Hallo LARUSSO & Co.,

habe gestern (2. Tag der Kenntnis über den Wurm) von AVIRA die Meldung über 1900 Fundstellen zu DROP.AGENT.AB und W32/Ramnit.C erhalten. Die Meisten davon zu Ramnit.c.

Vorgestern hat Avira sehr vereinzelt Meldungen erzeugt, auf die ich mit "Löschen" und "Quarantäne verschieben" reagiert habe. Nach einer Stunde abgebrochen und den Laptop ausgeschaltet. Im Netz mit 2. PC nach Hilfe gesucht und viele überzeugende Fehlerbehandlungen bei euch gefunden. Am besten fand ich den Thread, der über die Anwendung von Combofix hinaus ging und nachfolgend noch zwei/drei Sicherheits-Checks ausgeführt hat. Habe diesen aber nicht wiedergefunden. Mit ist also klar, dass Virus nicht spüren, kein Kriterium für einen gesicherten Rechner darstellt. Gestern den Laptop wieder eingeschaltet um die Logfiles zu erstellen. Aber dann ging es erst richtig los und die Fehlermeldungen von AVIRA wurden zur Herausforderung für die Grafikkarte dar. ;-) Um den Rechner zu beruhigen AVIRA Rescue ausgeführt. Und die Log-Files über Load.exe heute erstellt. Finde allerdings das Logfile vom AVIRA Rescue nicht.

Den Wurm habe ich sehr wahrscheinlich von einem fremden USB-Stick, da in den übertragenen Dateien die meisten Ramnit.C angezeigt wurden. Der Laptop ist während der Feststellung des Wurms und der Erstellung der Log-Files in einem Small-Business-Server-Netzwerk eingebunden, da ich sonst keinen Netzzugang habe. Ist der Server somit infiziert?

Hier die Logfiles


Grüße KatBom

Zitat:

habe gestern (2. Tag der Kenntnis über den Wurm) von AVIRA die Meldung über 1900 Fundstellen zu DROP.AGENT.AB und W32/Ramnit.C erhalten. Die Meisten davon zu Ramnit.c.

Log bitte nachreichen.

Hey cosinus,

wo finde ich das AVIRA Log? Habe den Rechner nach gestern erstellten Dateien gescannt aber er hat keine Datei mit dem gestrigen Datum. (Systemdateien etc. sind sichtbar). Weißt du wie die Datei heist?

Gruß KatBom

Der Scan von Avira, nach Booten von CD, läuft nochmal durch. Ich hatte gestern schon versucht die Datei zu speichern. Als Ort wird "Computer/" angegeben. Änderungen in der Zielzeile des Speicherortes zeigten keine Wirkung - sieht alles sehr nach DOS aus. Kannst du Hilfe geben, wie der Speicherort ausgewählt werden kann?

Gruß
KatBom

Die Logs sind im AntiVirmenü unter Berichte/Ereignisse.

Nach dem Hochladen steht unter der Datei immer "ungültige Datei". Die LOGs sind 32 kb groß.

In dem Logfile-Ordner von AVIRA sind ca. 20 Dateien der letzten drei Tage mit dem Namen "AVSCAN....log" ca. 30 kB groß, eine "avguard.log" 3MB - diese enthält genau die Anzeigen die während des scannens die Fundstellen beschreiben - und eine "sched.log" 200kB - deren Inhalt Anweisungscharakter hat. Dann gibt es noch die nach dem scannen gespeicherte Datei "rescue-system_scan.log". Auch bei dieser wurde angezeigt "ungültige Datei". Auf Grund der Größenbeschränkung kann ich die interessanteste Datei (3MB) wahrscheinlich nicht senden. Die anderen könnte ich in txt umbenennen. Hilft das? Kann ich die Dateien an eine Mailasdresse senden?

Gruß
KatBom

Hier die ersten Logs umbenannt:

Hier die letzten möglichen Dateien. Alle anderen Dateien sind zu groß und werden nicht akzeptiert.


Sind diese Dateien ausreichend? Ansonsten müssten wir die Rescue und avguard anders übertragen.

Grüße,
KatBom

Jupp, wer auch am Ende liest ist klar im Vorteil :
Hier also die großen Datei als zip.

Anhang 15759

Anhang 15760

Gruß
KatBom

Das isnd aber ein paar viele. Bitte pack alle Logs in eine ZIP-Datei und häng diese hier an.

Hey,

wie kann ich eine automatische Aktualisierung deiner Antworten einstellen? Ich habe vor dem Rechner gewartet und erst als mir das Warten zu doof war und ich ein wenig im Bord gestöbert habe und wieder zurück gekommen bin, wurde mir deine Antwort, 45 Min später als angezeigte Uhrzeit, angezeigt.

Alle Dateien zusammen sind wieder zu groß. Deshalb zwei Dateien.

Anhang 15767

Anhang 15768

Grüße,
KatBom

Die Antwort ist irgendwohin verschwunden.... ????????? Nein auf Seite 2 - upps

Scheint als hättest du einen fiesen fileinfector drauf.
Hast du schon Logs mit Malwarebytes gemacht?

Hey Arne,

nein habe ich noch nicht. Aber in eurem Intro steht Load.exe oder Malware. Aber es geht gleich los.

Gruß, KatBom

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hier das Log:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6363

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.04.2011 19:28:22
mbam-log-2011-04-14 (19-28-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 172107
Laufzeit: 6 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\salatzki\startmenü\programme\autostart\dfyovbcq.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Vielen Dank, mal zwischendurch.

war ein Quickscan, mache jetzt den Vollscan.