|
AVG Alert - Dropper etc. Hallo, ich bin neu hier und habe leider noch nicht einmal ne persönliche Vorstellung gemacht. Ich habe heute einen Alarm von AVG-Antivirus, auf neuestem Stand, bekommen. Die Message war VDC Dropper detected - dann hab ich den Zugriff verweigert. Ich fühle mich jetzt aber alles andere als sicher und habe AVG laufen lassen zum komplettscan. Resultat ist ein "Change" der C:\Windows\system32\shell32.dll . ICh habe keine Ahnung was ich davon halten soll und habe die Datei scannen lassen auf den beiden freien Internet-Datei-Scannern. Resultat, keine infektion. Ein Hijackthis-File habe ich auch schon. Bitte sagt mir ob mein System Viren/Trojanerfrei ist oder ob ich es neu aufsetzen "darf". Ich bin grade mitten in meinen Prüfungen (Uni) und es wräe klasse wenn ich wenigstens noch eine Woche (evtl. mit deaktiviertem I-net) mit dem Rechner arbeiten könnte. Das Autodesk was im Log zu finden ist, ist mein CAD Programm! Hier das Log, Danke im Voraus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:28:09, on 14.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\Msmsgs.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Grisoft\AVG7\avgcc.exe C:\Programme\Grisoft\AVG7\avgwb.dat C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe O23 - Service: Autodesk EDM Server - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 7050 bytes |
Hallo! ;) Zuerst bitte eScan ausführen, und Berichte posten. Starte nun HijackThis, drücke auf scan, mache vor folgende Einträge ein häckchen, und drücke anschließend "Fix checked" Zitat:
Danach -> Avenger - "Input script manually" anhacken - Auf die Lupe klicken - kopiere anschließend in "View/edit script" : Zitat:
- gruene Ampel anklicken ...das Script wird nun ausgeführt. danach wird der PC automatisch neustarten! |
Nein Die shell32.dll nicht mit Avenger löschen lassen. Es kann zwar passieren, dass Windows sie durch eine Backup-Kopie ersetzt, wenn aber nicht (ist möglich), dann ist Windows tot. Lasse sie noch mal bei VirusTotal scannen und kopiere die Ergebnisse vollständig inklusive MD5, SHA1, ihrer Größe und sonstiger ergänzender Angaben hierher. |
Ich kann Dir jetzt schon sagen, was VirusTotal ausspuckt! ;) |
Bitte :) Danach warten wir aber lieber noch mal die Ergebnisse des Onlinescans ab. Bei einer swolchen Systemdatei sollte es kein Problem sein, anhand des MD5 zu prüfen, ob sie echt ist oder verändert wurde. |
Guten Morgen, erstmal Danke für die schnellen Antworten - ich les mri mal eben die Anleitung zum escan durch und das Ergebnis vom Virustotal lautet, alles normal und legal :Boogie: ! Mach ich aber nochmal und poste es :) Find ich soweit schonmal toll. Dann will ich mich mal eben an den escan machen und nochmal hijackthis bemühen. poste ich sobald ich durch bin. Thx nochmal. |
Hier der Scan - Bitte bitte lass die Datei ok sein. Datei shell32.dll empfangen 2008.01.15 07:59:15 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.15.11 2008.01.15 - AntiVir 7.6.0.46 2008.01.14 - Authentium 4.93.8 2008.01.13 - Avast 4.7.1098.0 2008.01.14 - AVG 7.5.0.516 2008.01.14 - BitDefender 7.2 2008.01.15 - CAT-QuickHeal 9.00 2008.01.14 - ClamAV 0.91.2 2008.01.14 - DrWeb 4.44.0.09170 2008.01.14 - eSafe 7.0.15.0 2008.01.14 - eTrust-Vet 31.3.5459 2008.01.15 - Ewido 4.0 2008.01.14 - FileAdvisor 1 2008.01.15 - Fortinet 3.14.0.0 2008.01.15 - F-Prot 4.4.2.54 2008.01.14 - F-Secure 6.70.13030.0 2008.01.14 - Ikarus T3.1.1.20 2008.01.15 - Kaspersky 7.0.0.125 2008.01.15 - McAfee 5206 2008.01.14 - Microsoft 1.3109 2008.01.15 - NOD32v2 2791 2008.01.14 - Norman 5.80.02 2008.01.15 - Panda 9.0.0.4 2008.01.14 - Prevx1 V2 2008.01.15 - Rising 20.27.10.00 2008.01.15 - Sophos 4.24.0 2008.01.15 - Sunbelt 2.2.907.0 2008.01.15 - Symantec 10 2008.01.15 - TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.13 - VirusBuster 4.3.26:9 2008.01.15 - Webwasher-Gateway 6.6.2 2008.01.15 - weitere Informationen File size: 8501248 bytes MD5: 3902aa8398029d89b63d8cf2e0c8d91d SHA1: 6892cb5bb4232f5303eceb97eda6c11c13be7529 PEiD: - |
