Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spinnt Adaware? (https://www.trojaner-board.de/22258-spinnt-adaware.html)

TanitaRoth 28.09.2005 08:45
Spinnt Adaware?
 
Hallo an alle.
Ich habe gerade bei meinem Freund Adaware installiert, weil er immer die Meldung bekommt, daß eine Java-Script-Virus-Signatur gefunden worden ist Namens JS/Femad.B
Spybot und AntiVir tun oder finden anscheinend sonst nichts.
Während des Adaware-Scans meldet sich aber Antivir, mit dem Fund des oben erwähnten Problems.
Zu meiner Überraschung fand Antivir kurze Zeit später auch noch die Signatur eines Wurms.
4 "identifizierte" Dateien fand Adaware, bevor es plötzlich hiess: Ist beschäftigt!
Danach passierte nichts mehr und ich musste den Scan abbrechen.
Somit weiß ich z.B. nicht, welche Dateien gefunden wurden und wo sie sind.

Frage:Was bedeutet: enthält die Signatur von...? Ist da nun ein Virus, oder nicht?
Und wieso spinnt Adaware? Benutze es selbst schon sehr lange und sowas ist noch nie vorgekommen.
Ich hoffe, mir kann jemand weiterhelfen
Gruß
T.

stupormundi 28.09.2005 08:53
Servus, TanitaRoth!

Kein Scanner oder sonstiges Sicherheitsutility ist perfekt!
Interessant wäre wo Antivir welchen Wurm (Pfad, Dateiname, Wurmbezeichnung) gefunden hat. Die Probs mit Adaware können durchaus auch von Schadsoftware stammen, da viele Viren gleich mal bekannte Prozesse von entsprechenden Sicherheitsprogrammen beenden oder beeinflussen wollen.
Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
und teile uns das genaue Ergebnis der Virenfunde von Antivir und auch Adaware (sofern noch zugänglich) mit.
Bis dann, stupormundi

TanitaRoth 28.09.2005 09:15
Hallo Stupormundi.
Danke für Deine Antwort.

Hier erstmal das HJT Protokoll:
Logfile of HijackThis v1.99.1
Scan saved at 10:06:25, on 28.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Freemex\FREEMEX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WinSweep\WSMonitor.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\***\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CHZ FreeMeX] C:\Freemex\FREEMEX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124471607156
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

Hier das AntiVir Protokoll:
C:\DOKUME~1\***\LOKALE~1\TEMP\AAWTMP\C2152734\2A974A\WORKER.CLASS
28.09.2005,08:31:26 [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/Femad.B!
C:\DOKUME~1\***\LOKALE~1\TEMP\AAWTMP\C2152734\2AD016\WORKER.CLASS
28.09.2005,09:08:32 [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/Femad.B!
C:\DOKUME~1\***\LOKALE~1\TEMP\AAWTMP\C6560828\1F908F\WORKER.CLASS
[INFO] Die Datei wurde nach *.VIR umbenannt!

28.09.2005,08:07:16 [WARNUNG] Enthält Signatur des Wurmes WORM/Torvil.D!
D:\SYSTEM VOLUME INFORMATION\_RESTORE{47993D1C-09A5-471A-B2E6-669A74D951C1}\RP22\A0009290.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

Ich hoffe, das reicht erstmal
Gruß
T.

stupormundi 28.09.2005 09:41
Servus, TanitaRoth!
Deaktiviere mal die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html, lösche im abgesicherten Modus die Temporärdateien und die Virenquarantäne, starte neu und aktiviere die Systemwiederherstellung wieder.
Scanne erneut mit AntiVir und berichte.
Du verwendest NetAnts (als Downloadmanager?). Das Prog. wird immer wieder als problematisch beschrieben (ang. Cydoor-infiziert worauf aber in Deinem Log nichts hinweist).
In Deinem Log finde ich nichts Aufregendes was auf einen Schädling unmittelbar hinweist!
Bis dann, stupormundi

TanitaRoth 28.09.2005 10:00
Hallo Stupormundi.
Wie gesagt; Es ist der PC meines Freundes und ich hatte nicht erwartet, diese Probleme vorzufinden. Ich werde nach Rücksprache mit ihm, Deinen Vorschlag ausprobieren. Und melde den Erfolg danach.
Danke Dir erstmal für Deine Mühe.
Gruß
T.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131