Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ursache eScan-Alarm?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.11.2006, 11:43   #1
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Hallo

Habe mein System kürzlich mit eScan gechecked und die Fehlermeldung „Error entdeckt …“ kam auf. Letzten Endes hat eScan jedoch nichts Konkretes gefunden.
Daraufhin habe ich noch Antivir gegenlaufen lassen. Das hat ebenfalls neben den üblichen Warnungen nichts zu beanstanden gehabt. Wieso schlägt eScan dann aber Alarm?
Weiß nun nicht so Recht mit der Fehlermeldung von escan umzugehen.

Hier der aktuellste HJT log

Logfile of HijackThis v1.99.1
Scan saved at 11:30:24 p.m., on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro 4\transtask.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Maxthon\Maxthon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Maxthon\Maxthon.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Virenscannin'\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://W*W.BenQ.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{00EF9DEF-92D0-4885-A2EA-D4052B8116CE}: NameServer = 203.97.33.14 203.97.37.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{00EF9DEF-92D0-4885-A2EA-D4052B8116CE}: NameServer = 203.97.33.14 203.97.37.14
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe


Irgendwas Verdächtiges zu erkennen?


Für Deine/Eure Bemühungen schon einmal ein Dankeschön vorab.

Alt 12.11.2006, 22:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Kannst Du die genaue Fehlermeldung von eScan posten?
Zitat:
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
Java verträgt ein Update!
Zitat:
C:\Programme\VVSN\VVSN.exe
Werte diese Datei bitte mal bei Virustotal oder Jotti aus und poste das Ergebnis komplett.
__________________

__________________

Alt 13.11.2006, 09:28   #3
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Die Originalnachricht von eScan Antivirus Tool Utility (Version 8.6.5) lautet
„ Error entdeckt!!! Sie müssen die Vollversion haben um den Error zu entfernen. Klicken Sie auf eScan erwerben, um zum Webshop zu gelangen…“ . Das hilft wahrscheinlich nicht viel weiter aber Du hattest danach verlangt.

Hier die Ergebnisse von Jotti (mit inaktivierter Windows-Firewall)

„The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file”

Und das sind die Ergebnisse von Virustotal:

Complete scanning result of "VVSN.exe_", received in VirusTotal at 11.13.2006, 09:02:24 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.12.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.11.2006 no virus found
ClamAV devel-20060426 11.12.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.12.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1862 11.10.2006 no virus found
Norman 5.80.02 11.10.2006 no virus found
Panda 9.0.0.4 11.12.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.10.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.12.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
__________________

Alt 13.11.2006, 18:08   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?




Zitat:
Complete scanning result of "VVSN.exe_"
Wieso die Datei mit einem Unterstrich am Ende? Eigentlich solltest Du die Datei

C:\Programme\VVSN\VVSN.exe

checken lassen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.11.2006, 20:52   #5
Donlende
 
Ursache eScan-Alarm? - Frage

Ursache eScan-Alarm?



Genau das hab ich mehr als einmal gemacht. Bei Jotti und bei Virustotal. Weiss nicht warum das in der Art veraendert wurde??

Einwenig verwirrend ist auch dass die Datei offensichtlich in der Art in C: gar nicht/nicht mehr existiert???

Kann es sein dass just Daemontools Probleme macht? War in der Vegangenheit schon oefter der Fall.
Hier wird die VVSN.exe derart beschrieben:

Was macht eigentlich die VVSN.EXE? [Archive] - THE DAEMONS HOME


Alt 14.11.2006, 06:45   #6
Donlende
 
Ursache eScan-Alarm? - Standard

Ohne Worte



Hab es nochmal wiederholt. Hab mich wohl beim Pasten vertan. Ohne Worte...

