Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: blöder Wurm

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.01.2007, 19:36   #1
Gerrit
 
blöder Wurm - Standard

blöder Wurm



Hallo, bin neu hier, weil die Sache hier echt unangenehm ist. Ich hatte schon den einen oder anderen Virus und bin mit ihm fertig geworden, aber dieser ist echt mies.

Der Virus löscht alle exe Dateien von Antivirensoftware und zB Spybot. Ich hatte das große Pech, dass mein Antivirenprogramm (Panda) ihn natürlich bei der letztmöglichen Chance zu scannen nicht erkannt hat (da fehlt jetzt auch die exe). Auch die Panda notfall-bootcd findet nix. Onlinescanner sprechen von einem Wurm...jeder von einem anderen und machen können die natürlich nix.

Nun das Schönste: Der abgesicherte Modus funktioniert nicht mehr, sondern startet den Computer lediglich neu.
Nur das Bios scheint verschont geblieben zu sein.

Ansonsten noch das Merkmal, dass er sich mit dem IExplorer beschäftigt und mein System verlangsamt. Wenn man den IExplorer löscht, ist er eine Sekunde wie von Zauberhand wieder da. Standartgemäß nutze ich Firefox und habe den Explorer so ziemlich entmachtet...ich glaube jedoch, dass er Werbe-Fenster öffnen würde, wenn er es könnte.

Wo er auf alle Fälle steckt (wo alle onlinescanner drauf abfuhren) ist das Verzeichnis C:\WINDOWS\exefld

Killbox kann genutzt werden und wie ihr gleich seht auch Hijackthis...alles andere ist schwierig

Logfile of HijackThis v1.99.1
Scan saved at 19:17:50, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\eMule\eMule.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M "Stylus D88" /EF "HKCU"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton Internet Security\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\programme\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE (file missing)


Meine einzige Hoffnung sehe ich momentan in einer neuen Notfall-Bootcd, aber wenn euch was besseres einfällt...was mir Geld und nerven spart, wäre ich sehr dankbar.

Alt 10.01.2007, 19:46   #2
anom
 

blöder Wurm - Standard

blöder Wurm



Zitat:
Onlinescanner sprechen von einem Wurm...jeder von einem anderen und machen können die natürlich nix.
Hi,
Ja das ist der Nachteil eben von Onlinescanner erkennen nur den Virus,aber ein gekaufter Virenscanner kann ihn sogar beseitigen (ich hoffe ich liege da nicht falsch --loool)

moni
__________________

__________________

Alt 10.01.2007, 20:18   #3
felix1
/// Helfer-Team
 
blöder Wurm - Standard

blöder Wurm



Zitat:
Zitat von anom Beitrag anzeigen
Hi,
Ja das ist der Nachteil eben von Onlinescanner erkennen nur den Virus,aber ein gekaufter Virenscanner kann ihn sogar beseitigen (ich hoffe ich liege da nicht falsch --loool)

moni
Und jetzt erkläre mal, welche Hilfe Dein Beitrag dem Fargesteller jetzt gebracht hat. Er könnte jetzt loslaufen und sich vier oder fünf AV-Programme kaufen, um den PC maximal zu schützen

@Gerrit
Bleibe mal ruhig. Poste genau, was Panda wo genau gefunden hat.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________
__________________

Alt 11.01.2007, 01:03   #4
Gerrit
 
blöder Wurm - Standard

blöder Wurm



Erstmal: wirklich vielen Dank felix1. Nachdem mir anom geantwortet hatte, war ich definitiv etwas desillusioniert
Hier erstmal Folgendes: Panda hat nichts gefunden. Wirklich gar nichts...deswegen möchte ich auch auf eine andere Antivirensoftware umsteigen. Man sollte wenigstens darüber informiert werden, wenn ein Virus sich installiert (auch wenn das Programm nichts dagegen tun kann). Der Meinung bin ich jedenfalls.


