Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Meldung AntiVir Worm/PoeBot.21504 (https://www.trojaner-board.de/12495-meldung-antivir-worm-poebot-21504-a.html)

rainer645 20.01.2005 20:07
Meldung AntiVir Worm/PoeBot.21504
 
Hallo! Ich bin neu hier im Forum und habe so gut wie keine Erfahrung mit Würmern oder Viren. :confused:
AntiVir meldet mir plötzlich die Signatur oben genannten Wurms gefunden zu haben. Was ist das für einer? Hab nichts gefunden darüber?

Kann mir bitte jemand helfen?

Gruß, Rainer. :daumenhoc

chaosman 20.01.2005 20:13
@rainer645
wenn du wirklich PoeBot oben hast
http://www.sophos.de/virusinfo/analyses/w32poebotc.html

dann hast du ein großes problem
du kannst um sicher zu gehen dein datei hier online überprüfen

wenn das bestätigt wird, dann kannst du nur noch dein system neuaufsetzen
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

sry

chaosman

rainer645 20.01.2005 20:29
Hallo! Danke für die schnelle Antwort. Habe die Datei hochgeladen und folgendes Ergebnis bekommen:
Also denke ich daß mein PC doch nicht befallen ist, oder?

Gruß,
Rainer.

File: wrar320.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (0.28 seconds taken)
Avast No viruses found (4.52 seconds taken)
BitDefender No viruses found (2.62 seconds taken)
ClamAV No viruses found (0.63 seconds taken)
Dr.Web No viruses found (1.98 seconds taken)
F-Prot Antivirus No viruses found (0.20 seconds taken)
Kaspersky Anti-Virus No viruses found (7.55 seconds taken)
mks_vir No viruses found (8.50 seconds taken)
NOD32 No viruses found (1.35 seconds taken)
Norman Virus Control No viruses found (4.77 seconds taken)

Chris14 20.01.2005 20:31
am scan einer datei ist das nicht zu erkennen.erstelle bitte ein hijackthis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste dann das log.

rainer645 20.01.2005 20:34
Hallo!
Vielen Dank für eure Hilfe!

Logfile of HijackThis v1.99.0
Scan saved at 20:09:50, on 20.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Trojancheck 6\tcguard.exe
c:\programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bär\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mm_server] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe
O4 - HKLM\..\Run: [PhilipsRemote] C:\Programme\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105019375968
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Gruß, Rainer.

cacatoa 20.01.2005 20:38
Poebot hätte die datei "defragfatz" kreiert.
Mach, was Chris sagt.

cacatoa 20.01.2005 20:40
@ chris
war wohl nur was kurzfristiges auf seinem Rechner, oder?

rainer645 20.01.2005 20:58
Hallo Chris.

was meinst du - muß ich mir Sorgen machen? :dummguck:

Gruß, Rainer.

Chris14 20.01.2005 21:21
ich kann mir nicht sicher sein..
es wäre möglich das poebot antivir ausgeschalten hat.
es wäre aber auch möglich dass antivir poebot bevor er ins system eindringen konnte ihn stoppen konnte.
ein escan würde wohl mehr klarheit verschaffen..
lade dir also mal escan runter und gehe nach dieser anleitung vor
dann gehe wieder in den normalen modus,öffne anschließend die datei mwav.log,woraufhin du auf auf bearbeiten und dann auf suchen klicken musst.Gebe dann infected ein,suche immer weiter,markiere sie und kopiere sie ins forum.

Haui45 20.01.2005 21:44
Sag doch mal bitte, was es für eine Datei ist, woher hast du sie z.B.
Dem Dateinamen nach handelt es sich um eine (veraltete) Version von WinRar.

*edit*
Kann es sein, dass deine Signaturen von AntiVir nicht aktuell sind, denn der Onlinescan hat ja nichts angezeigt....

rainer645 20.01.2005 22:25
Hallo!

Die Datei (WinRar) hab ich von einem Bekannten. Der hat sie schon über ein Jahr.
Ich habe mein AntiVir vor dem scan upgedatet. Ich versteh auch nicht warum über das online tool nichts rausgekommen ist.

