Hallo,

nachdem der Virus ntos.exe meinen Rechner infiziert hatte, habe ich das System neu aufgesetzt. Auf meiner Sicherungsplatte wurde nun der Virus VB.CO.Leftover gefunden. Hierzu das Log. Wie kann ich das Problem beseitigt werden?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.8.7
Sprache: German
C:\DOKUME~1\NAME~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\RECYCLER\S-1-5-21-1390067357-1303643608-1801674531-1004\Dj1\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\USB Datenspeicher\Eigene Dateien\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - C:\WINDOWS\Explorer.EXE
cmd.exe - cmd /c ""D:\eScan\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\SOFTWARE\JAVAVM\MSJAVX86.EXE
ERROR!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\n1rxfl79.zip
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\java\Packages\N1RXFL79.ZIP
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for D:\eScan\mwav.exe
ERROR!!! ScanFile fails for D:\RECOVE~1\ADOBEP~1\ADOBEP~1.RAR
ERROR!!! ScanFile fails for D:\RECOVE~1\CANONI~1.EXE
Result: ERROR!!! File D:\recovery cd\Magix.Fotos.auf.CD.und.DVD.5.0.Deluxe.German-Brainstorm_www.goldesel.to.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\RECOVE~1\MAGIXF~1.RAR
ERROR!!! ScanFile fails for D:\RECOVE~1\NERO6~1\NERO-6~1.EXE
ERROR!!! ScanFile fails for D:\RECOVE~1\qc820deu.exe
ERROR!!! ScanFile fails for D:\SYSTEM~1\_RESTO~1\RP22\A0004453.exe
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 33768
Zahl der kritischen Objekte: 2
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 2
Zeit verstrichen: 00:45:45
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 10:55:42,75
Batchende: 10:55:49,54

Hi,

wann hast du deinen Rechner neuaufgesetzt?

Navigiere bitte zu der bemängelten Datei:

Zitat:

D:\USB Datenspeicher\Eigene Dateien\desktop.ini

und rufe sit mit einem Rechtsklick auf, gehe auf öffnen mit und wähle dort den Editor aus.

Kopiere dann den Inhalt der Datei ab (Cursor in die Datei setzen, dann Strg+A und Strg+C drücken) und poste ihn hier (mit Strg+V den kopierten Text einfügen).

Erstelle bitte außerdem ein HijackThis Logfile und poste dieses ebenfalls hier.

lg myrtille

Hallo,

das Log ist nicht mehr möglich, da ich einfach den Recycler (versteckt) der zweiten Platte gelöscht habe. Mein System war dann sauber, jedenfalls hat kein Programm noch was gefunden. Ich poste hier nochmal Hijackthis.

Die von mir per FTP geladenen Seiten sind nun trotz Neuaufsetzen des Rechners wieder infiziert. Es handelt sich um die beieden Scriptviren:

HEUR/Exploit.HTML und
HTML/Dldr.lframe.DC

Die Seiten sind: xxx.superbuff.de und xxx.uni-vk.de

Bei beiden das selbe Problem. Ich habe allerdings gelesen, dass es auch ein Problem mit Antivir sein kann. Keine Ahnung. Hoffe, jemand kann mir helfen!



Ich habe nun keine Idee mehr was ich machen soll.

Logfile of HijackThis v1.99.1
Scan saved at 10:57:13, on 26.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1211536722796
O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugin...dPlugin126.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

Na, aber die von mir genannte desktop.ini war doch gar nicht im Mülleimer... die müsste es doch noch geben!?

Mit der Webseite kann ich dir nicht so direkt helfen, das Javascript sieht auf jedenfall suspekt aus, was macht das?

Hast du denn nach dem Neuaufsetzen auch deine Webseiten überprüft und neue (saubere) Versionen der Webseite wieder eingestellt?

lg myrtille

ja, ich habe vorher beide Seiten gelöscht, nach dem Neuaufsetzen alle Dateien per eScan geprüft.

Habe jetzt mal die beiden Meldungen an Avira gesendet. Möglicherweise handelt es sich um ein Problem bei Antivir. So etwas habe ich schon gelesen. Welches JAVA meinst du? Ich habe nicht soviel Ahnung davon,

Möglicherweise hat der NTOS.EXE von früher irgendwas im script verändert, was nun ein Problem darstellt. Nur was??