Hier F_secure Blacklight:

1/11/07 00:38:05 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 00:38:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 00:38:05 [Note]: 7019 4
01/11/07 00:38:05 [Note]: 7005 0
01/11/07 00:38:07 [Note]: 7006 0
01/11/07 00:38:08 [Note]: 7011 1740
01/11/07 00:38:08 [Note]: 7026 0
01/11/07 00:38:08 [Note]: 7026 0
01/11/07 00:38:48 [Note]: FSRAW library version 1.7.1021
01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe
01/11/07 00:38:53 [Note]: 10002 2
01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys
01/11/07 00:38:53 [Note]: 10002 2
01/11/07 00:38:54 [Note]: 10002 3
01/11/07 00:38:54 [Note]: 10002 3
01/11/07 00:38:54 [Note]: 10002 2
01/11/07 00:38:54 [Note]: 10002 2
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Note]: 10002 2
01/11/07 00:44:04 [Note]: 10002 2
01/11/07 00:46:17 [Note]: 10002 2
01/11/07 00:46:17 [Note]: 10002 2
01/11/07 00:48:32 [Note]: 7007 0


Hier Ewido:

folgt in ca. einer halben Stunde

Wirklich vielen Dank...was soll ich sagen...nicht viele Menschen sind dazu bereit einem zu helfen, wenn man kaum eine Gegenleistung bringen kann. Ich würde es sehr gern, aber reden wir darüber privat, wenn wir das Problem gelöst haben

Alt 11.01.2007, 01:58   #5
MightyMarc
 
blöder Wurm - Standard

blöder Wurm



Ich schieb mich mal kurz dazwischen.

Auf Deinem System ist ein Wurm gelandet, der sich per Rootkit tarnt. W32/Bagle-KJ - Wurm - Sophos Bedrohungsanalyse

C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys

Sehe ich das richtig, dass Blacklight, die Dateien nicht gelöscht hat (benutze Blacklight nicht)? In diesem Fall würde ich vorschlagen, über die Wiederherstellungskonsole das komplette Verzeichnis löschen. Hierfür wird allerdings das Passwort für den Account namens "Administrator" benötigt. Hast Du dieses?

__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 11.01.2007, 02:02   #6
Gerrit
 
blöder Wurm - Standard

blöder Wurm



ewido:

hat folgendes gefunden:

c:\dokumente und einstellungen\***\Lokale Einstellungen\Temp\~4E.exe
~7.exe
~B.exe

c:\windows\exefld\30431187.exe
c:\windows\exefld\30660578.exe

er sagt, das sind worm.bagle.hc und worm.bagle.hb...
und jetzt versuche ich es zu "removen"...mal sehen was passiert...

Alt 11.01.2007, 09:00   #7
anom
 

blöder Wurm - Standard

blöder Wurm



Zitat:
Zitat von felix1 Beitrag anzeigen
Und jetzt erkläre mal, welche Hilfe Dein Beitrag dem Fargesteller jetzt gebracht hat. Er könnte jetzt loslaufen und sich vier oder fünf AV-Programme kaufen, um den PC maximal zu schützen
Morgen,
sorry tut mir leid Gerrit (lol)


moni
__________________
anom



"Sie stehen vor einer großartigen Reise des Lebens. Glückwunsch und viel Spaß dabei!“

Alt 11.01.2007, 12:42   #8
Gerrit
 
blöder Wurm - Standard

blöder Wurm



@anom: is schon ok

Hab das Verzeichnis gelöscht. Das Problem scheint behoben zu sein. Herzlichen Dank an Alle. Jetzt bin ich wieder etwas schlauer. Noch eine Empfehlung womit ich das System scannen soll?

Geändert von Gerrit (11.01.2007 um 13:09 Uhr)

Alt 11.01.2007, 13:08   #9
anom
 

blöder Wurm - Standard

blöder Wurm



Zitat:
Zitat von Gerrit Beitrag anzeigen
@anom: is schon ok
hi,
da bin ich aber erleichtert und schön das es wieder funktioniert.


moni
__________________
anom



"Sie stehen vor einer großartigen Reise des Lebens. Glückwunsch und viel Spaß dabei!“

Alt 11.01.2007, 14:07   #10
MightyMarc
 
blöder Wurm - Standard

blöder Wurm



Zitat:
Zitat von Gerrit Beitrag anzeigen
Hab das Verzeichnis gelöscht. Das Problem scheint behoben zu sein.
Poste unbedingt nochmal ein neues Log von Blacklight! Den Rootkittreiber und die .exe hast Du aller Wahrscheinlichkeit nämlich noch auf Deinem Rechner.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 11.01.2007, 16:12   #11
Gerrit
 
blöder Wurm - Standard

blöder Wurm



01/11/07 15:46:09 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 15:46:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 15:46:16 [Note]: 7019 4
01/11/07 15:46:16 [Note]: 7005 0
01/11/07 15:46:24 [Note]: 7006 0
01/11/07 15:46:24 [Note]: 7011 1736
01/11/07 15:46:25 [Note]: 7026 0
01/11/07 15:46:25 [Note]: 7026 0
01/11/07 15:46:59 [Note]: FSRAW library version 1.7.1021
01/11/07 15:58:30 [Note]: 2000 1012
01/11/07 16:10:57 [Note]: 7007 0

