Logfile Auswertung OSAM
 

Hallo,

ich möchte das Logfile aus OSAM zur Bewertung zur Verfügung stellen.
Vielen Dank.


Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:28:27 on 19.05.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"MP Scheduled Scan.job" - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"CHIPDRIVE Serial SmartCardReader" (TWKSER2K) - "SCM Microsystems Inc." - C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"MpKsl9621b1a4" (MpKsl9621b1a4) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7B398EAA-E65D-49F5-AB69-37CBE9A3AD36}\MpKsl9621b1a4.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"RT73 USB Wireless LAN Card Driver for Vista" (netr73) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\netr73.sys
"TwkMs" (TwkMs) - "Towitoko AG" - C:\WINDOWS\system32\drivers\TwkMs.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\shellext.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - F:\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - F:\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - F:\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - F:\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - F:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Internet\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "F:\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"MSC" - "Microsoft Corporation" - "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - F:\Java\jre6\bin\jqs.exe
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Wer hat dir gesagt du sollst am Anfang OSAM ausführen? :confused:

Keiner, hat das gesagt.
Ich habe meinen PC neu aufgesetzt und den Beitrag über OSAM in den FAQs so verstanden, dass damit geprüft wird, was alles im Autorun drin ist und ob das so auch Sinn macht.

Liege ich also falsch?

Ah deswegen. Wenn du alles neu installiert hast, ist der Rechenr sauber - sofern du alles richtig gemacht hast.
Das OSAM Log ist auch unauffällig.

Danke.
Ich habe alle Hinweise, die hier zu finden waren und zu denen verlinkt wurde, gelesen und versucht genauso die Neuinstallation durchzuführen. Jetzt hat sich gerade eben Microsoft Security Essentials gemeldet. Auf einer externen Festplatte wurden zwei Dateien gefunden: Virus:O97M/Ramnit.A.
Was ist zu tun? Desinfizieren, Quarantäne oder Entfernen?

Betroffen sind zwei Word-Dateien:
Elemente:
file:U:\Daten von Daten\Dokumente\Verschiedenes\Club der alten Säcke.doc
filelocalcopy:\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{4DCEEA85-D158-4D7E-9126-E8EDB10143B6}-Club der alten Säcke.doc

Elemente:
file:U:\Daten von Daten\Dokumente\Verschiedenes\Werner Bandsägen.doc
filelocalcopy:\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{D97764F4-7BB2-429E-8EC6-B075D5E88640}-Werner Bandsägen.doc

Ich hatte verstanden, dass EXE, COM, MSI, PIF oder SCR Dateien betroffen sind? So stand es hier im Forum. Wo kommt das jetzt bitte her?
Ich hatte unter Ubuntu alle externen Medien nach den Dateien durchsucht und sie gelöscht. Alle Autorun.inf-Dateien auch.

Könnt ihr bitte helfen?

Sind das deine eigenen Worddokumente?
An für sich sind Worddokumente nicht ausführbar, können aber böse Markos enthalten. Was sagt eine Gegencheck bei Virustotal dieser beiden Dokumente?
Hast du diese Dokumente schon geöffnet bzw sind sie überhaupt noch relevant oder unwichtig und können weg?

Ja, es sind Dokumente, die ich vor Jahren mal erstellt habe. Nein, sie sollten keine Makros haben, ich habe jedenfalls keine angelegt.
siehe Anhang

Ich habe die Word-Dateien nach der Neuinstallation nicht geöffent, Word bzw. Open-Office sind noch nicht wieder neu installiert... Im Grunde können Sie weg. Aber damit weiß ich nicht, wie es dazu gekommen ist. Warum wurden die jetzt erst erkannt, welche Software ist zu empfehlen, um alle Dateien auf den externen Festplatten zu scannen?

In beiden Dokumenten hat kein Scanner von VT was gefunden?

Nein, das Ergebnis ist bei beiden Dateien gleich und steht im Anhang meines letzten Beitrags.

Dann dürfte hier ein Fehlalarm vorliegen...

Soll ich mich damit zufrieden geben?
Was kann ich noch tun?

Ich bin jetzt ein gebranntes Kind, nachdem ich die ganze Arie mit Sicherung und Neuinstallation durch habe.

Noch eine Frage: Ich habe Autorun für alles mögliche ausgestellt. Wenn ich nun meinen USB-Stick nehme und damit zu Schlecker, Rosmann o. ä. laufe, um Bilder entwickeln zu lassen, dann kann sich der Stick ja mit irgendwas infizieren, richtig? Wenn ich ihn wieder an meinen PC stecke, sollte ein Befall nicht möglich sein, da Autorun deaktiviert, richtig? Und zusätzlich könnte ich MSE drüber laufen lassen, korrekt?

Mit was? Es gibt nunmal keine 100% Sicherheit. Weder beim Computer, noch sonst (Auto, Flugzeug oder andere Verkehrsmittel)

Unmöglich ist der Befall nicht. Nur wird ein infizierter Stick nicht mehr automaisch ausgeführt. Du kannst natürlich eine infizierte Datei manuell ausführen...

Neuer Status:

Alle Word-Dateien haben ein und dasselbe Änderungsdatum.
Alle Excel.Dateien haben ein anderes Änderungsdatum.

MSE ist nun drübergelaufen und hat 'ne ganze Menge desinfiziert

Hm, welches Änderungdatum haben denn alle Dokumente?

DOC 14.03.2011 21:17 oder 21:18
XLS 11.03.2011 21:46 oder 21:47

MSE schlägt immer dann Alarm, wenn ich im Windows Explorer eine Datei anklicke.