Email-Worm.Win32.Warezov.nd

Zui0 · 20.10.2007, 19:42

er ist grade offline ... kannst du es mir erklähren ?

Zui0 · 20.10.2007, 23:00

Antivir update schlägt nun immer fehl ...

genaue fehlermeldung :

Code:

ATTFilter

Die Validierung von Engine und VDF schlug fehl.

Reportdatei :

Code:

ATTFilter

20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\
20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\
20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\
20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0

20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\
20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\
20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\
20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0

20.10.2007 23:57:26 - Lizenzdatei: OK [Kompletter Modus]

20.10.2007 23:57:26 - Avira AntiVir PersonalEdition Classic

20.10.2007 23:57:27 - Master IDX Datei wurde geändert
20.10.2007 23:57:28 - Lizenzdatei: OK [Kompletter Modus]

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avadmin.exe passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avgio64.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/imp64b.exe passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/psapi.dll passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/shlext64.dll passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/wsctool.exe passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/xp64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.
20.10.2007 23:57:28 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/vdf.info.gz herunter
20.10.2007 23:57:29 - Lizenzdatei: OK [Kompletter Modus]

20.10.2007 23:57:29 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/specvir-nt.info.gz herunter
20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine.info.gz herunter
20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine-nt-de.info.gz herunter
20.10.2007 23:57:31 - Modul: SELFUPDATE Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 15
20.10.2007 23:57:31 - Modul: MAIN Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 75
20.10.2007 23:57:31 - Modul: COMMAPPDATA Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ Dateien: 1
20.10.2007 23:57:31 - Modul: TEXT Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 3
20.10.2007 23:57:32 - Modul: VDF Quellverzeichnis: vdf\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 4
20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir0.vdf 6.40.0.0 < 6.40.0.0
20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir3.vdf 7.0.0.111 < 7.0.0.112
20.10.2007 23:57:32 - Modul: AVREP_NT Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1
20.10.2007 23:57:32 - Modul: ENGINE Quellverzeichnis: engine\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 2
20.10.2007 23:57:32 - Modul: ENGINE_NT_DE Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1
20.10.2007 23:57:32 - Modul: DRV Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\WINDOWS\SYSTEM32\drivers\ Dateien: 4
20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntdd.sys 6.37.0.2 < 6.39.0.2
20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntmgr.sys 6.37.1.1 < 6.37.1.1
20.10.2007 23:57:32 - Minifilter ist installiert

20.10.2007 23:57:32 - Minifilter ist möglich

20.10.2007 23:57:32 - Registry Eintrag erfolgreich gelesen: Software\H+BEDV\AntiVir PersonalEdition Classic V 7 | FilterType

20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntdd.sys welche als geändert erkannt wurde muss nicht aktualisiert werden
20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntmgr.sys welche als geändert erkannt wurde muss nicht aktualisiert werden
20.10.2007 23:57:32 - Das Modul DRV welches als geändert erkannt wurde muss nicht aktualisiert werden
20.10.2007 23:57:32 - Initialisiere avnotify.exe

20.10.2007 23:57:32 - avnotify.exe wurde erfolgreich gestartet

20.10.2007 23:57:32 - Vorbereiten des Herunterladens
20.10.2007 23:57:32 - 2 Dateien müssen von http://dl7.avgate.net/upd/ heruntergeladen / kopiert werden
20.10.2007 23:57:32 - #1: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir0.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir0.vdf
20.10.2007 23:58:35 - #2: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir3.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir3.vdf
20.10.2007 23:58:38 - Die Validierung von Engine und VDF schlug fehl Return: 5

20.10.2007 23:58:42 - Der Registryeintrag Software\H+BEDV\AntiVir PersonalEdition Classic V 7 |UpdateInProgress wurde erfolgreich erstellt

20.10.2007 23:58:42 - Kritischer Fehler: Die Validierung von Engine und VDF schlug fehl

ERLEDIGT

KarlKarl · 20.10.2007, 23:01

Hi,

eine "C:\WINDOWS\C:\WINDOWS\System32\svchost.exe" gibt es nicht, spart euch die Suche. Wenn das im HijackThis steht, ist es die Folge eines geänderten Registryeintrags für einen Standardservice von Windows. Normalerweise wird er nicht angezeigt, da HijackThis eine Whitelist hat.

regedit starten, links zu

Code:

ATTFilter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

gehen und rechts den Wert von "ImagePath" kontrollieren. Stehen soll dort

Code:

ATTFilter

%SystemRoot%\System32\svchost.exe -k netsvcs

hier steht vermutlich was in der Art von

Code:

ATTFilter

%SystemRoot%\C:\WINDOWS\system32\svchost.exe -k netsvcs

Früher hatten die Wurmprogrammierer mehr Ahnung vom Fach. Ok, vielleicht ist es auch Absicht, aber dann gäbe es unauffälligere Wege die Firewall auszuheben.

Bleibt natürlich die Frage offen, wer dafür verantwortlich ist. Mir fällt ein, dass ich diese Veränderung oft im Zusammenhang mit einer Backdoor Ciadoor sehe. Das ist aber kein Schluss, dass die hier vorliegen muss.

Gruß, Karl

Zui0 · 20.10.2007, 23:06

Genau das steht da :

Code:

ATTFilter

\SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs

undoreal · 21.10.2007, 09:55

Kannst du das Sicherheitscenter denn nun manuell wieder aktivieren oder geht das immer noch nicht?

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Zui0 · 21.10.2007, 10:06

Also wenn ich in den systemstart gucke ( msconfig bla da ) da steht , dass das Sicherheitscenter im Autostart ist , aber beendet wurde. Ich weiß nicht wie ich es starten sollte.

Ich fürhre grade noch einen Kaspersky Online Scan durch , dann mach ich das , was du vorgeschlagen hast

undoreal · 21.10.2007, 10:13

Zitat:

Ich weiß nicht wie ich es starten sollte.

Start -> Systemstrg. -> Verwaltung -> Dienste -> Sicherheitscenter doppelt anklicken.

Versuche bitte den Dienst zu starten.

Zui0 · 21.10.2007, 10:16

Achso da hab ich es schon probiert

Zitat:

Das Sicherheitscenter ist momentan nicht verfügbar, da der Dienst "Sicherheitscenter" nicht gestartet bzw. beendet wurde.Schließen sie dieses Fenster, führen sie einen Computerneustart durch, oder starten sie den Dienst "Sicherheitscenter" und öffnen sie anschließen das Sicherheitscenter erneut

Achja und Danke für die ganze Hilfe

Email-Worm.Win32.Warezov.nd

Plagegeister aller Art und deren Bekämpfung: Email-Worm.Win32.Warezov.nd