@Chris
escan läuft noch.

Gruß, Rainer.

Chris14 20.01.2005 22:28
ah das ist gut.
nicht vergessen das ergebnis zu posten wenn er fertig ist

cacatoa 20.01.2005 22:29
Vielleicht hast du gar nix drauf.
Lade Dir doch WinRar in einer neuen Version runter.

Haui45 20.01.2005 22:33
Mein Tipp: wahrscheinlich Fehlalarm
btw: hast du die Datei schon ausgeführt?

rainer645 20.01.2005 22:38
Oje! escan hat gerade eine Meldung ausgegeben:

Virus detected... You will need to buy escan... :heulen:

Haui45 20.01.2005 22:39
Du weißt schon, dass eScan im abgesicherten Modus ausgeführt werden soll...
Nicht alles was Escan findet ist auch schlecht.....

rainer645 20.01.2005 22:41
Wie starte ich im abgesicherten modus??

Vielen Dank!

Haui45 20.01.2005 22:42
Google? Windows-Hilfe? Forensuche? Artikel über eScan?
Steht überall geschrieben....

rainer645 20.01.2005 22:44
Ok mach ich. Danke schön enstweilen.
Gruß, Rainer.

rainer645 21.01.2005 06:14
Hallo! Hier der output von e-scan.

File C:\System Volume Information\_restore{9037FFC8-4506-4300-8422-99D4714010E3}\RP7\A0001446.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.
File C:\System Volume Information\_restore{9037FFC8-4506-4300-8422-99D4714010E3}\RP7\A0001483.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.
File D:\programs\Dreamweaver MX 2004 + Flash MX 2004 + Fireworks MX 2004 + CRACK\Dreamweaver MX 2004 + Flash MX 2004 + Fireworks MX 2004 + CRACK.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\programs\NEC USB 2.0\upd720101_drv_winall_v2.1.10\upd720101\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\programs\Norton\Norton Personal Firewall 2004 (Symantec)..keygen x.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken.
File D:\programs\Xbox - Flash Fxp v2.0 Crack(1)\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{9037FFC8-4506-4300-8422-99D4714010E3}\RP18\A0005867.exe infected by "TrojanDropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{9037FFC8-4506-4300-8422-99D4714010E3}\RP18\A0005868.exe infected by "TrojanDropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{9037FFC8-4506-4300-8422-99D4714010E3}\RP18\A0005869.exe infected by "TrojanDropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{C1B59A70-3612-45A1-8137-7BF6C6E75836}\RP11\A0003171.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Ich hoffe ihr könnt mir nun sagen was ich zu tun habe.

Vielen Dank für Eure Hilfe, Rainer.

Shadowdance 21.01.2005 10:28
@ rainer645

ich hätte gerne noch ein paar Angaben mehr: wieviele Viren wurden auf Deinem Rechner gefunden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

rainer645 21.01.2005 10:48
@ Shadowdance

Danke für deine Hilfe: :aplaus:

Fri Jan 21 01:49:31 2005 => Total Files Scanned: 110579
Fri Jan 21 01:49:31 2005 => Total Virus(es) Found: 10
Fri Jan 21 01:49:31 2005 => Total Disinfected Files: 0
Fri Jan 21 01:49:31 2005 => Total Files Renamed: 0
Fri Jan 21 01:49:31 2005 => Total Deleted Files: 0
Fri Jan 21 01:49:31 2005 => Total Errors: 4
Fri Jan 21 01:49:31 2005 => Time Elapsed: 02:55:59
Fri Jan 21 01:49:31 2005 => Virus Database Date: 2005/01/20
Fri Jan 21 01:49:31 2005 => Virus Database Count: 116055

Fri Jan 21 01:49:31 2005 => Scan Completed.

Gruß, Rainer.

Shadowdance 21.01.2005 11:56
@ rainer645

ok thx. Der einzige Eintrag der zu entfernen ist:

File D:\programs\Norton\Norton Personal Firewall 2004 (Symantec)..keygen x.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus.

