Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit Wurm Remam.A (https://www.trojaner-board.de/7372-problem-wurm-remam-a.html)

Holzmichl 06.09.2004 06:10
Problem mit Wurm Remam.A
 
Hallo!
Antivir hat bei mir den Wurm "Remadm.A.9" gefunden.

Nach eigenen Recherchen bin ich dann auf e- Scan und Hijackthis gestoßen.

E- Scan hat nach einem 2 Stunden Scan im abgesicherten Modus gleich 18 Viren gefunden (Beispiel :Fri Aug 06 03:34:36 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.)

Ich kann damit nix anfangen, der Scan von Hijackthis gibt mir nicht viel mehr Aufschluß, wer kann helfen?

Thx

Den Scanbericht von E-Scan erspar ich Euch, der hat 10 MB :crazy:

Shadowdance 06.09.2004 06:28
Hallo Holzmichl,

teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

Wo hat Antivir den 'Remadm.A.9' gefunden?

Zu Deinem Hijack This-Logfile:

bitte im abgesicherten Modus mit Hijack This fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab


Dieser Eintrag O4 - Startup: index.cmd
sagt mir nichts.

bitte prüfen mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\wanmpsvc.exe
D:\Programme\gsmg_2_1\gsmg_msg.exe

Ergebnis?

Erstelle bitte ein weiteres Logfile und poste es mittels copy&paste entsprechend der Anleitung hier ins Forum. Bitte füge es nicht als Anhang an.

SD

Holzmichl 06.09.2004 11:13
Dank Euch für die rasche Antwort.

Antivir hat den Wurm in einer selbstextrahierenden WinRar Datei gefunden, die habe ich aber mittlerweile gelöscht.

Der Eintrag 04 Startup: index.cmd ist von mir erstellt, er soll die Windows Auslagerungsdatei beim runterfahren löschen.

Das Programm LckFldService.exe ist ebenfalls ein bekanntes Programm ebenso das Programm wanmpsvc (gehört zu AOL) und gmsg_msg ist auch ein mir bekanntes Programm.

Hier also das Logfile:

Das sind die Virenmeldungen:

Stört Euch nicht am Datum, das hab ich verkehrt eingestellt und zu spät bemerkt.



Fri Aug 06 03:23:24 2004 => File C:\Dokumente und Einstellungen\Schatzi\Desktop\Neu Aktenkoffer\Bakups\Archive\Setups1\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:23:38 2004 => File C:\Dokumente und Einstellungen\Schatzi\Desktop\Neu Aktenkoffer\Bakups\Archive\Setups1\sbsetup397.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:34:36 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:34:50 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\sbsetup397.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:14 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019900.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus.

Fri Aug 06 03:48:21 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019901.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:24 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019902.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:31 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019903.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:31 2004 => ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP111\change.log

Fri Aug 06 03:59:26 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP97\A0014324.exe infected by "not-a-virus:AdvWare.SaveNow.af" Virus.

Fri Aug 06 05:23:22 2004 => File F:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP104\A0018759.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 05:25:11 2004 => File F:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP108\A0019511.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.


Und hier das E-Scanergebnis:

Fri Aug 06 05:26:52 2004 => Total Number of Files Scanned: 87785
Fri Aug 06 05:26:53 2004 => Total Number of Virus(es) Found: 18
Fri Aug 06 05:26:53 2004 => Total Number of Disinfected Files: 0
Fri Aug 06 05:26:53 2004 => Total Number of Files Renamed: 11
Fri Aug 06 05:26:53 2004 => Total Number of Deleted Files: 0
Fri Aug 06 05:26:53 2004 => Total Number of Errors: 0
Fri Aug 06 05:26:53 2004 => Time Elapsed: 02:08:11
Fri Aug 06 05:26:53 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 05:26:53 2004 => Virus Database Count: 103271

Fri Aug 06 05:26:53 2004 => Scan Completed.

Fri Aug 06 05:51:32 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 05:51:32 2004 => Virus Database Count: 103271
Fri Aug 06 05:51:54 2004 => AV Library Unloaded (3)...
Fri Aug 06 07:00:26 2004 => **********************************************************
Fri Aug 06 07:00:26 2004 => eScan AntiVirus Toolkit Utility.
Fri Aug 06 07:00:26 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Aug 06 07:00:26 2004 => **********************************************************
Fri Aug 06 07:00:26 2004 => Version 4.4.7
Fri Aug 06 07:00:26 2004 => Log File: C:\bases\mwav.log
Fri Aug 06 07:00:27 2004 => Latest Date of files inside MWAV: 06 Sep 2004 04:01:19.
Fri Aug 06 07:00:28 2004 => AV Library Loaded...
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavss.exe
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\Getvlist.exe
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavss.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavssdi.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavssi.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavvlg.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\msvlclnt.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\ipc.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\main.avi
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\virus.avi
Fri Aug 06 07:00:29 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 07:00:29 2004 => Virus Database Count: 103271
Fri Aug 06 07:00:35 2004 => AV Library Unloaded (3)...

Holzmichl 08.09.2004 23:45
Hallo!

Danke für die Hilfe! Nach dem vorgeschlagenem Fix habe ich meinen PC nochmals im abgesicherten Modus mit E-Scan geprüft... Alles sauber...Prima. :daumenhoc Ihr versteht was von PC´s (behaupte ich von mir eigentlich auch :D ...naja man lernt nie aus...)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131