| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Email Worm Win32.Luder.eWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.10.2008, 22:07
| #1 |
| |  Email Worm Win32.Luder.e Hi, Ich hätte da ein Problem. Ich hatte wegen einer LAN Age of Empires 2 installiert. Soweit so gut nachdem wir eine Runde gespielt hatten und erstmal was anderes gemacht hatten, hab ich nun vorhin die CD eingelegt und bekomme die Nachricht von G Data, dass auf ein infiziertes System zugegriffen wird: E:Setup.exe (E ist mein DVD Laufwerk) mit der Nachricht, dass diese infizierte Datei der Email Worm Win32.Luder.e sei. Gleich danach kam dann noch der nächste Datenzugriff diesmal von C: Programme\Microsoft Games\Uninstall.exe. (Beide wollten auf explorer.exe zugreifen) Diese hab ich sogleich in die Quarantäne gepackt. So jetzt erstmal: Kann es sein, dass G Data in diesem Fall falsch liegt? Denn es kann meiner Meinung nach kaum sein, dass eine extrem alte aber originale CD einen Virus enthält und vorher hatte sich G Data ja auch nicht gemeldet  . Hinzu kommt noch, dass ich keinerlei komische Emails oder dergleichen erhalten hatte, also ein Email Wurm eigentlich ziemlich unwahrscheinlich ist...Ich möchte trotzdem sicherstellen, dass mein Computer nicht infiziert ist. Außerdem habe ich mir Malwarebytes von euch gedownloaded und ausgeführt. Als dieser durchgelaufen ist kam wieder ein Dateizugriff vom beschriebenem Wurm diesmal vom Verzeichnis: C:\System Volume Information\_restore{F4E75430-189C-44B9-84C8-32DEE2B23BA2}\RP67 von der A0014581.exe Ich habe die Fehlermeldung einfach weggeklickt, um zu sehen, was Malwarebytes dazu sagt und zu meinem Überraschen hat es keine einzige infizierte Datei gefunden. Auch mit HijackThis hab ich mir mal angeguckt, ob etwas zu finden ist.... ich habe nichts entdeckt, wobei es natürlich sein kann, dass ich was übersehen habe, also poste ichs einfach mit  Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:55:43, on 30.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\Six Engine\SixEngine.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\G DATA TotalCare\AVK\AVKService.exe C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\EssentialPIM\EssentialPIM.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [EssentialPIM] "C:\Programme\EssentialPIM\EssentialPIM.exe" /autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 6687 bytes Und noch eine Sache hab ich gemacht... ich habe die Datei aus der Quarantäne geholt und versucht bei Virustotal hochzuladen, allerdings konnte die Datei nicht übertragen werden... "0kb empfangen" So viel Text also habt ihr schonmal geschafft hier anzukommen schonmal spitze  also wäre für jegliche Hilfe und Vorschläge dankbar.mfg, not-a-virus edit:hatte kurz Probleme beim Thread erstellen hoffe is jetzt alles in Ordnung  |
| Themen zu Email Worm Win32.Luder.e |
| adobe, antivirus, asus, bho, cdburnerxp, computer, confused, email, fehlermeldung, firefox, firewall, g data, gservice, hijack, hijackthis, hkus\s-1-5-18, infizierte datei, internet, internet explorer, lan, launch, malwarebytes' anti-malware, microsoft, mozilla, programme, sicherstellen, software, system, system volume information, userinit.exe, virus, windows, windows xp, windows xp sp3, wurm, xp sp3 |
Baum-Darstellung