|
ESCAN Logfile Hallihallo, ich dachte mir das mein Artikel noch am ehesten rein passen würde. Ich möchte einfach nur wissen ob ich mir wegen einem dieser von ESCAN gefunden Einträge Sorgen machen müsste. Und wenn ja, wie kann ich die 'Spies' bekämpfen? Danke im voraus, MfG T_M Logfile Bedrohungen: 06 Apr 2008 18:34:41 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\***\LOKALE~1\Temp\spydb.avs, Size: 354592]. Indexed Spyware Databases Successfully Created... System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Maßnahme ergriffen. Offending Key found: HKCU\Software\kazaa !!! Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 06 Apr 2008 18:35:04 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Offending file found: C:\WINDOWS\swreg.exe System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. Offending file found: C:\WINDOWS\swsc.exe System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024 Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\meine dateien\schriften\age of empire 2\data\load Objekt "perfwo Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen. Offending file found: C:\WINDOWS\system32\unrar.dll System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen. Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen. Offending Registry Entry found: hkcu\software\bifrost System found infected with bifrose Remote Administration Tool (hkcu\software\bifrost)! Action taken: Keine Maßnahme ergriffen. Offending Registry Entry found: hklm\system\currentcontrolset\services\drvfltip System found infected with spysure Spyware/Adware (hklm\system\currentcontrolset\services\drvfltip)! Action taken: Keine Maßnahme ergriffen. |
|
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:42, on 6.4.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe C:\Programme\Ashampoo\AntiVirus\ashAvSrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\CursorXP\CursorXP.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Ashampoo\AntiVirus\GuardGui.exe C:\Programme\MediaMonkey\MediaMonkey.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\TRENDM~1\HIJACK~1\THIS.COM C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://go.microsoft.com/fwlink/?LinkId=54896]Live Search R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\Stardock\LogonStudio\logonstudio.exe" /RANDOM O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - Global Startup: Ashampoo AntiVirus Service.lnk = C:\Programme\Ashampoo\AntiVirus\GuardGui.exe O4 - Global Startup: GuardGui.lnk = C:\Programme\Ashampoo\AntiVirus\GuardGui.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe O23 - Service: avGuard Service (avGuard) - Unknown owner - C:\Programme\Ashampoo\AntiVirus\ashAvSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4194 bytes ->Ich wollte es aber für den ESCAN wissen.. und nicht für den Hijack Logfile weil ich ein wenig das Gefühl habe das der ESCAN mehr findet! MfG T_M |
Bei www.virustotal.com hochladen und Ergebnis posten: C:\WINDOWS\swreg.exe |
AhnLab-V3 2008.4.8.0 2008.04.07 - AntiVir 7.6.0.81 2008.04.07 - Authentium 4.93.8 2008.04.05 - Avast 4.8.1169.0 2008.04.07 - AVG 7.5.0.516 2008.04.07 - BitDefender 7.2 2008.04.07 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.07 - DrWeb 4.44.0.09170 2008.04.07 - eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm eTrust-Vet 31.3.5678 2008.04.07 - Ewido 4.0 2008.04.07 - F-Prot 4.4.2.54 2008.04.07 - F-Secure 6.70.13260.0 2008.04.07 - FileAdvisor 1 2008.04.07 - Fortinet 3.14.0.0 2008.04.07 - Ikarus T3.1.1.20.0 2008.04.07 - Kaspersky 7.0.0.125 2008.04.07 - McAfee 5268 2008.04.07 - Microsoft 1.3408 2008.04.06 - NOD32v2 3007 2008.04.07 - Norman 5.80.02 2008.04.07 - Panda 9.0.0.4 2008.04.07 Suspicious file Prevx1 V2 2008.04.07 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.07 - Sunbelt 3.0.1032.0 2008.04.07 - Symantec 10 2008.04.07 - TheHacker 6.2.92.266 2008.04.05 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.07 - Webwasher-Gateway 6.6.2 2008.04.07 - Hmm.. najah! suspicious=verdächtig :D also.. was ist jetzt zu tun? MfG T_M |
Zitat:
Die swreg.exe gehört wohl zu Smitfraudfix, also kein Virus. Das Log von HJT sieht soweit gut aus. Du könntest die C:\WINDOWS\system32\ieframe.dll mal noch bei Virustotal überprüfen lassen. Hast du denn sonst noch irgendwelche Probleme, außer die escan Meldungen? |
:D Ok! Dann werd ich demnächst mal lieber etwas lockerer mit ESCAN Alarmen umgehn bevor ich Alarm schlage! Wenn ieframe.dll verdächtig wäre würde das bedeuten das mein Internet Explorer 'corrupted' ist! :P Najah, ich benutz eh Mozilla Firefox. Ergebnis von VirusTotal für ieframe.dll: O/32 (0%) Bin ich ja beruhigt... Denn außer dem ESCAN meldet mir hier nichtmal der Spybot irgendwas von Wichtigkeit. MfG T_M PS: Welches Virenprogramm meldet denn mit Sicherheit keine Fehlalarme oder nur wenige? |
Ich empfehle die Panda Internet Security. Wirklich gut! Alternativ: Norton 360 V2.0 |
Zitat:
Panda erzeugt wie eScan Fehlalarme. Siehe Auswertung der swreg.exe Es gibt auch andere kostenlose AVP, die gut sind. Ich selbst habe Kaspersky, kostet aber eben etwas. |
Ah ok, es ist also immernoch so, dass man für gute AVP was zahlen muss, danke nochmal für eure Hilfe! Ich werd mal ein wenig experimentieren mit den Empfehlungen! MfG T_M |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board