|
Plagegeister aller Art und deren Bekämpfung: Email Worm Win32.Luder.eWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.10.2008, 22:07 | #1 |
| Email Worm Win32.Luder.e Hi, Ich hätte da ein Problem. Ich hatte wegen einer LAN Age of Empires 2 installiert. Soweit so gut nachdem wir eine Runde gespielt hatten und erstmal was anderes gemacht hatten, hab ich nun vorhin die CD eingelegt und bekomme die Nachricht von G Data, dass auf ein infiziertes System zugegriffen wird: E:Setup.exe (E ist mein DVD Laufwerk) mit der Nachricht, dass diese infizierte Datei der Email Worm Win32.Luder.e sei. Gleich danach kam dann noch der nächste Datenzugriff diesmal von C: Programme\Microsoft Games\Uninstall.exe. (Beide wollten auf explorer.exe zugreifen) Diese hab ich sogleich in die Quarantäne gepackt. So jetzt erstmal: Kann es sein, dass G Data in diesem Fall falsch liegt? Denn es kann meiner Meinung nach kaum sein, dass eine extrem alte aber originale CD einen Virus enthält und vorher hatte sich G Data ja auch nicht gemeldet . Hinzu kommt noch, dass ich keinerlei komische Emails oder dergleichen erhalten hatte, also ein Email Wurm eigentlich ziemlich unwahrscheinlich ist... Ich möchte trotzdem sicherstellen, dass mein Computer nicht infiziert ist. Außerdem habe ich mir Malwarebytes von euch gedownloaded und ausgeführt. Als dieser durchgelaufen ist kam wieder ein Dateizugriff vom beschriebenem Wurm diesmal vom Verzeichnis: C:\System Volume Information\_restore{F4E75430-189C-44B9-84C8-32DEE2B23BA2}\RP67 von der A0014581.exe Ich habe die Fehlermeldung einfach weggeklickt, um zu sehen, was Malwarebytes dazu sagt und zu meinem Überraschen hat es keine einzige infizierte Datei gefunden. Auch mit HijackThis hab ich mir mal angeguckt, ob etwas zu finden ist.... ich habe nichts entdeckt, wobei es natürlich sein kann, dass ich was übersehen habe, also poste ichs einfach mit Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:55:43, on 30.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\Six Engine\SixEngine.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\G DATA TotalCare\AVK\AVKService.exe C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\EssentialPIM\EssentialPIM.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [EssentialPIM] "C:\Programme\EssentialPIM\EssentialPIM.exe" /autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 6687 bytes Und noch eine Sache hab ich gemacht... ich habe die Datei aus der Quarantäne geholt und versucht bei Virustotal hochzuladen, allerdings konnte die Datei nicht übertragen werden... "0kb empfangen" So viel Text also habt ihr schonmal geschafft hier anzukommen schonmal spitze also wäre für jegliche Hilfe und Vorschläge dankbar. mfg, not-a-virus edit:hatte kurz Probleme beim Thread erstellen hoffe is jetzt alles in Ordnung |
31.10.2008, 07:45 | #2 |
| Email Worm Win32.Luder.e Hi,
__________________das HJ-Log sieht sauber aus... Lade die Datei direkt von CD hoch (Virustotal) und stelle sicher, dass sich GDATA nicht querlegt und den Zugriff verweigert (0 Bytes received)... Der zweite Pfad zeigt in die Systemwiederherstellung... Vermutung liegt nahe, dass es sich um ein false/positiv handelt... In dem Fall die Datei zu GData zur Überprüfung schicken... chris
__________________ |
31.10.2008, 14:10 | #3 |
| Email Worm Win32.Luder.e Hi,
