Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Email Worm Win32.Luder.e

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.10.2008, 22:07   #1
not-a-virus
 
Email Worm Win32.Luder.e - Frage

Email Worm Win32.Luder.e



Hi,

Ich hätte da ein Problem. Ich hatte wegen einer LAN Age of Empires 2 installiert. Soweit so gut nachdem wir eine Runde gespielt hatten und erstmal was anderes gemacht hatten, hab ich nun vorhin die CD eingelegt und bekomme die Nachricht von G Data, dass auf ein infiziertes System zugegriffen wird:
E:Setup.exe (E ist mein DVD Laufwerk) mit der Nachricht, dass diese infizierte Datei der Email Worm Win32.Luder.e sei. Gleich danach kam dann noch der nächste Datenzugriff diesmal von C: Programme\Microsoft Games\Uninstall.exe.
(Beide wollten auf explorer.exe zugreifen)
Diese hab ich sogleich in die Quarantäne gepackt.

So jetzt erstmal: Kann es sein, dass G Data in diesem Fall falsch liegt? Denn es kann meiner Meinung nach kaum sein, dass eine extrem alte aber originale CD einen Virus enthält und vorher hatte sich G Data ja auch nicht gemeldet . Hinzu kommt noch, dass ich keinerlei komische Emails oder dergleichen erhalten hatte, also ein Email Wurm eigentlich ziemlich unwahrscheinlich ist...

Ich möchte trotzdem sicherstellen, dass mein Computer nicht infiziert ist.
Außerdem habe ich mir Malwarebytes von euch gedownloaded und ausgeführt. Als dieser durchgelaufen ist kam wieder ein Dateizugriff vom beschriebenem Wurm diesmal vom Verzeichnis: C:\System Volume Information\_restore{F4E75430-189C-44B9-84C8-32DEE2B23BA2}\RP67 von der A0014581.exe

Ich habe die Fehlermeldung einfach weggeklickt, um zu sehen, was Malwarebytes dazu sagt und zu meinem Überraschen hat es keine einzige infizierte Datei gefunden.

Auch mit HijackThis hab ich mir mal angeguckt, ob etwas zu finden ist.... ich habe nichts entdeckt, wobei es natürlich sein kann, dass ich was übersehen habe, also poste ichs einfach mit

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:43, on 30.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\G DATA TotalCare\AVK\AVKService.exe
C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\EssentialPIM\EssentialPIM.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EssentialPIM] "C:\Programme\EssentialPIM\EssentialPIM.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6687 bytes

Und noch eine Sache hab ich gemacht... ich habe die Datei aus der Quarantäne geholt und versucht bei Virustotal hochzuladen, allerdings konnte die Datei nicht übertragen werden... "0kb empfangen"


So viel Text also habt ihr schonmal geschafft hier anzukommen schonmal spitze also wäre für jegliche Hilfe und Vorschläge dankbar.

mfg,

not-a-virus

edit:hatte kurz Probleme beim Thread erstellen hoffe is jetzt alles in Ordnung

Alt 31.10.2008, 07:45   #2
Chris4You
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Hi,

das HJ-Log sieht sauber aus...

Lade die Datei direkt von CD hoch (Virustotal) und stelle sicher, dass sich GDATA nicht querlegt und den Zugriff verweigert (0 Bytes received)...

Der zweite Pfad zeigt in die Systemwiederherstellung...

Vermutung liegt nahe, dass es sich um ein false/positiv handelt...
In dem Fall die Datei zu GData zur Überprüfung schicken...

chris
__________________

__________________

Alt 31.10.2008, 14:10   #3
not-a-virus
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Hi,

