T3.1.1.34.0 2008.09.01 - K7AntiVirus 7.10.433 2008.08.30 - Kaspersky 7.0.0.125 2008.09.01 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3403 2008.09.01 - Norman 5.80.02 2008.08.29 - Panda 9.0.0.4 2008.08.31 - PCTools 4.4.2.0 2008.08.31 - Prevx1 V2 2008.09.01 - Rising 20.60.01.00 2008.09.01 - Sophos 4.33.0 2008.09.01 - Sunbelt 3.1.1592.1 2008.08.30 - Symantec 10 2008.09.01 - TheHacker 6.3.0.6.068 2008.08.30 - TrendMicro 8.700.0.1004 2008.09.01 - VBA32 3.12.8.4 2008.08.31 - ViRobot 2008.9.1.1359 2008.09.01 - VirusBuster 4.5.11.0 2008.08.31 - Webwasher-Gateway 6.6.2 2008.09.01 - weitere Informationen File size: 37376 bytes MD5...: 725524f7ef2aaefe4ffdcb1d8c7b7434 SHA1..: 9f0a75267eef4308d14fe30904ab79a54f403849 SHA256: c0630cd263d09e950c93dd3b8962c81e8ee990f1707114945fd64a2229c6c09f SHA512: 4c48c5f672fedb59a1a59300320dc571b39f0b7c78f8efae2963872c35a65438 4546072690a0a915ea2a1b41a62e1083e11b5fcc2715c67c5ee3611e502ed446 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401fdb timedatestamp.....: 0x476a8749 (Thu Dec 20 15:16:25 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x161d 0x1800 5.93 db894e1a71d8d4a091cb6a72da54d70b .rdata 0x3000 0xa31 0xc00 4.71 255349b675a6f519feba36a9348a3fca .data 0x4000 0x3144 0x200 0.87 6f62577d176c3c5b809c935002fdf2e0 .rsrc 0x8000 0x6668 0x6800 3.51 0aabf1a498ad6b98e80465e2e6a7addc ( 5 imports ) > KERNEL32.dll: LoadLibraryExA, GetPrivateProfileIntA, CloseHandle, SetFilePointer, CreateFileA, GetVolumeInformationA, SetErrorMode, FreeLibrary, GetLogicalDrives, GetTickCount, lstrcpyA, lstrcatA, GetModuleFileNameA, GetModuleHandleA, GetEnvironmentVariableA, ExitProcess, ReadFile, GetPrivateProfileStringA, lstrcmpiA, lstrlenA, GetDriveTypeA, lstrcmpA > USER32.dll: GetAsyncKeyState, SendMessageA, GetWindowTextW, FindWindowA, DispatchMessageA, GetMessageA, MessageBoxA, CreateWindowExA, RegisterClassA, RegisterWindowMessageA, SetForegroundWindow, CharNextA, CharNextW, DestroyMenu, LoadImageA, DestroyIcon, DefWindowProcA, DestroyWindow, PostQuitMessage, SetTimer, CreatePopupMenu, GetCursorPos, InsertMenuItemA, TrackPopupMenu, EnableMenuItem, wsprintfA, SetMenuDefaultItem > ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyA, RegDeleteValueA, RegQueryValueExA, RegOpenKeyA > SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, ShellExecuteA, Shell_NotifyIconW > NSCRT.dll: atoi ( 0 exports ) ________________________ TTTVRC: Datei TTTVRC.exe empfangen 2008.09.01 11:36:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/35 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.29.0 2008.09.01 - AntiVir 7.8.1.23 2008.09.01 - Authentium 5.1.0.4 2008.09.01 - Avast 4.8.1195.0 2008.08.31 - AVG 8.0.0.161 2008.09.01 - BitDefender 7.2 2008.09.01 - CAT-QuickHeal 9.50 2008.08.29 - ClamAV 0.93.1 2008.09.01 - DrWeb 4.44.0.09170 2008.09.01 - eSafe 7.0.17.0 2008.08.31 - eTrust-Vet 31.6.6057 2008.08.29 - Ewido 4.0 2008.08.31 - F-Prot 4.4.4.56 2008.09.01 - Fortinet 3.14.0.0 2008.09.01 - GData 19 2008.09.01 - Ikarus T3.1.1.34.0 2008.09.01 - K7AntiVirus 7.10.433 2008.08.30 - Kaspersky 7.0.0.125 2008.09.01 - McAfee 5373 2008.08.29 - Microsoft 1.3807 2008.08.25 - NOD32v2 3403 2008.09.01 - Norman 5.80.02 2008.08.29 - Panda 9.0.0.4 2008.08.31 - PCTools 4.4.2.0 2008.08.31 - Prevx1 V2 2008.09.01 - Rising 20.60.01.00 2008.09.01 - Sophos 4.33.0 2008.09.01 - Sunbelt 3.1.1592.1 2008.08.30 - Symantec 10 2008.09.01 - TheHacker 6.3.0.6.068 2008.08.30 - TrendMicro 8.700.0.1004 2008.09.01 - VBA32 3.12.8.4 2008.08.31 - ViRobot 2008.9.1.1359 2008.09.01 - VirusBuster 4.5.11.0 2008.08.31 - Webwasher-Gateway 6.6.2 2008.09.01 - weitere Informationen File size: 204800 bytes MD5...: ef75b1a14a8d17acd54bc711edfef360 SHA1..: 16e5beee76986d95a1a70552d2a96c3840e3edda SHA256: 3ad795ae99da6c27f1af0d6be57ed692f150ff23e1747ebdb345f7e5fe98c20e SHA512: 9ca9fc8bac30c56bb69be1772438e439a2b41279c7169bc2a708689334791654 92c94730643a315d1d6e4a796f589826b8f83119ddaba6f3176ae41250c07453 PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (75.0%) Win32 Executable Generic (16.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4110bd timedatestamp.....: 0x3cea1bb8 (Tue May 21 10:04:40 2002) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x117a2 0x12000 6.14 a6fa6899d2bdcc5c45a89ed727fd3d83 .rdata 0x13000 0x3d52 0x4000 4.64 20e239165fe808b125335dd19845a776 .data 0x17000 0x142cc 0x2000 4.52 467fdc1ca40744fa74c57b9f66b6a1b3 .rsrc 0x2c000 0x18010 0x19000 4.17 df64feb936c481be8efe88f79bb6c5ad ( 11 imports ) > WINMM.dll: timeGetTime > SHLWAPI.dll: PathIsDirectoryA, PathAddExtensionA, PathRemoveFileSpecA, PathFileExistsA, PathFindFileNameA, PathFindExtensionA, UrlCreateFromPathA, PathCombineA > SHFOLDER.dll: SHGetFolderPathA > MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _terminate@@YAXXZ, _except_handler3, _controlfp, setlocale, sscanf, fprintf, _mbscmp, sprintf, fopen, fclose, _setmbcp, wcsncpy, _purecall, __CxxFrameHandler > KERNEL32.dll: CloseHandle, FindFirstFileA, FindNextFileA, GetSystemDirectoryA, GetCurrentDirectoryA, OpenProcess, FindClose, GetProcAddress, LoadLibraryA, FreeLibrary, GetModuleFileNameA, MulDiv, GetVersionExA, WritePrivateProfileSectionA, GetPrivateProfileSectionA, WritePrivateProfileStringA, GetLocaleInfoA, GetUserDefaultLCID, GetLastError, SetThreadLocale, lstrcpyA, GetPrivateProfileStringA, LoadResource, lstrlenA, GetPrivateProfileIntA, GetPrivateProfileSectionNamesA, FindResourceExA, CreateSemaphoreA, Sleep, GetTickCount, GetStartupInfoA, GetModuleHandleA, GetWindowsDirectoryA > USER32.dll: LoadAcceleratorsA, OffsetRect, GetWindowRect, PtInRect, InvalidateRect, UpdateWindow, UnionRect, GetFocus, GetWindowTextA, FrameRect, SetClassLongA, TranslateAcceleratorA, GetDC, AppendMenuA, CreateMenu, MapVirtualKeyA, GetKeyState, LoadCursorA, SendInput, IsZoomed, SetTimer, PostMessageA, SetActiveWindow, SetScrollPos, GetScrollPos, GetScrollRange, IsIconic, LoadIconA, PostQuitMessage, RegisterHotKey, GetSystemMetrics, AnimateWindow, BringWindowToTop, GetWindowModuleFileNameA, FindWindowA, IsWindow, SetWindowPos, SetForegroundWindow, GetParent, GetWindowThreadProcessId, IsRectEmpty, CopyRect, GetClientRect, SetRectEmpty, EnableWindow, EnumWindows, InflateRect, IsWindowVisible, IsWindowEnabled, SendMessageA, IsChild, GetClassNameA, GetWindow, KillTimer, LoadImageA, LockWindowUpdate > GDI32.dll: BitBlt, CreateCompatibleDC, GetObjectA, CreateSolidBrush, GetTextMetricsA, CreateFontIndirectA, GetDeviceCaps > ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > SHELL32.dll: ShellExecuteA, SHBrowseForFolderA, SHGetPathFromIDListA, SHGetMalloc, ExtractIconA > ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize ( 0 exports ) |
01.09.2008, 11:17 | #8 |
| Scriptvirus ?! html/rce.gen Der neue Log vom Antivir nach dem scan! Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 1. September 2008 11:53 Es wird nach 1369550 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: BLOKKMONSTA Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15 ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53 ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47 Engineversion : 8.1.1.19 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.63 311673 Bytes 06.08.2008 13:13:47 AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49 AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48 AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 06:35:21 AEHEUR.DLL : 8.1.0.47 1368437 Bytes 06.08.2008 13:13:47 AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48 AEGEN.DLL : 8.1.0.35 315764 Bytes 06.08.2008 14:38:47 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21 AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21 AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 1. September 2008 11:53 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TTTVRC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '60' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\FAULESOBST.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910bbd0.qua' verschoben! C:\KILLA.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907bbd8.qua' verschoben! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000009.sys [FUND] Ist das Trojanische Pferd TR/Agent.AFQN.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbc67.qua' verschoben! C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000016.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4961f0c0.qua' verschoben! C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000017.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbc69.qua' verschoben! Beginne mit der Suche in 'D:\' D:\FAULESOBST.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910bd8b.qua' verschoben! D:\KILLA.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907bd94.qua' verschoben! D:\PROTZEL.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490abd9d.qua' verschoben! D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000018.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe39.qua' verschoben! D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000019.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4961f292.qua' verschoben! D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000020.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fa.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000004.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3a.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000099.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fb.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000138.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3b.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000233.