Trojaner-Board - Problem mit Heur-DBLEXT/Worm.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit Heur-DBLEXT/Worm.Gen (https://www.trojaner-board.de/36927-problem-heur-dblext-worm-gen.html)

Problem mit Heur-DBLEXT/Worm.Gen

Moin zusammen! AntiVir hat mir soeben oben genannten Wurm!? angezeit...

wäre nett wenn Ihr mir mal was dazu sagne könntet - das Ding kam wenn auch von Innen bzw. von meinem USB-Stick...

DANKE!!! Gruss Chriese

Logfile of HijackThis v1.99.1
Scan saved at 17:00:00, on 9.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP2 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVMAuraClient] C:\Programme\avmauraclient\AuraAccessor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\progra~1\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139836472390
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4851/mcfscan.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Hallo

wo genau (Pfad/Dateiangabe) wurde der Fund gemacht?
und
hast du diese Datei evtl. ausgeführt?

lass die betroffene Datei mal hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Also AntiVir meint die wäre in diesem Verzeichnis:

C:\DOKUME~1 \CHRIST~!\LOKALE~1\Temp\AAWTMP\TMP\587549

...ob ich die ausgeführt habe weiß ich nicht - habe eigendlich gerade nicht`s gemacht und AntiVir ist angesprungen!

..ich weiß jetzt nicht genau welche Datei Du meinst bzw. wo ich suchen soll

GRuss Chriese

So

- habe das jetzt mal getestet und zwar auf Jotti - NUR Antivir findet hier einen Virus! Und gibt an:

Status: VIELLEICHT INFIZIERT/MALWARE

VirusTotal gibt an:

AntiVir 7.3.1.41 03.09.2007 HEUR-DBLEXT/Worm.Gen

und

Ewido 4.0 03.09.2007 TrackingCookie.Ivwbox

alle anderen sagen: kein Virus

Mal eine Frage, ich habe gestern zufällig einen Wiederherstellungpunkt erstellt - wäre das Problem damit gelößt?

Besten Dank!!!

Chriese

Kannst du mal versuchen die registry zu öffnen?

Start -> Ausführen -> regedit

das geht

Gruss Chriese

kann es sein, das sich AntiVir da einfach irrt!? - Oder steht mir ein Neuaufsetzen des Systems bevor!?:koch:

Gruss Chrise

Hallo

Zitat:

kann es sein, das sich AntiVir da einfach irrt!?

na ja irrt vielleicht nicht, die heuristische Erkennung hat halt ergeben, dass diese Datei "große ähnlichkeiten mit einem schon bekannten Schädling aufweißt".

Lade dir mal ClearProg und lasse es dein System bereinigen (hake an --> alles löschen), dann mach mal ein Update deines Antivir und lass es dein System komplett überprüfen, zur Gegenprobe würde ich dir einen Onlinescan empfelen z.B. hier --> Online Viren-Scanner
der Onlinescan muss mit dem Internet Explorer durchgeführt werden und deaktiviere für die dauer des scans den Guard von Antivir.

MFG

Vielen Dank soweit - wie sieht es mit diesem Log-File aus:

Vielen Dank für die schnelle Hilfe - Gruss Chrise

Logfile of HijackThis v1.99.1
Scan saved at 12:04:44, on 10.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\dllhost.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

so habe das mal so gemacht und der Online-Scan hat nicht ergeben!!!

Ist das System denn jetzt soweit wieder sicher un nutzbar?!

Danke nochmals!!! :party:

Gruss Chriese

Hallo

in deinem Log kann ich nichts entdecken, was mich nervös machen würde.

Wenn du Clearprog hast laufen lassen

Zitat:

dann mach mal ein Update deines Antivir und lass es dein System komplett überprüfen

anschließend berichte nochmal.

MFG

...nochmals Danke für die schnelle Antwort -

habe Antivir durchlaufen lassen, ebenfalls einen Online-Check machen lassen und mal mein System bei www.security-check.ch prüfen lassen (da sah alles top aus) - ohne FUND!!!

Ich kann mir das Alles auch nicht erklären - wie gesagt AVM/Fritzbox HardwareFirewall + Sygate + Adaware + Spybot Search+Destroy + Updates (Win und AntiVir) etc....