Die desktop.ini war einmal im versteckten Mülleimer und einmal in einem Sicherungsordner für meine Eigenen Dateien auf USB-Stick. Beide habe ich löschen können und vorher kein eScan mehr gemacht. Aber danach, ohne Meldung.

Ist dieses Script:

Code: Alles auswählenAufklappen

ATTFilter

<sript>function v4839ac9665589(v4839ac9665d83){ function v4839ac966657a () {return 16;} [gekuerzt]document.write(v4839ac9667581('53E27293C2F5343524950543E'));</sript>
         

von dir, oder nicht?

Wie gesagt ich kenn mich mit Webseiten und deren Sicherheit nicht so aus.

Aber wenn das Skript von dir aus und nur Avira es erkennt,würd ich dir empfehlen, dich mal bei denen (zb im Forum) zu melden.

lg myrtille

Auf welcher Seite hast du das script gefunden?

Ich habe gerade die index.htm der Seite xxx.uni-vk.de infiziert und nicht infiziert verglichen, also den Quelltext ausgedruckt und gelesen... beides identisch.

Komisch ist auch, dass Antivir diesen Scriptfehler erst nach 1-3 Tagen meldet, was für mich daraufhin deutet, dass womöglich doch ein Trojaner am Werk ist. Aber da habe ich keine Ahnung von.

Ich warte mal an, was Avira mir antwortet. Habe die beiden Dateien mal hingeschickt.

Das Skript liegt auf beiden Seiten.

Wenn du nicht weißt woher dieses Skript stammt, dann nimm alles vom Netz und überprüfe in jeder einzelnen Datei ob fremde Inhalte vorhanden sind!
Lade bitte die Dateien erst wieder hoch, wenn du sicher bist, dass sie nicht infiziert sind!
(Wenn du dafür zb Notepad benutzt, stelle sicher, dass der Zeilenumbruch aktiviert ist, damit du auch wirklich alles siehst, was dort steht.)

Ändere am besten auch das Passwort für deinen Zugang.

lg myrtille

tut mir leid, ich kann das script icht finden, jedenfalls nicht in der index.htm.

Bitte sag mir nochmal wo du das gefunden hast.

Kann mir hier keiner helfen? Kein Scanner findet irgendetwas. Ich nutze eine der beiden Seiten beruflich und muss hier dringend den Fehler finden. Was mache ich bei Scriptviren? Wieso sind die Seiten erst nach einigen Tagen wieder infiziert? Es muss doch eine Lösung geben??

Wer hat die Seiten denn erstellt? Und wer hat das Javascript da eingefügt? Was tut das Javascript?

Wenn du die Fragen nicht beantwortest, kann man auch nicht helfen.
Ich habe nicht gesagt, dass du zwangsläufig infiziert bist, sondern nur gefragt, woher das Skript stammt, bzw ob es dir bekannt ist.

lg myrtille

Die Seiten habe ich mit Dreamweaver erstellt, also nur selbst selten den Quelltext bearbeitet. Ich würde die Frage ja gern beantworten aber ich muss dazu wissen, wo ich dieses Script finde. Ich kann unmöglich alle Dateien per Hand auslesen... Also wo hast du dieses script auf meinen Seiten gesehen?

Hi,
ich hab mir den Quelltext nicht gespeichert, daher ist das ganze etwas wage:
ich mein das wär direkt auf der main.htm gewesen, Zeile 15 oder so.
Es hing mE hinter </head>

lg myrtille

die zweite Seite hat keine main.htm Ich habe mir die zweite Seite jetzt mal durchgesehen, da diese Seite nur 3 Seiten hat, ging das schnell. Ich habe nichts auffälliges entdeckt. Antivir hat aber auch zwei Dateien gemeldet, die gar nicht vorhanden sind, obwohl ich alle Dateien sichtbar gemacht habe.

Eine Erklärung habe ich doch: Der Trojaner hatte ja mein Passwort. Dieses hatte ich für den ftp upload noch nicht geändert. Habe ich aber nun getan. Habe die private Seite wieder hochgeladen und warte jetzt mal ab, ob sich wieder etwas tut. Vielleicht habe ich ja Glück.