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fc.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000248.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3d.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000341.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3c.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000370.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fd.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000391.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3e.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000426.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446ff.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000460.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fe.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000471.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3f.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000490.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944680.qua' verschoben! D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000522.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe41.qua' verschoben! Beginne mit der Suche in 'E:\' E:\FAULESOBST.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910be4f.qua' verschoben! E:\KILLA.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907be57.qua' verschoben! E:\PROTZEL.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490abe60.qua' verschoben! E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0002595.exe [FUND] Enthält Code des Windows-Virus W32/Parite [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf8f.qua' verschoben! E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0002825.exe [FUND] Enthält Code des Windows-Virus W32/Parite [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf99.qua' verschoben! E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0003159.exe [FUND] Enthält Code des Windows-Virus W32/Parite [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9d.qua' verschoben! E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000021.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4994475e.qua' verschoben! E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000022.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9e.qua' verschoben! E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000023.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4994475f.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000006.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9f.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000101.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa1.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000140.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944762.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000235.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa3.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000250.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944764.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000343.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa4.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000372.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944765.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000393.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa6.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000428.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944767.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000462.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa5.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000473.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944766.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000492.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa7.qua' verschoben! E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000524.vbs [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa8.qua' verschoben! Ende des Suchlaufs: Montag, 1. September 2008 12:09 Benötigte Zeit: 16:53 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 5055 Verzeichnisse wurden überprüft 126671 Dateien wurden geprüft 46 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 46 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 126624 Dateien ohne Befall 706 Archive wurden durchsucht 1 Warnungen 46 Hinweise Inzwischen piept antivir nichmehr alle 5 minuten,wenigstens schonmal etwas^^ aber das es jetzt 46 funde gab macht mir doch etwas sorgen. was mir auch auffällt ist das wenn ich mein IE öffner oben " Hacked by Blokkmonsta" steht was bedeutet das?ist es etwas schlimmes? mfg Locha Geändert von Locha1988 (01.09.2008 um 11:54 Uhr) |
01.09.2008, 12:54 | #9 |
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.gen Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 13:07 | #10 |