Hier die Ergebnisse von Virustotal:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.10.31 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.31 -
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.94.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.31 -
F-Prot 4.4.4.56 2008.10.30 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.31 Email-Worm.Win32.Luder.e
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 -
NOD32 3572 2008.10.31 -
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.30 -
PCTools 4.4.2.0 2008.10.31 -
Rising 21.01.42.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.30 -
weitere Informationen
File size: 585790 bytes
MD5...: ff8c3ca1d24806e0f67a2c183b51aff1
SHA1..: 443792760aa4e77bc1eccd8f9405a120db355ff4
SHA256: e196c70f28914d7da65527a6e2bf6c9347288ecd25d9b83fa39bb16ec6de3299
SHA512: 0eee62aae136a8449708383851739819427fc1bd888f2a9f2092d3540398e628
d7d790891eca3420bb8befe16b75abc2087445f1097fcb1ff98843b821564e89
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x44d0e1
timedatestamp.....: 0x37dd96bd (Tue Sep 14 00:28:45 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5c250 0x5d000 6.39 6c845d052ad1eba32af704f212c22893
.rdata 0x5e000 0x52ed 0x6000 5.40 daa0f536fc87959d1854c5f72461f34c
.data 0x64000 0x11070 0xa000 5.09 c612aace7013d99ce80afb3f6050692a
.rsrc 0x76000 0x21000 0x21000 4.50 c6464c7012f05e134ff43511772e6c3f