Complete scanning result of "VVSN.exe", received in VirusTotal at 11.14.2006, 06:36:36 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.14.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.14.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.54 11.14.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.14.2006 no virus found
F-Prot 3.16f 11.14.2006 no virus found
F-Prot4 4.2.1.29 11.14.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.14.2006 no virus found
McAfee 4894 11.13.2006 no virus found
Microsoft 1.1609 11.14.2006 no virus found
NOD32v2 1864 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.13.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Alt 14.11.2006, 16:36   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Und welche Dateigröße?
Anscheinend kommt die über die Toolbar von Daemontools mit, deinstallier diese. Notfalls Daemontools komplett deinstallieren und das Setup erneut starten, aber dieses mal aufpassen, dass die Search-/Toolbar nicht mitkommt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.11.2006, 08:03   #8
Donlende
 
Ursache eScan-Alarm? - Ausrufezeichen

Ursache eScan-Alarm?



Die Dateigröße des Files war unverändert 0 Bytes.

Habe deiner Anweisung nach Daemon tools deinstalliert. Daraufhin erschien nach Neustart auf einmal der Folder C:\Programme\VVSN im hdd. Vorher war zwar immer mit HJT und Security Taskmanager zu erkennen dass da etwas in diesem Ordner gestartet wird, aber der eigentliche Ordner war nicht zu finden. Der Ordner VVSN enthielt beim ersten Auffinden nur die VVSN.exe. Nach kurzer Zeit expandierte er allerdings und enthält jetzt noch zusätzlich die 2 Dateien vvsn.cfg und den Folder Ui der wiederum images und scripte von WhenU.com beinhaltet. Das ist schätzungsweise der Bastard von Adware? Kann den Prozess VVSN.exe, der jetzt auch plötzlich im Windows Taskmanager auftaucht (Vorher nur im Sec. Tasman.), schließen. Er wird allerdings auch beim Ausschalten mit Killbox beim darauf folgenden Neustart wieder mit gestartet. Alles in Allem hat mich das alles veranlasst noch einmal mit Jotti und Virustotal zu scannen. Ergebnisse hier:

Complete scanning result of "VVSN.exe", received in Jotti at 11.15.2006, 07:16:08 (CET).

Datei: VVSN.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/SaveNow.BI adware gefunden
ArcaVir Adware.Whenu.D22 gefunden
Avast Win32:Adware-gen. gefunden
AVG Antivirus Generic.EAI gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.SaveNow gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus not-a-virus:AdWare.Win32.SaveNow.bi (4, 1, 400) gefunden
Fortinet Adware/WhenU gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SaveNow.bi gefunden
NOD32 Win32/Adware.WhenU.SaveNow application gefunden
Norman Virus Control W32/Whenu.A gefunden
VirusBuster Adware.Vvsn.B gefunden
VBA32 AdWare.Whenu.a gefunden


Complete scanning result of "VVSN.exe", received in VirusTotal at 11.15.2006, 07:16:08 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.39 11.15.2006 no virus found
Authentium 4.93.8 11.14.2006 no virus found
Avast 4.7.892.0 11.14.2006 no virus found
AVG 386 11.14.2006 no virus found
BitDefender 7.2 11.15.2006 no virus found
CAT-QuickHeal 8.00 11.14.2006 no virus found
ClamAV devel-20060426 11.14.2006 no virus found
DrWeb 4.33 11.15.2006 no virus found
eTrust-InoculateIT 23.73.56 11.15.2006 no virus found
eTrust-Vet 30.3.3192 11.14.2006 no virus found
Ewido 4.0 11.14.2006 no virus found
Fortinet 2.82.0.0 11.15.2006 no virus found
F-Prot 3.16f 11.14.2006 no virus found
F-Prot4 4.2.1.29 11.14.2006 no virus found
Ikarus 0.2.65.0 11.14.2006 no virus found
Kaspersky 4.0.2.24 11.15.2006 no virus found
McAfee 4895 11.14.2006 no virus found
Microsoft 1.1609 11.15.2006 no virus found
NOD32v2 1866 11.14.2006 no virus found
Norman 5.80.02 11.14.2006 no virus found
Panda 9.0.0.4 11.14.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.118 11.14.2006 no virus found
UNA 1.83 11.14.2006 no virus found
VBA32 3.11.1 11.14.2006 no virus found
VirusBuster 4.3.15:9 11.14.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Im Virustotal log ist allerdings unklar wieso 0 Bytes angezeigt wird. zZ. ist die VVSN.exe 105 kb groß.

