| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BCWipe - es hagelt Trojanermeldungen?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.12.2008, 14:01
| #1 |
| |  BCWipe - es hagelt Trojanermeldungen?! Moin, wollte gestern den unencrypteten Teil eines USB-Sticks von ein paar Leichen gelöschter Files sicher säubern (wie ist das eigentlich? Ist auf Flashspeicher trotz Wear-Leveling noch was wiederherstellbar oder ist das nach "einfachem" Windoof-Löschen bereits ausreichend entsorgt, weil Adressbereiche umgemappt werden?). Jedenfalls mal BC Wipe gezogen, Firefox gibt auch im Download-Fenster folgende Quelle an: http://www.jetico.biz/bcwipe3.exe Rödelt gerade herum mit einfachem, zufälligen Durchgang - und nach einer Handvoll erstellter tmp-Files springt Antivir an und liefert immer wieder variierende Trojaner-Meldungen. Mal ein Auszug der Meldungen: TR/Vundo.Nu.1 TR/PSW.Online.aklg TR/Agent.okm.98304 welche sich auf einen Teil der von BCWipe auf dem Stick in ~BCWipe angelegten *.tmp-Datein beziehen. OS ist WinXP SP3. Heuristik steht auf hoch - es gibt aber im Warnfenster keinen Hinweis auf einen heuristischen Treffer, wie ich es gewohnt war. Gibt's diese Relativierung der Meldung bei Antivir nicht mehr oder sind das "harte" Treffer? Sind das sich durch BCWipe zufällig ergebende Nonsensinhalte die mit den Virensignaturen übereinstimmen oder hat man sich da was eingefangen? fragt sich grüßend, Trabi Hijackthis sagt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:02:53, on 19.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: %root:\WINDOWS\System32\smss.exe %root:\WINDOWS\system32\winlogon.exe %root:\WINDOWS\system32\services.exe %root:\WINDOWS\system32\lsass.exe %root:\WINDOWS\system32\svchost.exe %root:\WINDOWS\system32\S24EvMon.exe %prog:\PROGRAMME\GEMEINSAME DATEIEN\Microsoft Shared\Ink\KeyboardSurrogate.exe %root:\WINDOWS\system32\svchost.exe %root:\WINDOWS\system32\ZCfgSvc.exe %root:\WINDOWS\SYSTEM32\WISPTIS.EXE %root:\WINDOWS\system32\ctfmon.exe %root:\WINDOWS\system32\1XConfig.exe %prog:\Systemtools\safespace\LauncherService.exe %root:\WINDOWS\System32\tabbtnu.exe %prog:\Systemtools\safespace\SafeSpace_Agent.EXE %root:\WINDOWS\Explorer.EXE %root:\WINDOWS\system32\spoolsv.exe %prog:\PROGRAMME\GEMEINSAME DATEIEN\Microsoft Shared\Ink\TabTip.exe %prog:\PROGRAMME\GEMEINSAME DATEIEN\Microsoft Shared\Ink\TCServer.exe %prog:\PROGRAMME\ANALOG DEVICES\SOUNDMAX\SMAX4PNP.EXE %prog:\PROGRAMME\APOINT2K\APOINT.EXE %prog:\Avira\AntiVir PersonalEdition Classic\sched.exe %prog:\Avira\AntiVir PersonalEdition Classic\avgnt.exe %root:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe %root:\WINDOWS\system32\00THotkey.exe %prog:\PROGRAMME\Toshiba\CrossMenu\CrossMenu.exe %prog:\PROGRAMME\TOSHIBA\TME3\TMERzCtl.EXE %prog:\PROGRAMME\AutoHotkey\AutoHotkey.exe %root:\Programme\Apoint2K\Apntex.exe %prog:\Avira\AntiVir PersonalEdition Classic\avguard.exe %prog:\PROGRAMME\Firebird\Firebird_2_0\bin\fb_inet_server.exe %root:\WINDOWS\system32\nvsvc32.exe %root:\WINDOWS\system32\RegSrvc.exe %root:\Programme\Analog Devices\SoundMAX\SMAgent.exe %root:\WINDOWS\system32\svchost.exe %prog:\PROGRAMME\TOSHIBA\TME3\Tmesrv31.exe %prog:\PROGRAMME\TOSHIBA\TME3\TMETEMNU.EXE %prog:\Online\QIP Infium\infium.exe %root:\WINDOWS\Explorer.EXE %prog:\Tools\BCWipe\BCResident.exe %prog:\Avira\AntiVir PersonalEdition Classic\avconfig.exe %prog:\Malware\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - %prog:\PROGRAMME\GEMEINSAME DATEIEN\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - %prog:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - %prog:\Online\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [TabletTip] "%prog:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\INK\TABTIP.EXE" /RESUME O4 - HKLM\..