Alt 11.01.2007, 16:16   #12
MightyMarc
 
blöder Wurm - Standard

blöder Wurm



Das hier hast Du auch entfernt?
Zitat:
c:\dokumente und einstellungen\***\Lokale Einstellungen\Temp\*.*
c:\windows\exefld\30431187.exe
c:\windows\exefld\30660578.exe
In diesem Fall würde es ganz gut aussehen.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 11.01.2007, 16:21   #13
Gerrit
 
blöder Wurm - Standard

blöder Wurm



uups...das hole ich sofort nach

Alt 11.01.2007, 16:24   #14
MightyMarc
 
blöder Wurm - Standard

blöder Wurm



Zitat:
Zitat von Gerrit Beitrag anzeigen
uups...das hole ich sofort nach
Dann kontrolliere danach gleich nochmal mit Blacklight (viele Schädlinge haben Zombiequalitäten).
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 11.01.2007, 16:59   #15
Gerrit
 
blöder Wurm - Standard

blöder Wurm



01/11/07 16:51:06 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 16:51:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 16:51:11 [Note]: 7019 4
01/11/07 16:51:11 [Note]: 7005 0
01/11/07 16:51:16 [Error]: 6024 1
01/11/07 16:51:16 [Error]: 6024 1
01/11/07 16:51:16 [Note]: 7006 0
01/11/07 16:51:17 [Note]: 7011 1992
01/11/07 16:51:17 [Note]: 7026 0
01/11/07 16:51:17 [Note]: 7026 0
01/11/07 16:51:18 [Error]: 6024 1
01/11/07 16:51:47 [Note]: FSRAW library version 1.7.1021
01/11/07 16:59:38 [Note]: 7007 0

Die genannten Dateien in der exefld waren nicht mehr vorhanden...

Antwort

Themen zu blöder Wurm
antivirus, bho, computer, desktop, drivers, einstellungen, excel, exe, exe dateien, firefox, funktioniert nicht mehr, geld, hijack, internet, internet explorer, internet security, mozilla, mozilla firefox, programm, protection center, proxy, scan, security, software, symantec, system, usb, virus, windows, windows xp, wurm



Ähnliche Themen: blöder Wurm


  1. Wurm oder nicht Wurm (Verschickt Spam-Mails)
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (1)
  2. MSN WURM - was tun?
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (28)
  3. Wurm?
    Plagegeister aller Art und deren Bekämpfung - 23.06.2010 (12)
  4. MSN Wurm was nun ?
    Antiviren-, Firewall- und andere Schutzprogramme - 26.03.2010 (3)
  5. MSN Wurm was nun ?
    Mülltonne - 24.03.2010 (1)
  6. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  7. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  8. Forum Demo gehackt ? oder blöder Spass ?
    Diskussionsforum - 25.02.2008 (5)
  9. Icq-wurm!!!!!!!!!!!!!!!!!!!!!!!!
    Log-Analyse und Auswertung - 02.03.2007 (7)
  10. Wurm und WoW?
    Log-Analyse und Auswertung - 03.06.2006 (4)
  11. Wurm?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2006 (5)
  12. Wurm... :-(
    Log-Analyse und Auswertung - 07.02.2006 (4)
  13. blöder Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2005 (1)
  14. Was ist das? Wurm????
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (1)
  15. wurm
    Plagegeister aller Art und deren Bekämpfung - 05.06.2004 (4)
  16. Wurm ???
    Plagegeister aller Art und deren Bekämpfung - 05.01.2004 (13)
  17. blöder Dialer !
    Archiv - 21.01.2003 (12)

Zum Thema blöder Wurm - Hallo, bin neu hier, weil die Sache hier echt unangenehm ist. Ich hatte schon den einen oder anderen Virus und bin mit ihm fertig geworden, aber dieser ist echt mies. - blöder Wurm...
Archiv
Du betrachtest: blöder Wurm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.