|
AVG Alert - Dropper etc. Hallo, ich bin neu hier und habe leider noch nicht einmal ne persönliche Vorstellung gemacht. Ich habe heute einen Alarm von AVG-Antivirus, auf neuestem Stand, bekommen. Die Message war VDC Dropper detected - dann hab ich den Zugriff verweigert. Ich fühle mich jetzt aber alles andere als sicher und habe AVG laufen lassen zum komplettscan. Resultat ist ein "Change" der C:\Windows\system32\shell32.dll . ICh habe keine Ahnung was ich davon halten soll und habe die Datei scannen lassen auf den beiden freien Internet-Datei-Scannern. Resultat, keine infektion. Ein Hijackthis-File habe ich auch schon. Bitte sagt mir ob mein System Viren/Trojanerfrei ist oder ob ich es neu aufsetzen "darf". Ich bin grade mitten in meinen Prüfungen (Uni) und es wräe klasse wenn ich wenigstens noch eine Woche (evtl. mit deaktiviertem I-net) mit dem Rechner arbeiten könnte. Das Autodesk was im Log zu finden ist, ist mein CAD Programm! Hier das Log, Danke im Voraus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:28:09, on 14.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\Msmsgs.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Grisoft\AVG7\avgcc.exe C:\Programme\Grisoft\AVG7\avgwb.dat C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe O23 - Service: Autodesk EDM Server - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 7050 bytes |
Hallo! ;) Zuerst bitte eScan ausführen, und Berichte posten. Starte nun HijackThis, drücke auf scan, mache vor folgende Einträge ein häckchen, und drücke anschließend "Fix checked" Zitat:
Danach -> Avenger - "Input script manually" anhacken - Auf die Lupe klicken - kopiere anschließend in "View/edit script" : Zitat:
- gruene Ampel anklicken ...das Script wird nun ausgeführt. danach wird der PC automatisch neustarten! |
Nein Die shell32.dll nicht mit Avenger löschen lassen. Es kann zwar passieren, dass Windows sie durch eine Backup-Kopie ersetzt, wenn aber nicht (ist möglich), dann ist Windows tot. Lasse sie noch mal bei VirusTotal scannen und kopiere die Ergebnisse vollständig inklusive MD5, SHA1, ihrer Größe und sonstiger ergänzender Angaben hierher. |
Ich kann Dir jetzt schon sagen, was VirusTotal ausspuckt! ;) |
Bitte :) Danach warten wir aber lieber noch mal die Ergebnisse des Onlinescans ab. Bei einer swolchen Systemdatei sollte es kein Problem sein, anhand des MD5 zu prüfen, ob sie echt ist oder verändert wurde. |
Guten Morgen, erstmal Danke für die schnellen Antworten - ich les mri mal eben die Anleitung zum escan durch und das Ergebnis vom Virustotal lautet, alles normal und legal :Boogie: ! Mach ich aber nochmal und poste es :) Find ich soweit schonmal toll. Dann will ich mich mal eben an den escan machen und nochmal hijackthis bemühen. poste ich sobald ich durch bin. Thx nochmal. |
Hier der Scan - Bitte bitte lass die Datei ok sein. Datei shell32.dll empfangen 2008.01.15 07:59:15 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.15.11 2008.01.15 - AntiVir 7.6.0.46 2008.01.14 - Authentium 4.93.8 2008.01.13 - Avast 4.7.1098.0 2008.01.14 - AVG 7.5.0.516 2008.01.14 - BitDefender 7.2 2008.01.15 - CAT-QuickHeal 9.00 2008.01.14 - ClamAV 0.91.2 2008.01.14 - DrWeb 4.44.0.09170 2008.01.14 - eSafe 7.0.15.0 2008.01.14 - eTrust-Vet 31.3.5459 2008.01.15 - Ewido 4.0 2008.01.14 - FileAdvisor 1 2008.01.15 - Fortinet 3.14.0.0 2008.01.15 - F-Prot 4.4.2.54 2008.01.14 - F-Secure 6.70.13030.0 2008.01.14 - Ikarus T3.1.1.20 2008.01.15 - Kaspersky 7.0.0.125 2008.01.15 - McAfee 5206 2008.01.14 - Microsoft 1.3109 2008.01.15 - NOD32v2 2791 2008.01.14 - Norman 5.80.02 2008.01.15 - Panda 9.0.0.4 2008.01.14 - Prevx1 V2 2008.01.15 - Rising 20.27.10.00 2008.01.15 - Sophos 4.24.0 2008.01.15 - Sunbelt 2.2.907.0 2008.01.15 - Symantec 10 2008.01.15 - TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.13 - VirusBuster 4.3.26:9 2008.01.15 - Webwasher-Gateway 6.6.2 2008.01.15 - weitere Informationen File size: 8501248 bytes MD5: 3902aa8398029d89b63d8cf2e0c8d91d SHA1: 6892cb5bb4232f5303eceb97eda6c11c13be7529 PEiD: - |
Antivir (mit Experten-Einstellungen laut Board) hat nüx gefunden und bei Ad-Aware ists das Gleiche... |