__________________Hier die Ergebnisse von Virustotal: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.30.1 2008.10.31 - AntiVir 7.9.0.10 2008.10.31 - Authentium 5.1.0.4 2008.10.31 - Avast 4.8.1248.0 2008.10.30 - AVG 8.0.0.161 2008.10.31 - BitDefender 7.2 2008.10.31 - CAT-QuickHeal 9.50 2008.10.31 - ClamAV 0.94.1 2008.10.31 - DrWeb 4.44.0.09170 2008.10.31 - eSafe 7.0.17.0 2008.10.30 - eTrust-Vet 31.6.6184 2008.10.31 - Ewido 4.0 2008.10.31 - F-Prot 4.4.4.56 2008.10.30 - Fortinet 3.117.0.0 2008.10.31 - GData 19 2008.10.31 - Ikarus T3.1.1.44.0 2008.10.31 - K7AntiVirus 7.10.512 2008.10.30 - Kaspersky 7.0.0.125 2008.10.31 Email-Worm.Win32.Luder.e McAfee 5419 2008.10.31 - Microsoft 1.4005 2008.10.31 - NOD32 3572 2008.10.31 - Norman 5.80.02 2008.10.30 - Panda 9.0.0.4 2008.10.30 - PCTools 4.4.2.0 2008.10.31 - Rising 21.01.42.00 2008.10.31 - SecureWeb-Gateway 6.7.6 2008.10.31 - Sophos 4.35.0 2008.10.31 - Sunbelt 3.1.1767.2 2008.10.31 - Symantec 10 2008.10.31 - TheHacker 6.3.1.1.135 2008.10.31 - TrendMicro 8.700.0.1004 2008.10.31 - VBA32 3.12.8.9 2008.10.30 - ViRobot 2008.10.31.1446 2008.10.31 - VirusBuster 4.5.11.0 2008.10.30 - weitere Informationen File size: 585790 bytes MD5...: ff8c3ca1d24806e0f67a2c183b51aff1 SHA1..: 443792760aa4e77bc1eccd8f9405a120db355ff4 SHA256: e196c70f28914d7da65527a6e2bf6c9347288ecd25d9b83fa39bb16ec6de3299 SHA512: 0eee62aae136a8449708383851739819427fc1bd888f2a9f2092d3540398e628 d7d790891eca3420bb8befe16b75abc2087445f1097fcb1ff98843b821564e89 PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x44d0e1 timedatestamp.....: 0x37dd96bd (Tue Sep 14 00:28:45 1999) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5c250 0x5d000 6.39 6c845d052ad1eba32af704f212c22893 .rdata 0x5e000 0x52ed 0x6000 5.40 daa0f536fc87959d1854c5f72461f34c .data 0x64000 0x11070 0xa000 5.09 c612aace7013d99ce80afb3f6050692a .rsrc 0x76000 0x21000 0x21000 4.50 c6464c7012f05e134ff43511772e6c3f ( 10 imports ) > KERNEL32.dll: GetLastError, FormatMessageA, GetExitCodeProcess, GetTempPathA, LocalFree, GetSystemInfo, CreateThread, SetErrorMode, GetPrivateProfileStringA, GetTempFileNameA, GlobalMemoryStatus, DeviceIoControl, WritePrivateProfileStringA, CreateDirectoryA, WriteFile, ReadFile, SetFileTime, GetFileTime, SetFilePointer, GetFileSize, GetVolumeInformationA, GetFileType, CreateFileA, RemoveDirectoryA, GetFileAttributesA, GetCurrentDirectoryA, GetDriveTypeA, MoveFileExA, DeleteFileA, GetModuleFileNameA, GetDiskFreeSpaceA, SetCurrentDirectoryA, GetLogicalDrives, FindFirstFileA, FindNextFileA, SetFileAttributesA, GetCurrentProcess, ResumeThread, SetPriorityClass, GetCurrentThread, SetThreadPriority, GetEnvironmentVariableA, FlushFileBuffers, QueryPerformanceCounter, GetThreadPriority, GetPriorityClass, QueryPerformanceFrequency, GetExitCodeThread, SetEndOfFile, CopyFileA, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, IsBadStringPtrW, IsBadStringPtrA, GetUserDefaultLCID, IsDBCSLeadByte, InterlockedIncrement, InterlockedDecrement, WideCharToMultiByte, OpenMutexA, SuspendThread, WaitForMultipleObjects, _lread, MulDiv, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, HeapAlloc, TlsSetValue, FileTimeToSystemTime, FileTimeToLocalFileTime, RaiseException, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, TlsAlloc, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, GetCPInfo, IsValidLocale, IsValidCodePage, EnumSystemLocalesA, VirtualAlloc, HeapReAlloc, LCMapStringA, LCMapStringW, HeapSize, SetStdHandle, GetFullPathNameA, GetACP, WaitForSingleObject, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, GetTimeZoneInformation, IsBadCodePtr, GetLocaleInfoW, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEvent, ResetEvent, lstrcpynA, CreateMutexA, GetLocaleInfoA, GetSystemDirectoryA, lstrcmpA, GetCurrentThreadId, ReleaseMutex, FindNextChangeNotification, FindCloseChangeNotification, FindFirstChangeNotificationA, CreateProcessA, CreateEventA, GetShortPathNameA, FindResourceA, CloseHandle, VerLanguageNameA, SizeofResource, LoadResource, LockResource, LoadLibraryA, VirtualProtect, SetLastError, FreeLibrary, GetProcAddress, MultiByteToWideChar, GetWindowsDirectoryA, GetModuleHandleA, lstrcmpiA, lstrcatA, Sleep, lstrcpyA, FindClose, lstrlenA, GetVersionExA, IsBadWritePtr, IsBadReadPtr, GetTickCount, ExitThread, GetOEMCP > USER32.dll: IsIconic, DestroyCursor, GetPropA, CharLowerA, SetCursor, GetClientRect, OemToCharA, GetMessageA, ReleaseCapture, IsDialogMessageA, UnregisterClassA, SetCapture, ScreenToClient, CallWindowProcA, GetClassInfoA, OffsetRect, GetNextDlgGroupItem, GetParent, GetCapture, GrayStringA, DrawTextA, DrawTextExA, EnableWindow, IsWindowEnabled, DialogBoxIndirectParamA, CreateDialogIndirectParamA, SetWindowLongA, InvalidateRect, GetNextDlgTabItem, GetAsyncKeyState, GetWindowTextLengthA, CreateDialogParamA, EqualRect, FrameRect, PtInRect, RegisterWindowMessageA, LoadIconA, PostQuitMessage, EnableMenuItem, FillRect, MessageBeep, SetActiveWindow, BeginPaint, EndPaint, SetFocus, GetFocus, IsChild, GetWindowLongA, EndDialog, GetUpdateRect, RegisterClassA, SetPropA, IsWindowVisible, IntersectRect, CopyRect, IsRectEmpty, GetWindowRect, SetWindowTextA, RemovePropA, SystemParametersInfoA, GetWindow, GetClassNameA, CharToOemA, IsWindow, ExitWindowsEx, FindWindowExA, EnumWindows, EnumDisplaySettingsA, GetDC, ReleaseDC, CreateWindowExA, LoadImageA, CharPrevA, GetDesktopWindow, WaitForInputIdle, GetKeyboardType, LoadStringA, PeekMessageA, TranslateMessage, DispatchMessageA, SetWindowPos, wvsprintfA, MsgWaitForMultipleObjects, GetWindowPlacement, GetSystemMetrics, UnionRect, FindWindowA, SetForegroundWindow, MessageBoxA, PostMessageA, SetTimer, CharNextA, wsprintfA, KillTimer, DefWindowProcA, GetMessagePos, MapWindowPoints, ShowWindow, SendMessageA, DestroyWindow, SetRectEmpty, RedrawWindow, LoadCursorA, CharUpperA > GDI32.dll: RemoveFontResourceA, SetDIBits, CreateDIBSection, DeleteObject, RealizePalette, SelectPalette, GetNearestPaletteIndex, SetTextColor, SetBkColor, GetStockObject, SelectObject, GetTextMetricsA, SetBkMode, EndDoc, EndPage, DeleteDC, StartDocA, SetMapMode, StartPage, CreatePalette, GetDIBColorTable, GetSystemPaletteEntries, GetObjectA, BitBlt, CreateCompatibleDC, FillRgn, CreateBrushIndirect, TextOutA, CreatePolygonRgn, SetDIBColorTable, CombineRgn, GetPaletteEntries, CreateSolidBrush, CreateDCA, GetClipBox, CreateFontA, GetDCOrgEx, GetDeviceCaps, AddFontResourceA > COMCTL32.dll: ImageList_LoadImageA, ImageList_Destroy > comdlg32.dll: PrintDlgA > ADVAPI32.dll: RegOpenKeyExA, CloseServiceHandle, AdjustTokenPrivileges, RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegDeleteValueA, RegQueryValueExA, LookupPrivilegeValueA, OpenSCManagerA, RegQueryInfoKeyA, RegEnumKeyExA, RegDeleteKeyA, OpenProcessToken > SHELL32.dll: SHChangeNotify, SHGetPathFromIDListA, ShellExecuteExA, SHGetSpecialFolderLocation > ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize, OleInitialize, OleUninitialize > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > WINMM.dll: mciGetErrorStringA, waveOutGetNumDevs, waveOutGetDevCapsA, timeGetTime, mciSendCommandA, mciSendStringA, joyGetNumDevs, PlaySoundA, mmioInstallIOProcA ( 4 exports ) _DialogProc@CAppAlert@@SGHPAUHWND__@@IIJ@Z, _DialogProc@CAppMessage@@SGHPAUHWND__@@IIJ@Z, _DialogProc@CDirBrowser@@SGHPAUHWND__@@IIJ@Z, _HotsetupCallback@@YG_AW4EBURETCODE@@PAX@Z ThreatExpert info: ThreatExpert Report Diesmal nur Kaspersky... G Data findet bei Virustotal nichts. Kann es ne Fehlmeldung von Kaspersky sein? Ich werde jetzt eine der Dateien aus der Quarantäne bei G Data ins Labor schicken, die Ergebnisse kommen dann später. Gruß, not-a-virus |
31.10.2008, 14:39 | #4 |
Email Worm Win32.Luder.e Ich weiß nicht, was Chris4You dazu meint, aber ich gehe von einem Fehlalarm aus, da der gute Luder schon ein ganzes Jahr auf dem Kerbholz hat.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. Geändert von Silent sharK (31.10.2008 um 14:45 Uhr) |
31.10.2008, 14:58 | #5 |
| Email Worm Win32.Luder.e Hi, @Silent Shark: Ja, Deine Vermutung wird wohl zutreffen.... (oder wie war das: Mit an Sicherheit grenzender Wahrscheinlichkeit ein Fehlalarm sein... ) Ich weis nicht wie es aktuell ist, aber in früheren Versionen setzte GData u. a. die Scannengine von Kaspersky ein, ... Bin mal gespannt was von GData zurückkommt, halte uns auf dem Laufenden... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