( 10 imports )
> KERNEL32.dll: GetLastError, FormatMessageA, GetExitCodeProcess, GetTempPathA, LocalFree, GetSystemInfo, CreateThread, SetErrorMode, GetPrivateProfileStringA, GetTempFileNameA, GlobalMemoryStatus, DeviceIoControl, WritePrivateProfileStringA, CreateDirectoryA, WriteFile, ReadFile, SetFileTime, GetFileTime, SetFilePointer, GetFileSize, GetVolumeInformationA, GetFileType, CreateFileA, RemoveDirectoryA, GetFileAttributesA, GetCurrentDirectoryA, GetDriveTypeA, MoveFileExA, DeleteFileA, GetModuleFileNameA, GetDiskFreeSpaceA, SetCurrentDirectoryA, GetLogicalDrives, FindFirstFileA, FindNextFileA, SetFileAttributesA, GetCurrentProcess, ResumeThread, SetPriorityClass, GetCurrentThread, SetThreadPriority, GetEnvironmentVariableA, FlushFileBuffers, QueryPerformanceCounter, GetThreadPriority, GetPriorityClass, QueryPerformanceFrequency, GetExitCodeThread, SetEndOfFile, CopyFileA, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, IsBadStringPtrW, IsBadStringPtrA, GetUserDefaultLCID, IsDBCSLeadByte, InterlockedIncrement, InterlockedDecrement, WideCharToMultiByte, OpenMutexA, SuspendThread, WaitForMultipleObjects, _lread, MulDiv, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, HeapAlloc, TlsSetValue, FileTimeToSystemTime, FileTimeToLocalFileTime, RaiseException, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, TlsAlloc, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, GetCPInfo, IsValidLocale, IsValidCodePage, EnumSystemLocalesA, VirtualAlloc, HeapReAlloc, LCMapStringA, LCMapStringW, HeapSize, SetStdHandle, GetFullPathNameA, GetACP, WaitForSingleObject, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, GetTimeZoneInformation, IsBadCodePtr, GetLocaleInfoW, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEvent, ResetEvent, lstrcpynA, CreateMutexA, GetLocaleInfoA, GetSystemDirectoryA, lstrcmpA, GetCurrentThreadId, ReleaseMutex, FindNextChangeNotification, FindCloseChangeNotification, FindFirstChangeNotificationA, CreateProcessA, CreateEventA, GetShortPathNameA, FindResourceA, CloseHandle, VerLanguageNameA, SizeofResource, LoadResource, LockResource, LoadLibraryA, VirtualProtect, SetLastError, FreeLibrary, GetProcAddress, MultiByteToWideChar, GetWindowsDirectoryA, GetModuleHandleA, lstrcmpiA, lstrcatA, Sleep, lstrcpyA, FindClose, lstrlenA, GetVersionExA, IsBadWritePtr, IsBadReadPtr, GetTickCount, ExitThread, GetOEMCP
> USER32.dll: IsIconic, DestroyCursor, GetPropA, CharLowerA, SetCursor, GetClientRect, OemToCharA, GetMessageA, ReleaseCapture, IsDialogMessageA, UnregisterClassA, SetCapture, ScreenToClient, CallWindowProcA, GetClassInfoA, OffsetRect, GetNextDlgGroupItem, GetParent, GetCapture, GrayStringA, DrawTextA, DrawTextExA, EnableWindow, IsWindowEnabled, DialogBoxIndirectParamA, CreateDialogIndirectParamA, SetWindowLongA, InvalidateRect, GetNextDlgTabItem, GetAsyncKeyState, GetWindowTextLengthA, CreateDialogParamA, EqualRect, FrameRect, PtInRect, RegisterWindowMessageA, LoadIconA, PostQuitMessage, EnableMenuItem, FillRect, MessageBeep, SetActiveWindow, BeginPaint, EndPaint, SetFocus, GetFocus, IsChild, GetWindowLongA, EndDialog, GetUpdateRect, RegisterClassA, SetPropA, IsWindowVisible, IntersectRect, CopyRect, IsRectEmpty, GetWindowRect, SetWindowTextA, RemovePropA, SystemParametersInfoA, GetWindow, GetClassNameA, CharToOemA, IsWindow, ExitWindowsEx, FindWindowExA, EnumWindows, EnumDisplaySettingsA, GetDC, ReleaseDC, CreateWindowExA, LoadImageA, CharPrevA, GetDesktopWindow, WaitForInputIdle, GetKeyboardType, LoadStringA, PeekMessageA, TranslateMessage, DispatchMessageA, SetWindowPos, wvsprintfA, MsgWaitForMultipleObjects, GetWindowPlacement, GetSystemMetrics, UnionRect, FindWindowA, SetForegroundWindow, MessageBoxA, PostMessageA, SetTimer, CharNextA, wsprintfA, KillTimer, DefWindowProcA, GetMessagePos, MapWindowPoints, ShowWindow, SendMessageA, DestroyWindow, SetRectEmpty, RedrawWindow, LoadCursorA, CharUpperA
> GDI32.dll: RemoveFontResourceA, SetDIBits, CreateDIBSection, DeleteObject, RealizePalette, SelectPalette, GetNearestPaletteIndex, SetTextColor, SetBkColor, GetStockObject, SelectObject, GetTextMetricsA, SetBkMode, EndDoc, EndPage, DeleteDC, StartDocA, SetMapMode, StartPage, CreatePalette, GetDIBColorTable, GetSystemPaletteEntries, GetObjectA, BitBlt, CreateCompatibleDC, FillRgn, CreateBrushIndirect, TextOutA, CreatePolygonRgn, SetDIBColorTable, CombineRgn, GetPaletteEntries, CreateSolidBrush, CreateDCA, GetClipBox, CreateFontA, GetDCOrgEx, GetDeviceCaps, AddFontResourceA
> COMCTL32.dll: ImageList_LoadImageA, ImageList_Destroy
> comdlg32.dll: PrintDlgA
> ADVAPI32.dll: RegOpenKeyExA, CloseServiceHandle, AdjustTokenPrivileges, RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegDeleteValueA, RegQueryValueExA, LookupPrivilegeValueA, OpenSCManagerA, RegQueryInfoKeyA, RegEnumKeyExA, RegDeleteKeyA, OpenProcessToken
> SHELL32.dll: SHChangeNotify, SHGetPathFromIDListA, ShellExecuteExA, SHGetSpecialFolderLocation
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize, OleInitialize, OleUninitialize
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> WINMM.dll: mciGetErrorStringA, waveOutGetNumDevs, waveOutGetDevCapsA, timeGetTime, mciSendCommandA, mciSendStringA, joyGetNumDevs, PlaySoundA, mmioInstallIOProcA

( 4 exports )
_DialogProc@CAppAlert@@SGHPAUHWND__@@IIJ@Z, _DialogProc@CAppMessage@@SGHPAUHWND__@@IIJ@Z, _DialogProc@CDirBrowser@@SGHPAUHWND__@@IIJ@Z, _HotsetupCallback@@YG_AW4EBURETCODE@@PAX@Z
ThreatExpert info: ThreatExpert Report


Diesmal nur Kaspersky... G Data findet bei Virustotal nichts. Kann es ne Fehlmeldung von Kaspersky sein?

Ich werde jetzt eine der Dateien aus der Quarantäne bei G Data ins Labor schicken, die Ergebnisse kommen dann später.


Gruß,

not-a-virus
__________________

Alt 31.10.2008, 14:39   #4
Silent sharK
 

Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Ich weiß nicht, was Chris4You dazu meint, aber ich gehe von einem Fehlalarm aus, da der gute Luder schon ein ganzes Jahr auf dem Kerbholz hat.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Geändert von Silent sharK (31.10.2008 um 14:45 Uhr)

Alt 31.10.2008, 14:58   #5
Chris4You
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Hi,
@Silent Shark: Ja, Deine Vermutung wird wohl zutreffen....
(oder wie war das: Mit an Sicherheit grenzender Wahrscheinlichkeit ein Fehlalarm sein... )

Ich weis nicht wie es aktuell ist, aber in früheren Versionen setzte GData u. a. die Scannengine von Kaspersky ein, ...

Bin mal gespannt was von GData zurückkommt, halte uns auf dem Laufenden...

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 31.10.2008, 16:35   #6
not-a-virus
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Sehr geehrter G DATA-Kunde!

Vielen Dank für die Einsendung der Datei. Wir werden die Datei
prüfen und die Virensignaturen anpassen.

Ihr G DATA Supportteam

**********************************************************************
Virus:
Datei: UNINSTAL.EXE
Verzeichnis: C:\Programme\Microsoft Games\Age of Empires II
**********************************************************************


____________
Virus checked by G DATA AntiVirus
Version: AVF 19.124 dated 30.10.2008
Virus news: Antiviruslab

Zitat:
Zitat von Chris4You
halte uns auf dem Laufenden...
mach ich

Jetzt heißts wohl erstmal n bischen warten.

Gruß,

not-a-virus

Alt 01.11.2008, 14:13   #7
wasdschnee
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Ich hab genau das selbe Problem, wie der Threadersteller. Bei mir wurde auch angezeigt das in dem AoE ordner eine ein Worm sich befindet unter Uninstall.exe.

Ich benutz Kaspersky (Computer Bild Edition), ich hab zuerst gedacht, das sei ein Fehlalarm doch nun kam diese Meldung.

-

Virus gefunen: Virus Email-Worm.Win32.Luder.e

gelöscht: Virus Email-Worm.Win32.Luder.e
Datei: C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP22\A0005611.EXE

Das kommt mir nun doch ein bisschen komisch vor, ist das auch nur ein Fehlalarm?

Code:
ATTFilter
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\ps2.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: Launch NoNameScript.lnk = C:\Programme\mIRC\mirc.exe
O4 - Startup: steam.bat.lnk = C:\Programme\Valve\Steam\steam.bat
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5059 bytes
         
*Ich hab hier rein geschrieben, da ich nicht genau deswegen nochmal ein neuen Thread auf machen wollte.

Alt 01.11.2008, 22:08   #8
KarlKarl
/// Helfer-Team
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Hi,

das einzige Spiel, das ich installiert habe, hier wird die uninstall.exe ebenfalls bemängelt und ich installiere keine Würmer. Bei Virustotal ist Kaspersky unterdessen zurückgerudert, gerade eben haben Antivir, F-Secure und SecureWeb-Gateway Meldungen ausgespuckt. Da haben ein paar einfach nachgemacht was Kaspersky meldet anstelle selber zu prüfen was los ist

Noch besteht Chance auf Korrektur solange nicht zu viele den Mist nachmachen.

