Trojaner-Board - escan logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - escan logfile (https://www.trojaner-board.de/41209-escan-logfile.html)

also ich habe nun eine scan gemacht und er hat auch was gefunden, nun bitte ich um hilfe wie bekomme ich meinen pc wieder sauber?

Hier das logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\mustermann\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\System Volume Information\_restore{33375725-D213-4C6F-B37C-5F6902D4BF4A}\RP49\A0005573.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\mustermann\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 47364
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 20
Dauer des Scans bisher: 00:24:54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:26:09,01
Batchende: 13:26:11,71

danke im vorraus für jede hilfe

Hi,
wegen der Funde brauchst du dir keinen Kopf zu machen, dass sind "falsepositives" also normale Dateien/Ordner, die als Trojaner erkannt worden sind.

Ich vermute mal, dass du clean bist, wenn du willst schaue ich aber auch gern noch schnell über dein HJT-Log. :)

lg myrtille

WOW- das ging aber schnell danke :)
clean klingt gut aber diese drei virenfunde machen mich nervös!? - normal ?

also gut hier noch der hjt log:
Logfile of HijackThis v1.99.1
Scan saved at 13:54:05, on 23.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Azureus\Azureus.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.partypoker.com/installstart.htm?LANG_ID=de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Adware Agent] "C:\Programme\Adware Agent\adware agent.exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\Poker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

möchte gern noch hinzufügen - das Adaware se heut auch noch eine kleine pc macke ausgelöst hat:
habe die neue virendef. geladen und nen scan gemacht - siehe grafik

https://fotoalbum.web.de/gast/fireball78/01

wie geht das denn wenn ich sauber sein soll?

*angst* ;)

Dies

Zitat:

D:\System Volume Information\_restore{33375725-D213-4C6F-B37C-5F6902D4BF4A}\RP49\A0005573.EXE

ist mitnichten ein false positive.
Aber

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:54:05, on 23.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

sagt mir, das man hier nicht alzuviel Mühe investieren sollte.
fireball78, installier SP2 führe danach windowsupdate aus.
Wenn das alles klappen sollte, poste die Logs der complete.bat

\System Volume Information\_restore{33375725-D213-4C6F-B37C-5F6902D4BF4A}\RP49\A0005573.EXE

bei virustoal.com
scannen lassen, Ergbnis hier posten.

Bata

Zitat:

Zitat von BataAlexander (Beitrag 281721)

Dies

\System Volume Information\_restore{33375725-D213-4C6F-B37C-5F6902D4BF4A}\RP49\A0005573.EXE

ist mitnichten ein false positive.

Ist es nicht ;) , es sind Reste eines Schädlings welcher sich in der Systemwiederherstellung reingesetzt hat.

@fireball78

Führe diesen Punkt aus, danach sollten auch keine Meldungen mehr erscheinen.

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny (Beitrag 281758)

Ist es nicht ;) , es sind Reste eines Schädlings welchee sich in der Systemwiederherstellung reingesetzt hat.

Also, Nein, es ist kein false positive, egal wie :)

Bata

Zitat:

Zitat von BataAlexander (Beitrag 281763)

Also, Nein, es ist kein false positive, egal wie :)

Bata

Naja, es ist ne beschädigte Datei (exe corrupted), das heißt noch lange nicht, dass es sich dabei um einen Schädling handeln muss...
Wobei falsepositive in dem Zusammenhang natürlich der falsche Begriff war, da hast du recht.

lg myrtille

also ich habe nun mein system neu aufgesetzt und bin in zukunft auf der hut - danke für die hilfe - aber mein windows werde ich trotzdem nicht updaten - einmal und nie wieder:pfui:

schon aus überzeugung nicht ;)

Jeder wie er mag, es sei Dir aber gesagt, dass die Zahl der Sicherheitslücken, allein durch XP stetig zunimmt.
Mit dem "UR-XP" online zu gehen bietet einfach eine immer größer werdene Angriffsfläche.
Ergo: Du wirst Dein System immer wieder neu aufspielen müssen, aber wems beliebt...

Bata

Dann auch für dich den schönen Link: Es dauert etwa 4 min bis in einem ungeschützten System wie deinem eine Schachstelle ausgenutzt worden ist und du als kompromettierst betrachtet werden darfst.

SP2 ist einfach viel sicherer und sollte deine Abneigung aus den anfänglichen Problemen des SP2 stammen, dann kann ich dich beruhigen, dass wurde eigentlich alles vor 2 Jahren behoben.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 282402)

Hmm - genau das is es ja - mit SP2 habe ich keine angriffe oder infektionen gehabt - genauso wie ohne Sp2

Nur sind die Hardware und Software Probleme mit SP2 und den zugehörigen Patches immer da gewesen, was ohne SP2 nie der fall war!
Und mit jedem neuen Patch von XP tauchen die nächsten Probleme auf ! - Ergo ich lasse meine Version Old und lebe besser - der Test vom SP2, ist bei mir eindeutig durchgefallen!
Und zur Sicherheit in dem Sinne mach ich mir auch keine Sorgen, da eine Softwarefirewall nicht bei mir existieren muss und auch nicht tut (rest erklärt sich von selbst)
Ich wollte hiermit nur wissen, warum diese Ergebnisse angezeigt werden und was sie bedeuten - Probleme mit Hack und Virenangriffen hatte ich schon jahre net mehr(obwohl kein SP2) - vll. waren schon ein paar probleme da - aber definitiv keine, welche meinen Pc hätten beinflussen können oder die ich hätte nicht beheben können.
Von daher Grössten Dank für die Tips-Super Forum-aber die Version lass ich - da die Probs nur mit SP2 unlösbar waren und mit meiner oldest Version ich keine Probs habe!
PS: Und die genannten 4min beschränken sich bei mir inzwischen auf fast 6 jahre ohne infektion, da meine absicherung sehr gut gewählt ist(welche im Detail natürlich nicht genannt wird:rolleyes:
.:daumenhoc:daumenhoc:daumenhoc:daumenhoc: