Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.11.2006, 16:25   #1
Marge
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Icon21

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



hallo, ich habe gestern mein system neu aufgesetzt, bzw. durch meine xp-cd in lieferzustand zurückgesetzt, auch sp2 installiert, ein teil meiner programme neu installiert und finde durch das programm "a-squared HiJackFree 2.0" in meinen prozessen und ports diverse angaben mit bösartige würmer und/oder trojaner. hatte aber doch system neu aufgesetzt und zu dem zeitpunkt noch nichmal meinen online-zugang neu installiert! da es angaben in prozessen sind, und die würmer sich wohl umbenennen, und so von AV nich gefunden werden?!, weiß ich nich wie ich vorgehen und die entfernen soll.

ich poste mal zb. den screenshot:

winlogon.exe mit bösartiger angabe:


außerdem mein hijackthis:
-------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:23:22, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://w*w.cidres-security.de/benutzerkonto.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{34B92D11-4512-44E3-AE77-C4D93AC39843}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Hewlett-Packard - C:\Programme\HP\e-DiagTools\edtsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

-------------------------------------------------------------------------------

die vielen explorer-angaben in R1 sind bestimmt auch nich normal?! da ich sowieso mit firefox surfe, benutze auch kein messenger... ansonsten bitte ich die fachleute mir ratschläge zu geben. danke schonmal!!!!

Alt 26.11.2006, 16:33   #2
Sunny
Administrator
> Competence Manager
 

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



Hallo.

Als nach deinem Hijacklog zu urteilen, handelt es sich bei dem in dem Screenshot angezeigten Fund, um einen Fehlalarm.

Die Datei winlogon.exe gehört zu Windows ->

Zitat:
Der Prozess "winlogon.exe" ermöglicht das An- und Abmelden von Benutzer und läuft deswegen ständig im Hintergrund mit. Es überprüft auch den Windows XP Aktivierungscode.
Sie steht auch im richtigen Verzeichnis -> System32

Sollte sie dies nicht tun, würde es sich um diesen Schädling handeln -> Troj/Madr-B
bzw. weitere Modifikationen!
Diese Datei steht dann meistens im Ordner -> %WINPATH%System

Ich glaube daher nicht das dieser Eintrag aus dem Screenshot schädlich ist .

Gruß
Sunny
__________________

__________________

Alt 26.11.2006, 16:44   #3
Marge
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



hmm, also der pfad is ja im normalen windows/system32 angegeben. aber die win.netsky.d-meldung?! und bei den anderen zb. smss.exe wird angegeben "Email.worm.win32.sober.p" und auch "Email.worm.win32.sober.o", in den gelben markierungen sind meist bösartige angaben...

was sagt derrest in meinem hijackthis?
__________________

Alt 26.11.2006, 16:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



Entweder ist dein System wieder kompromittiert oder es kommen ständig Fehlalarme. Werte doch mal die Dateien

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe


bei Virustotal aus und poste die Ergebnisse. Auch die Angaben zur Dateigröße und Prüfsummen (md5, sha1).
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.11.2006, 17:28   #5
Marge
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



Complete scanning result of "smss.exe", received in VirusTotal at 11.26.2006, 18:19:42 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.26.2006 no virus found
Authentium 4.93.8 11.24.2006 no virus found
Avast 4.7.892.0 11.23.2006 no virus found
AVG 386 11.26.2006 no virus found
BitDefender 7.2 11.26.2006 no virus found
CAT-QuickHeal 8.00 11.25.2006 no virus found
ClamAV devel-20060426 11.25.2006 no virus found
DrWeb 4.33 11.26.2006 no virus found
eSafe 7.0.14.0 11.26.2006 no virus found
eTrust-InoculateIT 23.73.67 11.25.2006 no virus found
eTrust-Vet 30.3.3211 11.24.2006 no virus found
Ewido 4.0 11.26.2006 no virus found
Fortinet 2.82.0.0 11.26.2006 no virus found
F-Prot 3.16f 11.24.2006 no virus found
F-Prot4 4.2.1.29 11.24.2006 no virus found
Ikarus 0.2.65.0 11.24.2006 no virus found
Kaspersky 4.0.2.24 11.26.2006 no virus found
McAfee 4904 11.24.2006 no virus found
Microsoft 1.1804 11.26.2006 no virus found
NOD32v2 1882 11.24.2006 no virus found
Norman 5.80.02 11.24.2006 no virus found
Panda 9.0.0.4 11.26.2006 no virus found
Prevx1 V2 11.26.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.24.2006 no virus found
VBA32 3.11.1 11.25.2006 no virus found
VirusBuster 4.3.15:9 11.26.2006 no virus found