Antivir (mit Experten-Einstellungen laut Board) hat nüx gefunden und bei Ad-Aware ists das Gleiche... |
Musste grade abbrechen weil ich dringend zur Uni muss... Ich bin aber aufgrund dem Kram den ich gesehen hab dank escan wohl eh am Arsch! Falls es da Möglichkeiten gibt das System bis nach meinen Prüfungen (vor allem wegen autodesk - bräuchte sonst ne neue lizenz) halbwegs sicher zu betreiben *ja ich träum gern* wärs toll! Hier mal ein Auszug - ich hab jetzt auch ne Ahnung wo ich den Kram her hab und von wem der kommt - das gibt wirklich Ärger! Tue Jan 15 08:28:25 2008 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Tue Jan 15 08:28:25 2008 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\spydb.avs, Size: 327688]. Tue Jan 15 08:28:28 2008 => Indexed Spyware Databases Successfully Created... Tue Jan 15 08:28:35 2008 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\programme\autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\Autostart\powerreg scheduler v3.exe Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. Tue Jan 15 08:29:40 2008 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite Tue Jan 15 08:29:40 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. Der Kram mit der "main.exe" waren Programme für meine GIT Vorlesung - ergo hat einer unserer Jungs die Dateien gehackt nachdem Sie vom Prof kamen und ich sie leider nur aus der "Rundmail" entnommen habe... Danke für die Hilfe soweit und evtl. kann ich noch n klitzekleines bissl was retten!? Gruß |
Jetzt läuft der komplette Escan... Frage am Rande, wo bekomme ich denn da ne Vollversion her bzw. wie kann ich den ganzen gefundenen Mist fixen!? Bin für Jede Info dankbar und das Ergebnis poste ich sobald er fertig gescannt hat - kann man denn zu dem halbfertigen scan von vorhin nix sagen? Greetz |
Du brauchst keine Vollversion. Wenn du nach dem Scan, wie in der Anleitung beschrieben, die Ergebnisse der find.bat postest, lässt sich ersehen, was zu entfernen ist, und das lässt sich dann i.d.R. von Hand erledigen. |
Danke für die Info - Scan läuft noch. Nächste blöde Frage - wie editiere ich vorhandene Beiträge? In der Suche oder FAQ find ichs net und iwie muss ich da nen Button übersehen... |
Also die shell32.dll ist in Ordnung. Meine hat den gleichen Checksummen und ich bin mal so unbescheiden davon auszugehen, das mein System nicht infiziert ist. AVG speichert bei der Installation Prüfsummen, bekommt es aber nicht mit, wenn die Dateien in der Zwishcenzeit (z.B. durch Windowsupdate) legal geändert wurden. Das hatten wir schon einige Male. Escan: Zu "7e853d72-626a-48ec-a868-ba8d5e23e045" finde ich nur das hier, abgesehen von den O2-Einträgen in diversen Hijackthis-Logs, die diese CLSID verwaist enthalten und diversen Escan-Logs, die das ganze dann zu einer Malware erklären. Wenn der Escan etwas als "offending" erklärt, dann heißt das nur, dass ihm der Dateiname nicht gefällt. In deinem Fall mag er keine Dateien mit dem Namen "main.exe". Ich gehe mal davon aus, dass die