Du solltest ihn aber vorher auf Diskette speichern --> Dialer-Hinweis

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann (offline) in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, markiere/kopiere die Datei, übertrage sie in die Windows Suche und lösche sie. Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

.. und bitte noch ein Hijack This Logfile erstellen und posten.

rainer645 21.01.2005 12:45
@ Shadowdance

Vielen Dank für deine Hilfe. Ich werde deine Anweisung befolgen. :aplaus:

Gruß, Rainer.

rainer645 21.01.2005 21:27
@ Shadowdance

habe deine Anweidungen befolgt.

Hier der hijackthis output:

Logfile of HijackThis v1.99.0
Scan saved at 21:25:42, on 21.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Bär\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mm_server] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe
O4 - HKLM\..\Run: [PhilipsRemote] C:\Programme\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105019375968
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ist mein System jetzt in Ordnung???

Gruß, Rainer.

katze1953 22.01.2005 01:30
hallo ich hatte die gleiche meldung AntiVir Worm/PoeBot.21504, datei: wrar320d.exe; habe dann winrar deinstalliert und anschließend von antivir keinen wurm mehr gemeldet bekommen, da ich jedoch wenig ahnung habe, möchte ich meine logs von antivir, hijackthis und escan doch mal von experten begutachten lassen, ob ich wirklich wieder sauber bin:

1.) Logfile of HijackThis v1.99.0
Scan saved at 00:14:58, on 22.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Downloadprogramme\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103139523813
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

2.)Erstellungsdatum der Reportdatei: Freitag, 21. Januar 2005 22:13

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.75 (0) vom 21.01.2005
Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Guido Hoyer
Prozessor: Pentium
Arbeitsspeicher: 261616 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.8 791040 18.01.2005 21:22:00
AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44
AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44
GUARDMSG.DLL : v6.28.00.02 98344 14.12.2004 17:50:44
AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44
AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 17.03.2004 14:59:42
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 17.03.2004 15:00:00
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 14.12.2004 17:50:44
AVREG.DLL : v6.27.00.01 41000 14.12.2004 17:50:44
AVRep.DLL : v6.29.00.75 897064 21.01.2005 20:09:20
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
CTL3D32.DLL : v2.31.000 27136 18.08.2001 20:00:00
MFC42.DLL : v6.02.4131.0 1028096 04.08.2004 00:57:24
MSVCRT.DLL : v7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : v7.0.2600.2180 343040 04.08.2004 00:57:30
CTL3DV2.DLL : Keine Information
Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK

3.)Sat Jan 22 00:02:57 2005 => **********************************************************
Sat Jan 22 00:02:57 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 00:02:57 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 00:02:57 2005 => **********************************************************
Sat Jan 22 00:02:57 2005 => Version 4.8.6 (C:\Downloadprogramme\mwav\mwavscan.com)
Sat Jan 22 00:02:57 2005 => Log File: C:\DOWNLO~1\mwav\MWAV.LOG
Sat Jan 22 00:02:57 2005 => Last Scan Date and Time: 21.01.2005 23:56:33
Sat Jan 22 00:02:58 2005 => Latest Date of files inside MWAV: 21 Jan 2005 06:01:03.
Sat Jan 22 00:03:02 2005 => AV Library Loaded...
Sat Jan 22 00:03:02 2005 => Scanning File C:\DOWNLO~1\mwav\kavss.exe
Sat Jan 22 00:03:02 2005 => Scanning File C:\DOWNLO~1\mwav\Getvlist.exe
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\kavss.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\kavssdi.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\kavssi.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\kavvlg.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\msvlclnt.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\ipc.dll
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\main.avi
Sat Jan 22 00:03:03 2005 => Scanning File C:\DOWNLO~1\mwav\virus.avi
Sat Jan 22 00:03:03 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 00:03:03 2005 => Virus Database Count: 116178

