E-Scan-Log :-(

von **Asmodina** am 25.12.2004, 22:32

Nabend und frohe Weihnachten :roll:

Als mein Mann das blöde Kazaa neu installieren wollte, meldete Antivir einen Trojaner.

Ich habe jetzt mal E-Scan laufen lassen und das ist das Ergebnis: :evil:

Sat Dec 25 20:35:21 2004 => File C:\DOKUME~1\Michael\LOKALE~1\Temp\mySetp.exe infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:43:17 2004 => File C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:43:17 2004 => File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:43:18 2004 => File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:43:18 2004 => File C:\WINDOWS\Temp\Altnet\adm.exe infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:43:18 2004 => File C:\WINDOWS\Temp\Altnet\admprog.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 20:49:14 2004 => File C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\mySetp.exe infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:20 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP294\A0177131.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:20 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP294\A0177133.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:21 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177139.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:21 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177140.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:21 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177141.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177144.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177148.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177149.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177150.exe infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177151.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:22 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177155.dll infected by "not-a-virus:AdWare.Perfnav.a" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:23 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177160.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:02:23 2004 => File C:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0177162.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:08:28 2004 => File D:\System Volume Information\_restore{D843ED0F-2312-4CD2-A33E-0A17BC4E3EF6}\RP295\A0178519.dll infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Sat Dec 25 21:07:53 2004 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP63\A0026081.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action Taken.
Sat Dec 25 21:07:51 2004 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action Taken.

Hab auch mal Hijackthis laufen lassen und hier ist das Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:26:30, on 25.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Addons und Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metaspinner.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [Neue Anwendung] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3348056369
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.c ... mplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B9DB70C-CF43-4FCC-BF95-40C733F441E2}: NameServer = 217.237.150.97 217.237.149.161

So hab ich mir das Weihnachtsfest auch wieder nicht vorgestellt... :cry:

LG Asmo

von **Nikita** am 25.12.2004, 23:58

Hallo@Asmodina

Kein Problem, das bekommen wir schnell wieder sauber

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Start<ausfuehren<cmd
reinkopieren:
del c:\windows\temp ---> mit Y bestätigen
(Entertaste drücken)

del C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp ---> mit Y bestätigen
(Entertaste drücken)

dann gehe wieder in den Normalmodus

Lade und scanne.
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

dann scanne noch mal mit eScan und berichte

von **Asmodina** am 26.12.2004, 23:15

Hallo Nikita!

Danke...hab fast alles weg

...bis auf dieses hier:

Sat Dec 25 21:07:51 2004 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action Taken.
Sat Dec 25 21:07:53 2004 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP63\A0026081.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action Taken.

Dann hab ich auch noch ne Frage: alle paar Tage finde ich in der Programm-Liste von ZoneAlarm die Datei "LSA-Shell" (aus dem System32-Ordner)...was will die im Internet?

LG Asmo

von **Nikita** am 27.12.2004, 01:20

Hallo@Asmodina

Das kann ein Verbindungsversuch vom Sasser-Wurm sein.

oder:

lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem )
Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

Lovegate ist einer der Viren der sich für die lsass.exe
“ interessiert “. Einen Zugang zum Rechner offen zu haben, nennt man “Backdoor.”
Wer der Meinung ist, jemand verschafft sich von Aussen Zugang zum System, sollte Hier vorbei schauen :
http://securityresponse1.symantec.com/s ... .c@mm.html

oder......
http://frankn.com/html/lsass_exe_virus.php

usw. usw.
------------------------------------------------------------------------------------------------------------------------------------

Lade :
#Stinger
http://vil.nai.com/vil/stinger/
Downloaden Sie dieses "Sasser (A-F) Worm Removal Tool" (englischsprachig) und führen Sie es aus.
http://www.microsoft.com/downloads/deta ... laylang=en
und scanne ohne Internetverbindung.

---------------------------------------------------------------------------------------
dann musst du die Systemwiederherstellung fuer ALLE Laufwerke deaktivieren (also auch fuer D:\)

E-Scan-Log :-(

E-Scan-Log :-(

Datei "LSA-Shell" (aus dem System32-Ordner)

Ähnliche Themen

Wer ist online?