Trojaner-Board - AVG Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AVG Alert - Dropper etc. (https://www.trojaner-board.de/48216-avg-alert-dropper-etc.html)

Das war im Firefox-Cache. Da AVG den gleich kassiert hat, sollte nichts Böses passiert sein. funde im Browsercache können vorkommen, es gibt riesige Mengen infizierte/infizierende Webserver, da ist das unvermeidlich. "Zugriif verweigern" ist eine angemessene Reaktion, im Browsercache kannst du sogar löschen lassen (was bei anderen Verzeichnissen schief gehen kann, falls es mal ein Fehlalarm auf eine Systemdatei sein sollte).

Sicherungsmassnahmen sind natürlich immer gut. Zu denen hier im Forum beschriebenen möchte ich dir auch noch diesen Thread in einem anderen Forum empfehlen.

Wenn Du nicht noch weitere Sachen (z.B. mit dem rest des Escans) gefunden hast, dann sieht das danach aus, dass auf deinem System nichts ist. Mit dem Vorbehalt, dass man nie komplett ausschließen kann, dass es Sachen gibt, die man mit den hier eingesetzten Werkzeugen nicht entdecken kann.

So erstmal letzte Message von mir:

Das ist das komplette log und soweit ich das selbst beurteilen kann ist nichts schädliches mehr dabei - das eine ist Norton, das Andere kann ich nte wirklich zuordnen habe aber mit der Suche rausgefunden, dass die desktop.ini meist nix negatives ist :)

Vielen lieben Dank nochmal @ Karl, du rettest mir die ganze Prüfungsphase *G* 2 Fragen noch dann seid ihr erstmal erlöst:

1. Wie kann ich den Power-Reg Scheduler entfernen?
2. Wie haue ich das O2 Zeugs weg?

Schönen abend noch, Roadi

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 12/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\Eigenes Studium\Semester I bzw WS 2006 u 2007\Grundlagen Informationstechnik\Unbezahlbar 20 Aufgaben\aufgabe16\Debug\aufgabe16.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Dokumente und Einstellungen\Besitzer\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\programme\autostart\powerreg scheduler v3.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\autostart\powerreg scheduler v3.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\Autostart\powerreg scheduler v3.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe
Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2d1f953-2e9a-11db-84ea-00c0a8bfb246} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Matthias Müller\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\~WZS2376.TMP\patch.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 200524
Gefundene Viren: 16
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 535
Dauer des Scans bisher: 02:51:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:06:15,01
Batchende: 21:06:31,10

Powerreg Scheduler: Erstmal in Systemsteuerung -> Software schauen, ob Du ihn dort findest. Wenn ja: deinstallieren. Vermutlich kam er aber als Teil einer anderen Software, da ist es möglich, dass er dort nicht zu finden ist. Dann seinen Starteintrag in Start -> ausführen -> msconfig -> OK deaktivieren.

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:

Code:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - Startup: PowerReg Scheduler V3.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Die O4-Zeile fixen wäre eine andere Möglichkeit, den Powerreg Scheduler am Starten zu hindern. Die O9-Zeile ist ebenfalls überflüssig.

Die Javaversion auf deinem Rechner ist veraltet. Die muss aktualisiert werden. Dazu in Systemsteuerung -> Software alle alten Versionen deinstallieren, von http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java Update[/URL] die aktuelle "Java Runtime Environment (JRE) 6u4" runterladen und installieren. Der Adobe-Reader ist ebenfalls veraltet, auch dort gibt es Sicherheitsprobleme.

Außerdem gilt es als gefährlich, mehr als einen Virenscanner zu haben. Mögliche Folgen sind starke Bremsung des Systems bin hin zum Crash. Ich empfehle Antivir zu behalten.

Im vollständigen Escan-Ergebnis sind noch ein paar Sachen hinzugekommen, die ich aber ebenfalls für unwichtig halte. Leider ist die Auswertung sehr schwer, da Escan pro Meldung meistens zwei Textzeilen erzeugt (noch iene Idotie mehr), deren Zusammenhang dann durch die find.bat zerstört wird.

Gemeckere wegen zweier Norton-Dateien, mit deren Format Escan anschienend nicht klar kommt. dann noch diese drei desktop.ini Dateien. Stellt sich die Frage, was C:\recover für ein Ordner ist. Eine manuell angelegte Sicherung durch Kopieren oder ergebnis einer Software. dabei auf jeden Fall beachten, dass Datensicherungen immer auf andere Medien erfolgen müssen, wenn die Platte mal sterben sollte, sind sie sonst auch verloren.