Gruß, Karl

Alt 03.11.2008, 18:57   #9
not-a-virus
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



.... dauert das immer so lange bei G Data?
Ich habe immer noch keine weitere Email erhalten.
auf den anderen PCs wurden jetzt auch plötzlich die entdeckt...
wahrscheinlich:
Zitat:
Zitat von KarlKarl
Bei Virustotal ist Kaspersky unterdessen zurückgerudert, gerade eben haben Antivir, F-Secure und SecureWeb-Gateway Meldungen ausgespuckt. Da haben ein paar einfach nachgemacht was Kaspersky meldet anstelle selber zu prüfen was los ist

mfg,

not-a-virus

Alt 04.11.2008, 00:12   #10
KarlKarl
/// Helfer-Team
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Von Antivir gab es unterdessen eine Bestätigung, dass das ein Fehlalarm ist.

Alt 05.11.2008, 07:15   #11
Tyraspotar
 
Email Worm Win32.Luder.e - Standard

Email Worm Win32.Luder.e



Also ich würde sagen das ist ein False Positive (Falscher Alarm) weil ich spiele schon seit 2-3 jahren AoE + Expansion und es kam nie eine Meldung. Aber bei AntiVir gestern auch eine meldung bekommen. ich weiß das ich keinen einzigen Crack oder sowas gedownloadet hab und bin nur auf sichere Seiten gegangen.
Also ich meine Falscher Alarm warscheinlich weil das spiel schon ziemlich alt ist.
Und wenn ich mich irre

MfG,

Tyraspotar

Antwort

Themen zu Email Worm Win32.Luder.e
adobe, antivirus, asus, bho, cdburnerxp, computer, confused, email, fehlermeldung, firefox, firewall, g data, gservice, hijack, hijackthis, hkus\s-1-5-18, infizierte datei, internet, internet explorer, lan, launch, malwarebytes' anti-malware, microsoft, mozilla, programme, sicherstellen, software, system, system volume information, userinit.exe, virus, windows, windows xp, windows xp sp3, wurm, xp sp3



Ähnliche Themen: Email Worm Win32.Luder.e


  1. Unter anderem: Email-Worm.Win32.NetSky.q Verändert sich aber andauernd
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (2)
  2. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  3. virus E-Mail Worm.win32.Luder.e
    Plagegeister aller Art und deren Bekämpfung - 20.11.2008 (0)
  4. Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)
    Log-Analyse und Auswertung - 30.12.2007 (0)
  5. Email-Worm.Win32.Warezov.nd
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (34)
  6. Win32.Luder.A@mm
    Log-Analyse und Auswertung - 01.07.2007 (3)
  7. Worm Luder.A35 gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.04.2007 (1)
  8. Worm/Luder.A.35
    Log-Analyse und Auswertung - 11.04.2007 (8)
  9. "Email-Worm.Win32.Luder.a“ - - beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2007 (7)
  10. EMail-Worm.Win32.Zhelatin.al via icq bekommen
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (6)
  11. Email-Worm.Win32.Warezov
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  12. Wie bekomme ich den Email-Worm.Win32.warezov.gen weg???
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (1)
  13. EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!
    Log-Analyse und Auswertung - 26.11.2006 (6)
  14. Email-Worm.Win32.Bagle.pac - alt aber noch resistent! Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2005 (12)
  15. Email-Worm Win32 Bagle.pac - Logfile
    Mülltonne - 21.11.2005 (1)
  16. Email-Worm.Win32.NetSky.q.Bite brauch Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (7)
  17. Email-Worm.Win32.Sober.p
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (9)

Zum Thema Email Worm Win32.Luder.e - Hi, Ich hätte da ein Problem. Ich hatte wegen einer LAN Age of Empires 2 installiert. Soweit so gut nachdem wir eine Runde gespielt hatten und erstmal was anderes gemacht - Email Worm Win32.Luder.e...
Archiv
Du betrachtest: Email Worm Win32.Luder.e auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.