Software von deinem Prof fürsd Studium ok ist, Escan hat sich sowieso nicht den Inhalt der dateien angeschaut, Du kannst also in Ruhe weiterstudieren. Für "PowerReg Scheduler" gibt es in der Tat Berichte, die ihn als Adware einstufen, da ich die Software nie live gesehen habe, kann ich aber nicht dafür garantieren, dass sie stimmen. die feine Datenbank bei Castlecops hat dazu diesen Eintrag, in dem es heißt, dass er einfach überflüssig ist. Ich neige dazu, dem zuzustimmen, würde ihn also aus dem Autostart rausnehmen. Zur Krönung hat der Escan ICQlite noch als Backdoor identifiziert, wundere dich also nicht, wenn Du noch Aufforderungen bekommst, deine Platte zu formatieren und neu zu installieren. Fazit: Escan ist einfach nur noch Sch.... und gehört wirklich dringend auf diese Liste gesetzt. Bleibt eigentlich nur dieser VDC Dropper. Wo wurde der denn gefunden? |
Soll heissen, dass ich nach bisherigen logs relativ Viren/Adwarefrei bin? Tja die Main.exe ist von meinem Prof und teil eines selbst geschriebenen Programms von ihm in jeder Lektion... Hab jetzt gedacht ich wäre total verseucht. Bin ja gespannt was du/ihr zum nächsten Scan sagst (escan vollständig). Den Dropper hat mir AVG nur ganz kurz angezeigt und ich hab dann die vorgeschlagene aktion ausgeführt. Sollte irgendwo im Mozilla-Ordner liegen!? Hab aber die angegebene Position net gefunden. Ich schau gleich nochmal in der Event History Log nach. Vielen Dank bis jetzt - allein ist man bei dem Zahlen und Code gewusel vollends verloren... |
Da isses, <rec time="2008/01/14 14:21:40" user="SYSTEM" source="Virus"> <value>@HL_ReportFindRS</value> <attr name="filename">C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\smvockd9.default\Cache\5517EE54d01</attr> <attr name="finding">@EID_Fi_vir</attr> <attr name="virusname">VBS/Dropper</attr> Kann das sein, dass der iwie unsichtbar is? Kann es vllt. sein, dass AVG das Vieh doch abgewehrt hat!? Ich hab bei privaten Daten so Panik - wenn nach dem Escan deine Interpretation die Gleiche ist wie eben, dass ich keinen Virus habe, dann werd ich erstmal die ganzen Sicherungsmaßnahmen wie im Board beschrieben durchführen. Bin jetzt echt mal ne Runde sensibilisiert für das Problem... Also bis zum Log... |
Das war im Firefox-Cache. Da AVG den gleich kassiert hat, sollte nichts Böses passiert sein. funde im Browsercache können vorkommen, es gibt riesige Mengen infizierte/infizierende Webserver, da ist das unvermeidlich. "Zugriif verweigern" ist eine angemessene Reaktion, im Browsercache kannst du sogar löschen lassen (was bei anderen Verzeichnissen schief gehen kann, falls es mal ein Fehlalarm auf eine Systemdatei sein sollte). Sicherungsmassnahmen sind natürlich immer gut. Zu denen hier im Forum beschriebenen möchte ich dir auch noch diesen Thread in einem anderen Forum empfehlen. Wenn Du nicht noch weitere Sachen (z.B. mit dem rest des Escans) gefunden hast, dann sieht das danach aus, dass auf deinem System nichts ist. Mit dem Vorbehalt, dass man nie komplett ausschließen kann, dass es Sachen gibt, die man mit den hier eingesetzten Werkzeugen nicht entdecken kann. |