Dort sind drei Dateien desktop.ini genannt. die sollten sich mit Notepad öffnen lassen, würde mich interessieren, was in ihnen steht.

Sind die Norton Dateien noch relevant?

Also :lach:

ICh hab den Powerreg erstmal am starten gehindert, dann HJT laufen alssen mit angegebenen Einstellungen. Aktualisiert ist nun sowohl Adobe wie auch Java. Einzig Probleme bereiten tut mir dieser komischer recover Kram, denn entweder bin ich nur zu blind oder ich finde diese Desktop.ini Dateien nicht... Wirklich klasse wie man sich hier um Probleme anderer kümmert und das auchnoch kostenfrei und wahrscheinlich in der eigenen Freizeit. Danke und gib mir bitte nochmal nen Tip wie ich diese Desktop.ini's finden kann.

Greetz Roadi

Achja, vergessen - Norton war mitgeliefert auf dem Notbook und ist noch nichtmal installiert - liegt alles nur im Ordner rum und frisst Platz. Kann also weg!

Also wohl ein Notebook. In idesem Fall würde ich den Ordner C:\recover erstmal unangetastet lassen, es kann sein, dass er die nötigen Dateien enthält, das System im Falle eines Crashs wiederherstellen zu können. Normalerweise ist das eine versteckte Partition auf Notebooks, da kann ich diesen Ordner hier nicht richtig deuten. Schau mal in die Unterlagen, normalerweise gibt es eine Vorgehensweise, mit der man die Recovery auf CD/DVD brennen kann, sehr empfohlen, denn die Platte könnte mal komplett Schrott werden.

wenn der Norton niemals installiert war, ist er kein Problem (außer der Platzverschwendung).

Wenn Du die dektop.ini-Dateien nicht siehst:

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Ihr Inhalt interessiert mich schon, um Klarheit darüber zu bekommen, ob das auch Mist vom Escan ist (was ich derzeit vermute).

Die Häkchen hab ich schon ewig so und seh nix - ich finde nichtmal den "recover"-ordner ohne auf die Windows-Suche zurückzugreifen. Gibts keine Möglichkeit wie bei nem I-net Explorer den Pfad den Escan gefunden hat iwo einzugeben? Ich weiss nicht wie ich die finden soll und an der Sichtbarkeit liegts net. *kopfkratz* :dummguck:

Mich würds auch interessieren was mit den Dingern los ist. Ne Recover-Cd hab ich wohl nochmal extra. Sonst auch ne neue Originale Studentenversion von XP-Pro :crazy:

Also wenn du noch ne Idee hättest wie ich den Ini-Dingern auf die Spur komme ich bin da offen für alles :)

Gruß Roadi

Zum einen könntst Du die Windows-suche mal nach desktop.ini-Dateien suchen lassen, vielleicht sind ja auch die gesuchten dabei. Dabei auch im Suchfenster links unten "Weitere Optionen" aufklappen und die Optionen entsprechend setzen.

Andere Idee: Notepad starten -> Datei öffnen -> den vollständigen Pfadnamen aus dem Escan-Log hineinkopieren.

So, ich hab die Dinger mit dem Notepad-Trick gefunden und sie sind leer o_O ist das nun schlimm oder net? Wenn ja wie kann ich die löschen!? Denn außer dem öffnen mit Notepad komm ich da ja zum löschen iwie net ran.

Gruß Roadi

Wenn sie leer sind, ist es gut. Ich wollte es vor allen Dingen wissen um einschätzung zu haben, was von den Escan Meldungen zu halten ist. Also ebenfalls Mist.

Ist das mit dem löschen dann dennoch erwünscht? So wie ich es derzeit einschätze (das ist aber keine Garantie) ist der gesamte Ordner C:\Recovery überflüssig. Vor dem löschen würde ich ihn aber zur Sicherheit auf ein anderes Medium kopieren/brennen. Wieviel Platz nimmt er denn ein (Rechtsklick -> Eigenschaften)?

Sorry, dass ichso lange nicht da war - hab mit meiner Workstation gearbeitet - jetzt kommt mein CAD Kram wieder und Schleppi is dran ;) Also wie gesagt in den *.ini Datein steht nix drin und der Ordner ist quasi meine "Recovery DVD" nur eben auf Platte. Macht immerhin geschmeidige 7,09GB aus. Ich werd ihn mal auf meine Externe Festplatte ziehen und dann kicken :)

Nochmal Danke für alles,

Greetz Roadi