Sicherheitshalber stelle ich noch einmal den aktuellen HJT log mit ein:

Logfile of HijackThis v1.99.1
Scan saved at 7:45:20 p.m., on 15/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro 4\transtask.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Virenscannin'\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h..p://W.W.BenQ.COM/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe


Habe noch keine weiteren Schritte unternommen, wie löschen der Dateien etc., weil ich nach dem nun doch sehr offensichtlichen Befall mir erst mal deine Meinung einholen wollte wie und wo man jetzt am besten anfängt…

Alt 15.11.2006, 12:00   #9
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Also irgendwie ist das alles doch ziemlich obskur. Offensichtlich handelt es sich ja um die Adware von WhenU.com die anscheinend auch noch vollkommen legal bei Daemon tools frei Haus mitgeliefert wird, wie ich bei Wikipedia gelesen habe. Nachdem ich aber jetzt mit Sec. Taskman., dem ‚normalen’ Taskmanager und Killbox den Prozess mehrere Male gestoppt hatte, ist er, sowie der Ordner in C: , nicht mehr aufzufinden. Es wird jetzt bei keinem der erwähnten Programme selbst eine hidden activity, wie zuvor, angezeigt.

Selbst der HJT log (unmittelbar nach Neustart) hat sich verändert:

Logfile of HijackThis v1.99.1
Scan saved at 11:50:25 p.m., on 15/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro 4\transtask.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Virenscannin'\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..t://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..t://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Clear.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h..t://W.W.BenQ.COM/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

Alt 15.11.2006, 18:03   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Da wird wohl eine Dateigröße von Null Bytes angezeigt, weil die Adware wohl den Zugriff auf sich selbst verhindert . Null Bytes = Leere Datei = kein Virus!
Vllt. solltest Du D-Tools nochmal komplett deinstallieren (wenn nicht schon passiert). Falls Du das Setup für D-Tools nochmal ausführst, achte darauf, dass nicht erneut die Bar mitinstalliert wird.
Dein Logfile sieht auch mittlerweile sauber aus. Hast Du schonmal ne manuelle Suche nach dieser Datei gestartet?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.11.2006, 20:41   #11
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Kann Adware auch virale Formen annehmen?? Dachte bisher Adware waere ein Advertisement Add und nicht unbedingt sonderlich gefaehrlich... ? Lasse mich aber gern eines besseren belehren.

D-tools ist jetzt erstmal vollkommen runtergeworfen und wird auch nicht mehr installiert bis das exakte Problem dingfest ist.

Wie in obigen Post schon erwaehnt , war zwischenzeitlich der Folder VVSN in C: aufzufinden. In der aktuellsten Situation blieb die manuelle Suche nach der Datei im kompletten System erfolglos.

Alt 15.11.2006, 22:42   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Virale Form...naja, die Übergänge sind fließend. Zlob als Beispiel für Spy-/Adware mit dem Charakter eines Trojanischen Pferdes, welches (unbekannten) Code nachladen kann. Und sich auch sehr hartnäckig im System festsetzen kann...
Bei der Toolbar von D-Tools trifft das m.E. eher nicht zu Trotzdem würde ich diese nicht installieren, unnötiger Ballast.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.11.2006, 23:01   #13
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Die Sache ist ja jetzt nur die, dass ich ja D-tools vollstaendig deinstalliert habe und trotzdem die VVSN.exe aktiv war (zumindest mehrere Neustarts danach)? Denkst Du dass die VVSN.exe mit der Deinstallation auch pulverisiert wurde?

Dass der log soweit sauber aussieht ist . und laesst dies ja vermuten. Jedoch wird bei eScan immer noch dieselbe Nachricht wie in meinem initial Post gezeigt.

Alt 15.11.2006, 23:08   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Zitat:
Zitat von Donlende Beitrag anzeigen
Die Sache ist ja jetzt nur die, dass ich ja D-tools vollstaendig deinstalliert habe und trotzdem die VVSN.exe aktiv war (zumindest mehrere Neustarts danach)? Denkst Du dass die VVSN.exe mit der Deinstallation auch pulverisiert wurde?

