Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyware (https://www.trojaner-board.de/41282-spyware.html)

DtothaEL 24.07.2007 18:40
Spyware
 
Hi Leute!
Hab auf meinem Laptop Spyware bzw. einen Virus, den ich nicht mehr wegbekomme. Passiert ist das beim Download von FolderAccess bei chip.de ..
Kann mir bitte jemand helfen?

Hier mal HJT Log und Bitdefender:

Logfile of HijackThis v1.99.1
Scan saved at 19:29:53, on 24.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBF9360-8E4B-4777-A5B0-72051CDD7CF0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBF9360-8E4B-4777-A5B0-72051CDD7CF0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CBF9360-8E4B-4777-A5B0-72051CDD7CF0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0CBF9360-8E4B-4777-A5B0-72051CDD7CF0}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)




Zusammenfassung:

C:\Dokumente und Einstellungen\***\Desktop\FolderAccess2.1FreeVersion.exe.part=>wise0059 Entdeckt: Spyware.Lockfolder.A
C:\Dokumente und Einstellungen\***\Desktop\FolderAccess2.1FreeVersion.exe.part=>wise0059 Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\***\Desktop\FolderAccess2.1FreeVersion.exe.part=>wise0059 Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqyc300u.default\Cache.Trash\Trash\Cache\0FA3C647d01=>wise0059 Entdeckt: Spyware.Lockfolder.A
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqyc300u.default\Cache.Trash\Trash\Cache\0FA3C647d01=>wise0059 Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sqyc300u.default\Cache.Trash\Trash\Cache\0FA3C647d01=>wise0059 Verschieben fehlgeschlagen

Mobius07 24.07.2007 19:28
Leere erst einmal Deinen Rechner vom Datenmüll mit CCleaner.com oder alternativ mit Download RegSeeker

Lass diese Datei anschl. bei Virustotal , bzw. Jotti überprüfen (Ohne Editierung natürlich)
C:\Dokumente und Einstellungen\***\Desktop\FolderAccess2.1FreeVersi on.exe.part=>wise0059 , alternativ nur die on.exe
VirusTotal - Free Online Virus and Malware Scan
Online malware scan
(Datei ins Weisse Fenster reinkopieren, "send/submit"-button anklicken)

Mal schauen ob dies wirklich Spyware ist. Log sieht sauber aus, hat aber keine Bedeutung!

DtothaEL 25.07.2007 00:22
Danke für die schnelle Hilfe!

Ergebnis mit Virustotal:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.25.0 2007.07.24 no virus found
AntiVir 7.4.0.44 2007.07.24 no virus found
Authentium 4.93.8 2007.07.24 no virus found
Avast 4.7.997.0 2007.07.25 no virus found
AVG 7.5.0.476 2007.07.24 no virus found
BitDefender 7.2 2007.07.24 Spyware.Lockfolder.A
CAT-QuickHeal 9.00 2007.07.24 no virus found
ClamAV devel-20070416 2007.07.24 no virus found
DrWeb 4.33 2007.07.24 no virus found
eSafe 7.0.15.0 2007.07.24 no virus found
eTrust-Vet 31.1.5003 2007.07.24 no virus found
Ewido 4.0 2007.07.24 no virus found
FileAdvisor 1 2007.07.25 no virus found
Fortinet 2.91.0.0 2007.07.24 no virus found
F-Prot 4.3.2.48 2007.07.25 no virus found
F-Secure 6.70.13030.0 2007.07.24 no virus found
Ikarus T3.1.1.8 2007.07.24 no virus found
Kaspersky 4.0.2.24 2007.07.25 no virus found
McAfee 5081 2007.07.24 no virus found
Microsoft 1.2704 2007.07.24 no virus found
NOD32v2 2417 2007.07.24 no virus found
Norman 5.80.02 2007.07.24 no virus found
Panda 9.0.0.4 2007.07.24 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.25 no virus found
Symantec 10 2007.07.25 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.24 no virus found
VirusBuster 4.3.26:9 2007.07.24 no virus found
Webwasher-Gateway 6.0.1 2007.07.25 no virus found


weitere Informationen
File size: 4370610 bytes
MD5: 52364f54954c9aecbdea85af20aac66b
SHA1: d636c2ebd0e6e20a7cd2aff64e8d89d913bd55ac
packers: BINARYRES, BINARYRES, BINARYRES



Ist also nur laut BitDefender Spyware.Lockfolder.A !
Der Scan mit Jetti brachte das gleiche Ergebnis ( Status:
POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

Würde die Datei gern einfach löschen, aber beim Löschvorgang kommt die Meldung: FolderAccess2.1FreeVersion.exe.part kann nicht gelöscht werden: Die Datei wird von einer anderen Person bzw. einem anderen Programm verwendet.

Was soll ich nun tun?


MfG

myrtille 25.07.2007 00:42
Hi,
so wie das Ergebnis aussieht, hast du keinen Virus an Bord, sondern Bitdefender erkennt ein reguläres Programm als schädliches Programm.

Am besten wäre es, wenn du die Datei mal an Bitdefender schickst und auf ihre Rückmeldung wartest. (dateien einsenden)
Schreibe bitte dazu, dass die Datei Teil des Programms FolderAccess ist und wo du das Programm heruntergeladen hast.

Poste die Antwort von Bitdefender bitte hier, damit wir auch wissen wie es weitergeht. :)

Sollte es (wie ich denke) ein Fehlalarm sein, wartest du auf das nächste Update von Bitdefender und die Meldungen verschwinden.

lg myrtille

DtothaEL 25.07.2007 00:51
Ok, und was hat es mit dem Ding auf sich, dass die von einer anderen Person benutzt wird und ich die so nicht löschen kann?

Ansonsten vielen Dank, ich schick das Ding ma an BitDefender!

myrtille 25.07.2007 01:09
Hi,
".part" ist eine Endung, die andeutet, dass die Datei nicht komplett heruntergeladen worden ist. Daher gehe ich mal davon aus, dass das Programm mit dem du versucht hast die Datei herunterzuladen noch auf die Datei zugreift/zugreifen will um den angefangen Job noch zu Ende zubringen und so die Fehlermeldung produziert wird.

Würde dir empfehlen es mal mit killbox zu versuchen:
Lade dir killbox und mittels "Delete on reboot" folgendes löschen :
Zitat:
C:\Dokumente und Einstellungen\***\Desktop\FolderAccess2.1FreeVersi on.exe.part
Die Datei sollte sich danach im Ordner C:\!killbox\ befinden.

Wenn das so nicht klappt, versuch dasselbe nochmal ausm abgesicherten Modus heraus. Wenn das immer noch nicht klappt, dann meld dich nochmal hier, dann fahren wir härtere Geschütze auf. ;)

lg myrtille

DtothaEL 25.07.2007 01:35
Wunderbar, jetzt ist der Kram zumindest weg vom Desktop und nur noch im Killbox ordner.. Die Meldung von BitDefender nervt und macht alles so lahm, hoffentlich fixen die das.

Besten Dank,
DtothaEL

DtothaEL 26.07.2007 17:01
Bis heute keine Antwort oder sowas von BitDefender.. hat da jemand schon mal was hingeschickt und weiß wie lang das dauert?

myrtille 26.07.2007 17:11
Hast du mal ein Bitdefenderupdate gezogen? Wird die Datei noch bemängelt?

Eventuell haben sie deine Mail als Benachrichtigung und nicht als Nachfrage verstanden. Allerdings hab ich selbst noch nie was an Bitdefender geschickt und kann dir dazu also eigentlich nichts sagen.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19