\Run: [PRONoMgr.exe] %prog:\PROGRAMME\INTEL\NCS\PROSET\PRONOMGR.EXE O4 - HKLM\..\Run: [SoundMAXPnP] %prog:\PROGRAMME\ANALOG DEVICES\SOUNDMAX\SMAX4PNP.EXE O4 - HKLM\..\Run: [Apoint] %prog:\PROGRAMME\APOINT2K\APOINT.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE %root:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [avgnt] "%prog:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "%root:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [00THotkey] %root:\WINDOWS\system32\00THotkey.exe O4 - HKLM\..\Run: [CrossMenu] %prog:\PROGRAMME\Toshiba\CrossMenu\CrossMenu.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [TMESRV.EXE] %prog:\PROGRAMME\TOSHIBA\TME3\TMESRV31.EXE /Logon O4 - HKLM\..\Run: [TMERzCtl.EXE] %prog:\PROGRAMME\TOSHIBA\TME3\TMERzCtl.EXE /Service O4 - HKLM\..\Run: [BCWipeTM Startup] "%prog:\Tools\BCWipe\BCWipeTM.exe" startup O4 - HKCU\..\Run: [CTFMON.EXE] %root:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] %root:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] %root:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - Startup: ac'tivAid.lnk = %prog:\Tools\ac'tivAid\ac'tivAid.ahk O4 - Global Startup: ac'tivAid.lnk = %prog:\Tools\ac'tivAid\ac'tivAid.ahk O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://%prog:\OFFICE\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://%prog:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - %prog:\Online\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - %prog:\Online\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - %prog:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (file missing) O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - %prog:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - %prog:\Office\VISIO2~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %root:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %root:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - %prog:\PROGRAMME\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - %prog:\PROGRAMME\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: %root:\windows\system32\nwprovau.dll O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - %prog:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (file missing) O20 - AppInit_DLLs: AS_WAVEHook.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - %prog:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - %prog:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Artificial Dynamics SafeSpace Agent - Unknown owner - %prog:\Systemtools\safespace\SafeSpace_Agent.EXE O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - %prog:\PROGRAMME\Firebird\Firebird_2_0\bin\fb_inet_server.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - %root:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - %root:\WINDOWS\system32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - %root:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - %root:\WINDOWS\system32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - %root:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - %prog:\PROGRAMME\TOSHIBA\TME3\Tmesrv31.exe O23 - Service: Artificial Dynamics WAVE Launcher Service (WAVE Launcher Service) - Artificial Dynamics Ltd. - %prog:\Systemtools\safespace\LauncherService.exe |
|
| Themen zu BCWipe - es hagelt Trojanermeldungen?! |
| .com, .tmp-datei, adobe, antivir, antivirus, avg, avira, bho, browser, excel, explorer, firefox, heuristischen treffer, immer wieder, internet, internet explorer, malware, monitor, nvidia, pdf, programme, rundll, senden, software, stimme, system, systemtools, tablet, windows, windows xp, windows xp sp3 |