Habe auch mal diverse Antispyware (Free+Shareware) durchlaufern lassen - immer ohne Fund und zu guter Letzt mal den Avast! Virenscanner duchlasufen lassen - alles ohne Fund!!!

Was meinst Du denn - kann man wieder Onlinebanking etc. machen...

Vielen Dank!!

Gruss Chriese

Hallo

Zitat:

habe Antivir durchlaufen lassen, ebenfalls einen Online-Check machen lassen und mal mein System bei www.security-check.ch prüfen lassen (da sah alles top aus) - ohne FUND!!!

hört sich sehr gut an

Zitat:

Ich kann mir das Alles auch nicht erklären - wie gesagt AVM/Fritzbox HardwareFirewall + Sygate + Adaware + Spybot Search+Destroy + Updates (Win und AntiVir) etc....

nicht Programme oder diverse Tools schützen dich vor einen Befall durch Schädlinge sondern in erster Linie dein Verhalten (Brain benutzen);).

Zitat:

Was meinst Du denn - kann man wieder Onlinebanking etc. machen...

ich würde einige Tage das System beobachten, wenn sich nichts mehr tut in Sachen Meldungen, sicher, dann kannst du wieder Onlinebanking machen.

MFG

...Alles Klar - vielen Dank nochmals für die Mühe

:aplaus:

- Gruss Chriese

...da denk man alles ist OK dann so was - habe gerade Adaware durchlaufen lassen und als der fertig war und nur das übliche gefunden hatte - meldet sich der gleiche alte mist!!!!

Habe dann jetzt mal das ding aus der quarantäne geholt - auf den desktop kopiert - an antivir geschickt - und was wahrscheinlich nicht unbedingt klever aber trotzdem mit dem Editor geöffnet!

Da steht neben ziemlich viel unverständlichem die Dateien die ich mal mit dem Player abgespielt habe oder mir ein Bildangesehen habe - dateien aus dem ordner:

C:\Dokumente und Einstellungen\Christoph\Recent

mal ab waren was von antivir kommt - die online scanner fanden die datei:

C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\AAWTMP\TMP\522407

unbedenklich - was meint Ihr dazu.....

Danke Chriese

Ich nochmal - habe glaube ich die Lösung gefunden...

ich lasse Adaware laufen (Antivir ist aktiv//Schirm ist aufgespannt) dann ist der Scann von Adaware beendet und er hat etwas entdeckt - dabei handelt es sich um Objekte die in der Datei C.\....\Recent (habe ich in einem Beitrag zuvor schon einmal genannt) abgespeichert sind - das sind Verknüfungen von Dateien wie z.B. einem .mp3 Lied oder von JPEG`s - also ungefährlich!!!

Wenn man die nun mit Hilfe von Adaware löschen, schreibt Adaware wohl eine Datei (z.B. 42515) die gefällt Antivir aber nicht und der Guard schlägt alarm --> Heur-DBLEXT/Worm.Gen.

Deaktiviere ich nun Antivir für die Scanndauer von Adaware passiert folglich nichts und Adaware löscht einfach die Dateien im Ordner Recent!!!

Das war`s - meiner Meinung nach!!!

Nur irgendwie schade, dass ich mir damit mein WE versaut habe - für so einen Sch... :headbang:

Über ein Feedback zu meiner "Theorie" würde ich mich freun, bzw. wüßte ich es dann endgültig was los war...

Gruss Chriese

Zitat:

Wenn man die nun mit Hilfe von Adaware löschen, schreibt Adaware wohl eine Datei (z.B. 42515) die gefällt Antivir aber nicht und der Guard schlägt alarm --> Heur-DBLEXT/Worm.Gen.

Altes Thema. Ich würde grundsätzlich empfehlen immer nur einen Viren- oder weiss der geier wat -scanner am laufen zu haben..

Gruss

Undoreal

Habe so eben Post von Antivir bekommen!!!

Es war so wie beschrieben - alles OK - ein Fehlalarm!!! :Boogie:

Trotzdem Danke nochmals für Eure Mühe - habe jetzt def. was dazugerlern!!!

Gruss Chriese