So erstmal letzte Message von mir: Das ist das komplette log und soweit ich das selbst beurteilen kann ist nichts schädliches mehr dabei - das eine ist Norton, das Andere kann ich nte wirklich zuordnen habe aber mit der Suche rausgefunden, dass die desktop.ini meist nix negatives ist :) Vielen lieben Dank nochmal @ Karl, du rettest mir die ganze Prüfungsphase *G* 2 Fragen noch dann seid ihr erstmal erlöst: 1. Wie kann ich den Power-Reg Scheduler entfernen? 2. Wie haue ich das O2 Zeugs weg? Schönen abend noch, Roadi ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 12/27/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen. System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\Eigenes Studium\Semester I bzw WS 2006 u 2007\Grundlagen Informationstechnik\Unbezahlbar 20 Aufgaben\aufgabe16\Debug\aufgabe16.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\recover\Dokumente und Einstellungen\Besitzer\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\recover\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\recover\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\recover\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\programme\autostart\powerreg scheduler v3.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\autostart\powerreg scheduler v3.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\Autostart\powerreg scheduler v3.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2d1f953-2e9a-11db-84ea-00c0a8bfb246} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Matthias Müller\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\~WZS2376.TMP\patch.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 200524 Gefundene Viren: 16 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 535 Dauer des Scans bisher: 02:51:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:06:15,01 Batchende: 21:06:31,10 |
Powerreg Scheduler: Erstmal in Systemsteuerung -> Software schauen, ob Du ihn dort findest. Wenn ja: deinstallieren. Vermutlich kam er aber als Teil einer anderen Software, da ist es möglich, dass er dort nicht zu finden ist. Dann seinen Starteintrag in Start -> ausführen -> msconfig -> OK deaktivieren. In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben: Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)Die Javaversion auf deinem Rechner ist veraltet. Die muss aktualisiert werden. Dazu in Systemsteuerung -> Software alle alten Versionen deinstallieren, von http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java Update[/URL] die aktuelle "Java Runtime Environment (JRE) 6u4" runterladen und installieren. Der Adobe-Reader ist ebenfalls veraltet, auch dort gibt es Sicherheitsprobleme. Außerdem gilt es als gefährlich, mehr als einen Virenscanner zu haben. Mögliche Folgen sind starke Bremsung des Systems bin hin zum Crash. Ich empfehle Antivir zu behalten. Im vollständigen Escan-Ergebnis sind noch ein paar Sachen hinzugekommen, die ich aber ebenfalls für unwichtig halte. Leider ist die Auswertung sehr schwer, da Escan pro Meldung meistens zwei Textzeilen erzeugt (noch iene Idotie mehr), deren Zusammenhang dann durch die find.bat zerstört wird. Gemeckere wegen zweier Norton-Dateien, mit deren Format Escan anschienend nicht klar kommt. dann noch diese drei desktop.ini Dateien. Stellt sich die Frage, was C:\recover für ein Ordner ist. Eine manuell angelegte Sicherung durch Kopieren oder ergebnis einer Software. dabei auf jeden Fall beachten, dass Datensicherungen immer auf andere Medien erfolgen müssen, wenn die Platte mal sterben sollte, sind sie sonst auch verloren. Dort sind drei Dateien desktop.ini genannt. die sollten sich mit Notepad öffnen lassen, würde mich interessieren, was in ihnen steht. Sind die Norton Dateien noch relevant? |