| Scriptvirus ?! html/rce.gen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:40:39, on 01.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE E:\Programme\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\opfer\Desktop\Neuer Ordner\This.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BLOKKMONSTA R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 4609 bytes was bringen diese ganzen logfiles überhaupt,für mich sind das alles nur lauter ?? verstehe echt nix davon Geändert von Locha1988 (01.09.2008 um 13:41 Uhr) |
01.09.2008, 13:59 | #11 |
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.gen Grrr. Da taucht nichts auf. Das ist neu. Während der weiteren Prozedur den Rechner nicht neustarten! Und die Systemwiederherstellung bleibt ausgeschaltet! 1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen. 2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden. 4. Mache einen Vollscan mit AntiVir (aggressive Einstellungen). Lösche alles was gefunden wird. 5. Suche wie in meiner Sigantur beschrieben wird nach .vbs Die Funde benne bitte umbennen lassen in ...Dateiname.vir[vbs]. 6. Deine Festplatten nach Dateien mit dem Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen. 7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich solltest Du auch vorher in C:\Windows\system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows. 8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten. Grüße gehen an KarlKarl
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 14:40 | #12 |
| Scriptvirus ?! html/rce.gen Mein antivir hat nix mehr gefunden,warum auch immer habe alle datein die ich vor dem vorigen durchlaufe in Quarantäne verschoben hatte gelöscht. die ganzen .vbs datein die ich gefunden habe sollte ich ja in dateiname.vir[vbs] umbennen. dann sagt er mir das die datein unbrauchbar werden,da die datein alle im system32 ordner sind,mach ich mir etwas sorgen das mein system dann nicht mehr funkioniert oder sind es wirklich unbrauchbare datein die sich auf denn pc geschlichen haben und bedenkenlos gelöscht werden können? falls ja wie werden die datein gelöscht per hand oder dann durch antivier,wegen der umbenneung? die prozesse script.exe bzw. cscript.exe liefen überhaupt nicht bzw. habe ich bei prozesse gar nicht gefunden. was ich vielleicht noch sagen sollte ist da ich bei einem online spiel teilweise ein bot laufen habe,musste ich für diesen bot libaryfiles in mein system32 ordner installiern,kommen die vbs scripte vielleicht daher? was macht diese vbs scripte eigentlich,sind die bösartig oder einfach nur lästige kleine dinger,die mir nicht anhaben können? |
01.09.2008, 14:48 | #13 | ||
/// AVZ-Toolkit Guru | Scriptvirus ?! html/rce.genZitat:
Warum tust du sowas? Die Dateien solltest du schleunigst wieder löschen und den der dir das geraten hat bzw. der diesen "Bot" geschrieben hat auf deine perönlichen Ignor Liste setzten. Da würde ich mir überlegen neuaufzusetzten denn wer weiss schon was du dir da noch alles schön in den system Ordner kopiert hast... Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.09.2008, 14:54 | #14 |
| Scriptvirus ?! html/rce.gen Im prinzip machen diese vbs scripte ja keine probleme mehr auser das ich auf meine festplatten teile nur per rechtsklick "öffnen" zugreifen kann. sobald ich doppelklick auf z.b C mache bekomme ich eine fehlermeldung Die Skriptdatei "C:\COMPUTERNAME.vbs" wurde nicht gefunden. Mein antivir schlägt auch kein alarm mehr,kann ich es vielleicht einfach so lassen und bei eventuellen neuen problemen einfach das system neu aufsetzten? wenn ich allerdings das system neu aufsetze geht mir dann die ganze festplatte flöten? oder nur der teil wo windoof installiert is? sorry das ich das mit denn libaryfiles erst so spät geschrieben habe,aber das ist mir eben so nebenbei eingefallen^^ edit: duch die libary files kann es nicht kommen,habe grad ein gildenkollegen gebeten selber nach vbs datein zu suchen,da er auch denn selben bot used,er sagt das er diese scripte nicht hat und ein weiterer kollege,bestätigte das ebend achja und nochwas antivir hat mir diese vbs scripte als malware teile angezeigt,habe hier von so nem malware programm gelesen,würde das eventuell die scripte beseitigen? Geändert von Locha1988 (01.09.2008 um 15:51 Uhr) |
02.09.2008, 09:59 | #15 |
| Scriptvirus ?! html/rce.gen push.... warum darf ich meine einträge nicht mehr editieren? |
Themen zu Scriptvirus ?! html/rce.gen |
.dll, 5 minuten, antivir, avg, avgnt.exe, ctfmon.exe, dllhost.exe, festplatte, firefox.exe, google, helfen, homepage, jusched.exe, logon.exe, lsass.exe, löschen, modul, nt.dll, problem, programme, prozesse, registry, sched.exe, schnelle hilfe, schreibfehler, services.exe, suchlauf, svchost.exe, tan, trojaner, verweise, viren, virus, virus ?, virus gefunden, warnung, windows, winlogon.exe, wscript.exe, wuauclt.exe |