Sat Jan 22 00:03:10 2005 => **********************************************************
Sat Jan 22 00:03:10 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 00:03:10 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 00:03:10 2005 =>
Sat Jan 22 00:03:10 2005 => Support: support@mwti.net
Sat Jan 22 00:03:10 2005 => Web: http://www.mwti.net
Sat Jan 22 00:03:10 2005 => **********************************************************
Sat Jan 22 00:03:10 2005 => Version 4.8.6 (C:\Downloadprogramme\mwav\mwavscan.com)
Sat Jan 22 00:03:10 2005 => Log File: C:\DOWNLO~1\mwav\MWAV.LOG
Sat Jan 22 00:03:10 2005 => Windows Root Folder: C:\WINDOWS
Sat Jan 22 00:03:10 2005 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Jan 22 00:03:10 2005 => OS: Windows NT
Sat Jan 22 00:03:10 2005 => Latest Date of files inside MWAV: 21 Jan 2005 06:01:03.

Sat Jan 22 00:03:10 2005 => Options Selected by User:
Sat Jan 22 00:03:10 2005 => Memory Check: Enabled
Sat Jan 22 00:03:10 2005 => Registry Check: Enabled
Sat Jan 22 00:03:10 2005 => StartUp Folder Check: Enabled
Sat Jan 22 00:03:10 2005 => System Folder Check: Enabled
Sat Jan 22 00:03:10 2005 => System Area Check: Disabled
Sat Jan 22 00:03:10 2005 => Services Check: Enabled
Sat Jan 22 00:03:10 2005 => Drive Check Option Disabled
Sat Jan 22 00:03:10 2005 => Folder Check: Disabled

Sat Jan 22 00:06:21 2005 => ***** Scanning complete. *****

Sat Jan 22 00:06:21 2005 => Total Files Scanned: 2835
Sat Jan 22 00:06:21 2005 => Total Virus(es) Found: 0
Sat Jan 22 00:06:21 2005 => Total Disinfected Files: 0
Sat Jan 22 00:06:22 2005 => Total Files Renamed: 0
Sat Jan 22 00:06:22 2005 => Total Deleted Files: 0
Sat Jan 22 00:06:22 2005 => Total Errors: 0
Sat Jan 22 00:06:22 2005 => Time Elapsed: 00:03:11
Sat Jan 22 00:06:22 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 00:06:22 2005 => Virus Database Count: 116178

Sat Jan 22 00:06:22 2005 => Scan Completed.

Danke!

Organic 22.01.2005 12:39
Hallo katze1953,

Dein HiJackThis Log sieht für mich sauber aus. Einzig folgenden Eintrag kannst Du mit HJT fixen da unnötig:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Dein AntiVir Scan ist nicht komplett. Geh mal in Programme/AVPersonal/Logfiles und suche den letzten Log und stelle den noch hier rein.

eScan sieht auch ok aus.

Ich denke das OS ist sauber.

Aber lieber noch mal warten was die wirklichen "Könner" :daumenhoc des Forum's dazu sagen.

Schönen Tag noch

Organic

katze1953 22.01.2005 18:07
danke, organic für die positiven infos
hier ein taufrischer antivir-log

Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2005 17:31

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.75 (0) vom 21.01.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 96055 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Guido Hoyer
Prozessor: Pentium
Arbeitsspeicher: 261616 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.8 791040 18.01.2005 21:22:00
AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44
AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44
GUARDMSG.DLL : v6.28.00.02 98344 14.12.2004 17:50:44
AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44
AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 17.03.2004 14:59:42
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 17.03.2004 15:00:00
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 14.12.2004 17:50:44
AVREG.DLL : v6.27.00.01 41000 14.12.2004 17:50:44
AVRep.DLL : v6.29.00.75 897064 21.01.2005 20:09:20
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
CTL3D32.DLL : v2.31.000 27136 18.08.2001 20:00:00
MFC42.DLL : v6.02.4131.0 1028096 04.08.2004 00:57:24
MSVCRT.DLL : v7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : v7.0.2600.2180 343040 04.08.2004 00:57:30
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[ ] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[X] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Auszulassende ArchivTypen
1002 1001 1000

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\GUIDOH~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK

so long
katze 1953


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131