Aditional Information
File size: 50688 bytes
MD5: f529c489bf4a8921dfed80638ecda656
SHA1: bc2b4adc622cfec52b424f3fe5fc48cbc5c270ad
------------------------------------------------------------------------------------------
Complete scanning result of "winlogon.exe", received in VirusTotal at 11.26.2006, 18:25:11 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.26.2006 no virus found
Authentium 4.93.8 11.24.2006 no virus found
Avast 4.7.892.0 11.23.2006 no virus found
AVG 386 11.26.2006 no virus found
BitDefender 7.2 11.26.2006 no virus found
CAT-QuickHeal 8.00 11.25.2006 no virus found
ClamAV devel-20060426 11.25.2006 no virus found
DrWeb 4.33 11.26.2006 no virus found
eSafe 7.0.14.0 11.26.2006 no virus found
eTrust-InoculateIT 23.73.67 11.25.2006 no virus found
eTrust-Vet 30.3.3211 11.24.2006 no virus found
Ewido 4.0 11.26.2006 no virus found
Fortinet 2.82.0.0 11.26.2006 no virus found
F-Prot 3.16f 11.24.2006 no virus found
F-Prot4 4.2.1.29 11.24.2006 no virus found
Ikarus 0.2.65.0 11.24.2006 no virus found
Kaspersky 4.0.2.24 11.26.2006 no virus found
McAfee 4904 11.24.2006 no virus found
Microsoft 1.1804 11.26.2006 no virus found
NOD32v2 1882 11.24.2006 no virus found
Norman 5.80.02 11.24.2006 no virus found
Panda 9.0.0.4 11.26.2006 no virus found
Prevx1 V2 11.26.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.24.2006 no virus found
VBA32 3.11.1 11.25.2006 no virus found
VirusBuster 4.3.15:9 11.26.2006 no virus found

Aditional Information
File size: 507392 bytes
MD5: 2b6a0baf33a9918f09442d873848ff72
SHA1: e94549181cc6cdf9f5373e86c857049b73baee66
-------------------------------------------------------------------------------------------

was kann man daraus erkennen? und was kann ich eigentlich im HijackThis alles fixen? was is dortdrin schrott?


Alt 26.11.2006, 17:43   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



Ist ein Fehlalarm bei dir, deine Dateien sind sauber.
Ich hab von diesen beiden Dateien von meiner WindowsXP-CD (mit SP2) die md5-Checksumme berechnen lassen; beide Summen stimmen mit denen von deinen Dateien überein.
Zitat:
# MD5 checksums generated by MD5summer (http://www.md5summer.org)
# Generated 26.11.2006 18:37:49

f529c489bf4a8921dfed80638ecda656 *smss.exe
2b6a0baf33a9918f09442d873848ff72 *winlogon.exe
__________________
--> EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!

Alt 26.11.2006, 17:56   #7
Marge
 
EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - Standard

EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!



ich danke dir!!! beruhgit mich, ich glaub ich werd eher das programm mit den fehlalarmen? runterschmeißen, kriegt man ja nen koller wenn man das liest...

wollt nur noch kurz die meinung wegen dateinen im HijackThis fixen wissen, was getrost schrott is... kenn mich ja da nich aus.

Antwort

Themen zu EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!
antivir, avg, avira, bho, diverse, entfernen, excel, explorer, firefox, hijackthis, home, hotkey, internet, internet explorer, logon.exe, messenger, microsoft, mozilla, mozilla firefox, neu, neu aufgesetzt, programme, prozesse, software, system, system neu, windows, windows xp



Ähnliche Themen: EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!


  1. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  2. habe einen Worm.Win32.fujack.n, bitte um hilfe (inkl. hijackthis logdatei)
    Log-Analyse und Auswertung - 22.09.2009 (14)
  3. Email Worm Win32.Luder.e
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (10)
  4. Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster
    Plagegeister aller Art und deren Bekämpfung - 01.05.2008 (31)
  5. worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc
    Log-Analyse und Auswertung - 17.03.2008 (28)
  6. Worm.Win32.NetSky Problem! Bitte um Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (6)
  7. worm.win32.netsky <- Hilfe bitte.
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (1)
  8. Email-Worm.Win32.Warezov.nd
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (34)
  9. "Email-Worm.Win32.Luder.a“ - - beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2007 (7)
  10. EMail-Worm.Win32.Zhelatin.al via icq bekommen
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (6)
  11. Email-Worm.Win32.Warezov
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  12. Wie bekomme ich den Email-Worm.Win32.warezov.gen weg???
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (1)
  13. Email-Worm Win32 Bagle.pac - Logfile
    Mülltonne - 21.11.2005 (1)
  14. Email-Worm.Win32.NetSky.q.Bite brauch Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (7)
  15. Email-Worm.Win32.Sober.p
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (9)
  16. Bitte um Hilfe: Haufen BÖSE SACHEN im Log
    Log-Analyse und Auswertung - 11.02.2005 (1)
  17. I-Worm.Sober, Win32/Sober.A, W32.Sober@mm
    Plagegeister aller Art und deren Bekämpfung - 28.10.2003 (2)

Zum Thema EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! - hallo, ich habe gestern mein system neu aufgesetzt, bzw. durch meine xp-cd in lieferzustand zurückgesetzt, auch sp2 installiert, ein teil meiner programme neu installiert und finde durch das programm "a-squared - EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!...
Archiv
Du betrachtest: EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.