Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit Wurm Remam.A (https://www.trojaner-board.de/7372-problem-wurm-remam-a.html)

Holzmichl 06.09.2004 06:10
Problem mit Wurm Remam.A
 
Hallo!
Antivir hat bei mir den Wurm "Remadm.A.9" gefunden.

Nach eigenen Recherchen bin ich dann auf e- Scan und Hijackthis gestoßen.

E- Scan hat nach einem 2 Stunden Scan im abgesicherten Modus gleich 18 Viren gefunden (Beispiel :Fri Aug 06 03:34:36 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.)

Ich kann damit nix anfangen, der Scan von Hijackthis gibt mir nicht viel mehr Aufschluß, wer kann helfen?

Thx

Den Scanbericht von E-Scan erspar ich Euch, der hat 10 MB :crazy:

Shadowdance 06.09.2004 06:28
Hallo Holzmichl,

teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

Wo hat Antivir den 'Remadm.A.9' gefunden?

Zu Deinem Hijack This-Logfile:

bitte im abgesicherten Modus mit Hijack This fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab


Dieser Eintrag O4 - Startup: index.cmd
sagt mir nichts.

bitte prüfen mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\wanmpsvc.exe
D:\Programme\gsmg_2_1\gsmg_msg.exe

Ergebnis?

Erstelle bitte ein weiteres Logfile und poste es mittels copy&paste entsprechend der Anleitung hier ins Forum. Bitte füge es nicht als Anhang an.

SD

Holzmichl 06.09.2004 11:13
Dank Euch für die rasche Antwort.

Antivir hat den Wurm in einer selbstextrahierenden WinRar Datei gefunden, die habe ich aber mittlerweile gelöscht.

Der Eintrag 04 Startup: index.cmd ist von mir erstellt, er soll die Windows Auslagerungsdatei beim runterfahren löschen.

Das Programm LckFldService.exe ist ebenfalls ein bekanntes Programm ebenso das Programm wanmpsvc (gehört zu AOL) und gmsg_msg ist auch ein mir bekanntes Programm.

Hier also das Logfile:

Das sind die Virenmeldungen:

Stört Euch nicht am Datum, das hab ich verkehrt eingestellt und zu spät bemerkt.



Fri Aug 06 03:23:24 2004 => File C:\Dokumente und Einstellungen\Schatzi\Desktop\Neu Aktenkoffer\Bakups\Archive\Setups1\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:23:38 2004 => File C:\Dokumente und Einstellungen\Schatzi\Desktop\Neu Aktenkoffer\Bakups\Archive\Setups1\sbsetup397.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:34:36 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:34:50 2004 => File C:\RECYCLER\S-1-5-21-789336058-1060284298-682003330-1005\Dc8\sbsetup397.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:14 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019900.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus.

Fri Aug 06 03:48:21 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019901.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:24 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019902.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:31 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP111\A0019903.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.

Fri Aug 06 03:48:31 2004 => ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP111\change.log

Fri Aug 06 03:59:26 2004 => File C:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP97\A0014324.exe infected by "not-a-virus:AdvWare.SaveNow.af" Virus.

Fri Aug 06 05:23:22 2004 => File F:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP104\A0018759.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.

Fri Aug 06 05:25:11 2004 => File F:\System Volume Information\_restore{B060605C-3B96-41EF-B296-37B67339B2C5}\RP108\A0019511.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.


Und hier das E-Scanergebnis:

Fri Aug 06 05:26:52 2004 => Total Number of Files Scanned: 87785
Fri Aug 06 05:26:53 2004 => Total Number of Virus(es) Found: 18
Fri Aug 06 05:26:53 2004 => Total Number of Disinfected Files: 0
Fri Aug 06 05:26:53 2004 => Total Number of Files Renamed: 11
Fri Aug 06 05:26:53 2004 => Total Number of Deleted Files: 0
Fri Aug 06 05:26:53 2004 => Total Number of Errors: 0
Fri Aug 06 05:26:53 2004 => Time Elapsed: 02:08:11
Fri Aug 06 05:26:53 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 05:26:53 2004 => Virus Database Count: 103271

Fri Aug 06 05:26:53 2004 => Scan Completed.

Fri Aug 06 05:51:32 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 05:51:32 2004 => Virus Database Count: 103271
Fri Aug 06 05:51:54 2004 => AV Library Unloaded (3)...
Fri Aug 06 07:00:26 2004 => **********************************************************
Fri Aug 06 07:00:26 2004 => eScan AntiVirus Toolkit Utility.
Fri Aug 06 07:00:26 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Aug 06 07:00:26 2004 => **********************************************************
Fri Aug 06 07:00:26 2004 => Version 4.4.7
Fri Aug 06 07:00:26 2004 => Log File: C:\bases\mwav.log
Fri Aug 06 07:00:27 2004 => Latest Date of files inside MWAV: 06 Sep 2004 04:01:19.
Fri Aug 06 07:00:28 2004 => AV Library Loaded...
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavss.exe
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\Getvlist.exe
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavss.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavssdi.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavssi.dll
Fri Aug 06 07:00:28 2004 => Scanning File C:\bases\kavvlg.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\msvlclnt.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\ipc.dll
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\main.avi
Fri Aug 06 07:00:29 2004 => Scanning File C:\bases\virus.avi
Fri Aug 06 07:00:29 2004 => Virus Database Date: 2004/09/06
Fri Aug 06 07:00:29 2004 => Virus Database Count: 103271
Fri Aug 06 07:00:35 2004 => AV Library Unloaded (3)...

Holzmichl 08.09.2004 23:45
Hallo!

Danke für die Hilfe! Nach dem vorgeschlagenem Fix habe ich meinen PC nochmals im abgesicherten Modus mit E-Scan geprüft... Alles sauber...Prima. :daumenhoc Ihr versteht was von PC´s (behaupte ich von mir eigentlich auch :D ...naja man lernt nie aus...)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:07 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129