Musste grade abbrechen weil ich dringend zur Uni muss... Ich bin aber aufgrund dem Kram den ich gesehen hab dank escan wohl eh am Arsch! Falls es da Möglichkeiten gibt das System bis nach meinen Prüfungen (vor allem wegen autodesk - bräuchte sonst ne neue lizenz) halbwegs sicher zu betreiben *ja ich träum gern* wärs toll! Hier mal ein Auszug - ich hab jetzt auch ne Ahnung wo ich den Kram her hab und von wem der kommt - das gibt wirklich Ärger! Tue Jan 15 08:28:25 2008 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Tue Jan 15 08:28:25 2008 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\spydb.avs, Size: 327688]. Tue Jan 15 08:28:28 2008 => Indexed Spyware Databases Successfully Created... Tue Jan 15 08:28:35 2008 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\programme\autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\Autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:40 2008 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite Tue Jan 15 08:29:40 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. Der Kram mit der "main.exe" waren Programme für meine GIT Vorlesung - ergo hat einer unserer Jungs die Dateien gehackt nachdem Sie vom Prof kamen und ich sie leider nur aus der "Rundmail" entnommen habe... Danke für die Hilfe soweit und evtl. kann ich noch n klitzekleines bissl was retten!? Gruß |
Jetzt läuft der komplette Escan... Frage am Rande, wo bekomme ich denn da ne Vollversion her bzw. wie kann ich den ganzen gefundenen Mist fixen!? Bin für Jede Info dankbar und das Ergebnis poste ich sobald er fertig gescannt hat - kann man denn zu dem halbfertigen scan von vorhin nix sagen? Greetz |
Du brauchst keine Vollversion. Wenn du nach dem Scan, wie in der Anleitung beschrieben, die Ergebnisse der find.bat postest, lässt sich ersehen, was zu entfernen ist, und das lässt sich dann i.d.R. von Hand erledigen. |
Danke für die Info - Scan läuft noch. Nächste blöde Frage - wie editiere ich vorhandene Beiträge? In der Suche oder FAQ find ichs net und iwie muss ich da nen Button übersehen... |
Also die shell32.dll ist in Ordnung. Meine hat den gleichen Checksummen und ich bin mal so unbescheiden davon auszugehen, das mein System nicht infiziert ist. AVG speichert bei der Installation Prüfsummen, bekommt es aber nicht mit, wenn die Dateien in der Zwishcenzeit (z.B. durch Windowsupdate) legal geändert wurden. Das hatten wir schon einige Male. Escan: Zu "7e853d72-626a-48ec-a868-ba8d5e23e045" finde ich nur das hier, abgesehen von den O2-Einträgen in diversen Hijackthis-Logs, die diese CLSID verwaist enthalten und diversen Escan-Logs, die das ganze dann zu einer Malware erklären. Wenn der Escan etwas als "offending" erklärt, dann heißt das nur, dass ihm der Dateiname nicht gefällt. In deinem Fall mag er keine Dateien mit dem Namen "main.exe". Ich gehe mal davon aus, dass die Software von deinem Prof fürsd Studium ok ist, Escan hat sich sowieso nicht den Inhalt der dateien angeschaut, Du kannst also in Ruhe weiterstudieren. Für "PowerReg Scheduler" gibt es in der Tat Berichte, die ihn als Adware einstufen, da ich die Software nie live gesehen habe, kann ich aber nicht dafür garantieren, dass sie stimmen. die feine Datenbank bei Castlecops hat dazu diesen Eintrag, in dem es heißt, dass er einfach überflüssig ist. Ich neige dazu, dem zuzustimmen, würde ihn also aus dem Autostart rausnehmen. Zur Krönung hat der Escan ICQlite noch als Backdoor identifiziert, wundere dich also nicht, wenn Du noch Aufforderungen bekommst, deine Platte zu formatieren und neu zu installieren. Fazit: Escan ist einfach nur noch Sch.... und gehört wirklich dringend auf diese Liste gesetzt. Bleibt eigentlich nur dieser VDC Dropper. Wo wurde der denn gefunden? |
Soll heissen, dass ich nach bisherigen logs relativ Viren/Adwarefrei bin? Tja die Main.exe ist von meinem Prof und teil eines selbst geschriebenen Programms von ihm in jeder Lektion... Hab jetzt gedacht ich wäre total verseucht. Bin ja gespannt was du/ihr zum nächsten Scan sagst (escan vollständig). Den Dropper hat mir AVG nur ganz kurz angezeigt und ich hab dann die vorgeschlagene aktion ausgeführt. Sollte irgendwo im Mozilla-Ordner liegen!? Hab aber die angegebene Position net gefunden. Ich schau gleich nochmal in der Event History Log nach. Vielen Dank bis jetzt - allein ist man bei dem Zahlen und Code gewusel vollends verloren... |
Da isses, <rec time="2008/01/14 14:21:40" user="SYSTEM" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\smvockd9.default\Cache\5517EE54d01</attr> <attr name="finding">@EID_Fi_vir</attr> <attr name="virusname">VBS/Dropper</attr> Kann das sein, dass der iwie unsichtbar is? Kann es vllt. sein, dass AVG das Vieh doch abgewehrt hat!? Ich hab bei privaten Daten so Panik - wenn nach dem Escan deine Interpretation die Gleiche ist wie eben, dass ich keinen Virus habe, dann werd ich erstmal die ganzen Sicherungsmaßnahmen wie im Board beschrieben durchführen. Bin jetzt echt mal ne Runde sensibilisiert für das Problem... Also bis zum Log... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board