Also :lach: ICh hab den Powerreg erstmal am starten gehindert, dann HJT laufen alssen mit angegebenen Einstellungen. Aktualisiert ist nun sowohl Adobe wie auch Java. Einzig Probleme bereiten tut mir dieser komischer recover Kram, denn entweder bin ich nur zu blind oder ich finde diese Desktop.ini Dateien nicht... Wirklich klasse wie man sich hier um Probleme anderer kümmert und das auchnoch kostenfrei und wahrscheinlich in der eigenen Freizeit. Danke und gib mir bitte nochmal nen Tip wie ich diese Desktop.ini's finden kann. Greetz Roadi |
Achja, vergessen - Norton war mitgeliefert auf dem Notbook und ist noch nichtmal installiert - liegt alles nur im Ordner rum und frisst Platz. Kann also weg! |
Also wohl ein Notebook. In idesem Fall würde ich den Ordner C:\recover erstmal unangetastet lassen, es kann sein, dass er die nötigen Dateien enthält, das System im Falle eines Crashs wiederherstellen zu können. Normalerweise ist das eine versteckte Partition auf Notebooks, da kann ich diesen Ordner hier nicht richtig deuten. Schau mal in die Unterlagen, normalerweise gibt es eine Vorgehensweise, mit der man die Recovery auf CD/DVD brennen kann, sehr empfohlen, denn die Platte könnte mal komplett Schrott werden. wenn der Norton niemals installiert war, ist er kein Problem (außer der Platzverschwendung). Wenn Du die dektop.ini-Dateien nicht siehst: Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Ihr Inhalt interessiert mich schon, um Klarheit darüber zu bekommen, ob das auch Mist vom Escan ist (was ich derzeit vermute). |
Die Häkchen hab ich schon ewig so und seh nix - ich finde nichtmal den "recover"-ordner ohne auf die Windows-Suche zurückzugreifen. Gibts keine Möglichkeit wie bei nem I-net Explorer den Pfad den Escan gefunden hat iwo einzugeben? Ich weiss nicht wie ich die finden soll und an der Sichtbarkeit liegts net. *kopfkratz* :dummguck: Mich würds auch interessieren was mit den Dingern los ist. Ne Recover-Cd hab ich wohl nochmal extra. Sonst auch ne neue Originale Studentenversion von XP-Pro :crazy: Also wenn du noch ne Idee hättest wie ich den Ini-Dingern auf die Spur komme ich bin da offen für alles :) Gruß Roadi |
Zum einen könntst Du die Windows-suche mal nach desktop.ini-Dateien suchen lassen, vielleicht sind ja auch die gesuchten dabei. Dabei auch im Suchfenster links unten "Weitere Optionen" aufklappen und die Optionen entsprechend setzen. Andere Idee: Notepad starten -> Datei öffnen -> den vollständigen Pfadnamen aus dem Escan-Log hineinkopieren. |
So, ich hab die Dinger mit dem Notepad-Trick gefunden und sie sind leer o_O ist das nun schlimm oder net? Wenn ja wie kann ich die löschen!? Denn außer dem öffnen mit Notepad komm ich da ja zum löschen iwie net ran. Gruß Roadi |
Wenn sie leer sind, ist es gut. Ich wollte es vor allen Dingen wissen um einschätzung zu haben, was von den Escan Meldungen zu halten ist. Also ebenfalls Mist. Ist das mit dem löschen dann dennoch erwünscht? So wie ich es derzeit einschätze (das ist aber keine Garantie) ist der gesamte Ordner C:\Recovery überflüssig. Vor dem löschen würde ich ihn aber zur Sicherheit auf ein anderes Medium kopieren/brennen. Wieviel Platz nimmt er denn ein (Rechtsklick -> Eigenschaften)? |
Sorry, dass ichso lange nicht da war - hab mit meiner Workstation gearbeitet - jetzt kommt mein CAD Kram wieder und Schleppi is dran ;) Also wie gesagt in den *.ini Datein steht nix drin und der Ordner ist quasi meine "Recovery DVD" nur eben auf Platte. Macht immerhin geschmeidige 7,09GB aus. Ich werd ihn mal auf meine Externe Festplatte ziehen und dann kicken :) Nochmal Danke für alles, Greetz Roadi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board