Dass der log soweit sauber aussieht ist . und laesst dies ja vermuten. Jedoch wird bei eScan immer noch dieselbe Nachricht wie in meinem initial Post gezeigt.
Die Errormeldung muss aber nicht von dem D-Tools-Kram kommen...mir ist diese zunächst aufgefallen in Deinem HJT-Log und später wurde es ja erst klar, dass die es von der D-Tools-Toolbar kommt.
Wenn man was Genaueres sagen will, muss die die komplette Fehlermeldung, die eScan dir da ausspuckt, notieren und posten. Nur "Error entdeckt..." reicht nicht, man sollte schon wissen wo.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.11.2006, 11:45   #15
Donlende
 
Ursache eScan-Alarm? - Standard

Ursache eScan-Alarm?



Wie erwähnt wird mir leider von eScan nur das ausgespuckt. Die genaue Meldung siehe Posts before. Kann von eScan Seite nur noch die 11 seitige Virus log Information anbieten...

Antwort

Themen zu Ursache eScan-Alarm?
adobe, antivir, avg, avira, bho, cyberlink, escan, excel, explorer, fehlermeldung, hijack, hijackthis, internet, internet explorer, monitor, nvidia, programme, registry, rundll, senden, shortcut, software, system, windows, windows xp



Ähnliche Themen: Ursache eScan-Alarm?


  1. Netzwerk freeze ohne erkennbare Ursache
    Netzwerk und Hardware - 18.10.2015 (9)
  2. Dateisystem zerschossen - War Ursache Malware?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2012 (11)
  3. ph. speicher konstant 96% ausgelastet>>> Ursache Virus?
    Log-Analyse und Auswertung - 14.01.2012 (1)
  4. Trojaner Ursache für Probleme mit dem Drucker?
    Plagegeister aller Art und deren Bekämpfung - 29.10.2011 (19)
  5. Sexuelle Domainumleitung ohne Ursache?!
    Log-Analyse und Auswertung - 28.03.2010 (6)
  6. digitus dn13007 Ursache für USB-Probleme?
    Netzwerk und Hardware - 31.01.2010 (9)
  7. Absturz ohne Vorwarnung und Fehlermeldung! Ursache?
    Log-Analyse und Auswertung - 01.11.2009 (27)
  8. Ständiger Up und Download - Ursache unbekannt
    Log-Analyse und Auswertung - 29.04.2009 (1)
  9. Ursache für langsames Internet gesucht
    Log-Analyse und Auswertung - 22.02.2009 (1)
  10. PC Absturz, Ursache?
    Mülltonne - 12.11.2008 (0)
  11. Ursache für spürbaren Geschwindigkeitsverlust gesucht
    Plagegeister aller Art und deren Bekämpfung - 28.07.2008 (3)
  12. Escan melden Befall z.B. gain.gator, winfixer, fujacks worm, HJT Log und Escan Log
    Log-Analyse und Auswertung - 04.03.2008 (8)
  13. Rechner lahm,friert ein..Ursache?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2007 (1)
  14. eScan Alarm isearchtech.sidefind
    Log-Analyse und Auswertung - 11.12.2006 (1)
  15. PC plötzlich langsam Ursache : slowmagsenc.exe !!!
    Plagegeister aller Art und deren Bekämpfung - 26.05.2006 (4)
  16. escan gibt 64 viren an, escan-checkb9 findet keine zu löschenden dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2005 (0)
  17. Spam-Ursache
    Überwachung, Datenschutz und Spam - 28.06.2004 (30)

Zum Thema Ursache eScan-Alarm? - Hallo Habe mein System kürzlich mit eScan gechecked und die Fehlermeldung „Error entdeckt …“ kam auf. Letzten Endes hat eScan jedoch nichts Konkretes gefunden. Daraufhin habe ich noch Antivir gegenlaufen - Ursache eScan-Alarm?...
Archiv
Du betrachtest: Ursache eScan-Alarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.