31.10.2008, 16:35 | #6 | |
| Email Worm Win32.Luder.e Sehr geehrter G DATA-Kunde! Vielen Dank für die Einsendung der Datei. Wir werden die Datei prüfen und die Virensignaturen anpassen. Ihr G DATA Supportteam ********************************************************************** Virus: Datei: UNINSTAL.EXE Verzeichnis: C:\Programme\Microsoft Games\Age of Empires II ********************************************************************** ____________ Virus checked by G DATA AntiVirus Version: AVF 19.124 dated 30.10.2008 Virus news: Antiviruslab Zitat:
Jetzt heißts wohl erstmal n bischen warten. Gruß, not-a-virus |
01.11.2008, 14:13 | #7 |
| Email Worm Win32.Luder.e Ich hab genau das selbe Problem, wie der Threadersteller. Bei mir wurde auch angezeigt das in dem AoE ordner eine ein Worm sich befindet unter Uninstall.exe. Ich benutz Kaspersky (Computer Bild Edition), ich hab zuerst gedacht, das sei ein Fehlalarm doch nun kam diese Meldung. - Virus gefunen: Virus Email-Worm.Win32.Luder.e gelöscht: Virus Email-Worm.Win32.Luder.e Datei: C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP22\A0005611.EXE Das kommt mir nun doch ein bisschen komisch vor, ist das auch nur ein Fehlalarm? Code:
ATTFilter MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\windows\system\hpsysdrv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\ALCXMNTR.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\WINDOWS\system32\ps2.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\mIRC\mirc.exe C:\Programme\Xfire\xfire.exe C:\Programme\Valve\Steam\Steam.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - Startup: Launch NoNameScript.lnk = C:\Programme\mIRC\mirc.exe O4 - Startup: steam.bat.lnk = C:\Programme\Valve\Steam\steam.bat O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5059 bytes |
01.11.2008, 22:08 | #8 |
/// Helfer-Team | Email Worm Win32.Luder.e Hi, das einzige Spiel, das ich installiert habe, hier wird die uninstall.exe ebenfalls bemängelt und ich installiere keine Würmer. Bei Virustotal ist Kaspersky unterdessen zurückgerudert, gerade eben haben Antivir, F-Secure und SecureWeb-Gateway Meldungen ausgespuckt. Da haben ein paar einfach nachgemacht was Kaspersky meldet anstelle selber zu prüfen was los ist Noch besteht Chance auf Korrektur solange nicht zu viele den Mist nachmachen. Gruß, Karl |
03.11.2008, 18:57 | #9 | |
| Email Worm Win32.Luder.e .... dauert das immer so lange bei G Data? Ich habe immer noch keine weitere Email erhalten. auf den anderen PCs wurden jetzt auch plötzlich die entdeckt... wahrscheinlich: Zitat:
mfg, not-a-virus |
04.11.2008, 00:12 | #10 |
/// Helfer-Team | Email Worm Win32.Luder.e Von Antivir gab es unterdessen eine Bestätigung, dass das ein Fehlalarm ist. |
05.11.2008, 07:15 | #11 |
| Email Worm Win32.Luder.e Also ich würde sagen das ist ein False Positive (Falscher Alarm) weil ich spiele schon seit 2-3 jahren AoE + Expansion und es kam nie eine Meldung. Aber bei AntiVir gestern auch eine meldung bekommen. ich weiß das ich keinen einzigen Crack oder sowas gedownloadet hab und bin nur auf sichere Seiten gegangen. Also ich meine Falscher Alarm warscheinlich weil das spiel schon ziemlich alt ist. Und wenn ich mich irre MfG, Tyraspotar |
Themen zu Email Worm Win32.Luder.e |
adobe, antivirus, asus, bho, cdburnerxp, computer, confused, email, fehlermeldung, firefox, firewall, g data, gservice, hijack, hijackthis, hkus\s-1-5-18, infizierte datei, internet, internet explorer, lan, launch, malwarebytes' anti-malware, microsoft, mozilla, programme, sicherstellen, software, system, system volume information, userinit.exe, virus, windows, windows xp, windows xp sp3, wurm, xp sp3 |