Habe mein System mal mit Escan durchgekämmt (mwav). Dabei erhalte ich folgende, nicht nachvollziehbare Meldungen:
Wed May 17 08:38:44 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken. Wed May 17 08:38:54 2006 => Offending Folder found: f:\ea games\die sims 2\music\cas Wed May 17 08:38:54 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Das ist ein Standard-File von Sims2, soweit ich weiß. Ein Einzeiler. Virustotal meldet sauber
Wed May 17 08:38:55 2006 => Offending file found: f:\downloads\phase5_tut_0203\vergleiche\start.html Wed May 17 08:38:55 2006 => System found infected with smitfraud Browser Hijacker (start.html)! Action taken: No Action Taken. Eine nahezu leere HTML-Datei vom Phase5-Tutorial, keinerlei (!) auffällige Inhalte feststellbar.
Sowohl CWSchredder, TrendMicro als auch Avast zeigen zudem nichts Verdächtiges. --------------------------------------------------------
Rootkitrevealer meldet: D:\Dokumente und Einstellungen\pegaso\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\parent.lock 17.05.2006 11:16 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\51F15E63d01 17.05.2006 11:16 60.73 KB Hidden from Windows API. D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\6043D422d01 17.05.2006 11:16 19.22 KB Hidden from Windows API. D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\F3A55F74d01 17.05.2006 11:16 19.24 KB Hidden from Windows API.
Wobei das Dateileichen sein dürften - Firefox speichert seit neuestem seinen Cache unter ....\lokale Einstellungen\..... Das müssten irgendwelche Reste ohne Sinn sein.
---------------------------------------
Kann ich davon ausgehen, dass Escan überreagiert?
*********************** System: XP+SP2+aktuelle Updates bis 5/06 Surfe mit Adminrechten (alles andere wäre unkommod, de/installiere nebenher oft) Firefox 1.5.03 Pegasus Mail 4.31 Avast Sun JavaRuntime 5, Update 5 Sygate FW (zum Spaß, nicht der Diskussion würdig) Brain 1.0 (keine Auffälligkeiten im Betrieb, außer dass ich mir irgendwie alle Thunderbird und Firefox-Profile zerschossen habe, daher auch der zusätzliche Scan... schauste mal nach, dachte ich mir. Die Profil-Probleme dürften jedoch in erster Linie mit Datenverlust wegen XP-Ruhezustand zusammenhängen) ************************
Danke schon mal für eure Ideen
......................................................... Nachtrag Hijack-Log, in meinen Augen auch ohne Auffälligkeiten:
Logfile of HijackThis v1.99.1 Scan saved at 10:31:16, on 17.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LaunchPDeviceConn] "D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe" O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - Startup: OnlineEye.lnk = D:\Programme\Onlineeye Pro\OnlineEye.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125667940968 O17 - HKLM\System\CCS\Services\Tcpip\..\{9D985C8B-986A-426C-AC56-24AFEDCE90B1}: NameServer = 192.168.115.254 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
Das einzige, was mit spanisch vorkommt, ist die Zeile R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder. Aber R1 verweist ja nur auf einen Registryeintrag, oder?
Der IE ist so eingestellt, dass er nur mit sich selbst redet (proxy 127.0.0.1)
Dieser Beitrag wurde am 17.05.2006 um 20:57 Uhr von sopho editiert.
Um auf dieses Thema zu ANTWORTEN bitte erst » hier kostenlos registrieren!!
Habe mein System mal mit Escan durchgekämmt (mwav).
Dabei erhalte ich folgende, nicht nachvollziehbare Meldungen:
Wed May 17 08:38:44 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Wed May 17 08:38:54 2006 => Offending Folder found: f:\ea games\die sims 2\music\cas
Wed May 17 08:38:54 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Das ist ein Standard-File von Sims2, soweit ich weiß.
Ein Einzeiler. Virustotal meldet sauber
Wed May 17 08:38:55 2006 => Offending file found: f:\downloads\phase5_tut_0203\vergleiche\start.html
Wed May 17 08:38:55 2006 => System found infected with smitfraud Browser Hijacker (start.html)! Action taken: No Action Taken.
Eine nahezu leere HTML-Datei vom Phase5-Tutorial, keinerlei (!) auffällige Inhalte feststellbar.
Sowohl CWSchredder, TrendMicro als auch Avast zeigen zudem nichts Verdächtiges.
--------------------------------------------------------
Rootkitrevealer meldet:
D:\Dokumente und Einstellungen\pegaso\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\parent.lock 17.05.2006 11:16 0 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\51F15E63d01 17.05.2006 11:16 60.73 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\6043D422d01 17.05.2006 11:16 19.22 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\F3A55F74d01 17.05.2006 11:16 19.24 KB Hidden from Windows API.
Wobei das Dateileichen sein dürften - Firefox speichert seit neuestem seinen Cache unter ....\lokale Einstellungen\.....
Das müssten irgendwelche Reste ohne Sinn sein.
---------------------------------------
Kann ich davon ausgehen, dass Escan überreagiert?
***********************
System: XP+SP2+aktuelle Updates bis 5/06
Surfe mit Adminrechten (alles andere wäre unkommod, de/installiere nebenher oft)
Firefox 1.5.03
Pegasus Mail 4.31
Avast
Sun JavaRuntime 5, Update 5
Sygate FW (zum Spaß, nicht der Diskussion würdig)
Brain 1.0
(keine Auffälligkeiten im Betrieb, außer dass ich mir irgendwie alle Thunderbird und Firefox-Profile zerschossen habe, daher auch der zusätzliche Scan... schauste mal nach, dachte ich mir. Die Profil-Probleme dürften jedoch in erster Linie mit Datenverlust wegen XP-Ruhezustand zusammenhängen)
************************
Danke schon mal für eure Ideen
.........................................................
Nachtrag Hijack-Log, in meinen Augen auch ohne Auffälligkeiten:
Logfile of HijackThis v1.99.1
Scan saved at 10:31:16, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\D-Tools\daemon.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
D:\Programme\Onlineeye Pro\OnlineEye.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\Programme\Avast4\aswUpdSv.exe
D:\Programme\Avast4\ashServ.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\fxssvc.exe
D:\Programme\Avast4\ashWebSv.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\explorer.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Trend Micro\Tmas\tmas.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\pegaso\LOKALE~1\Temp\kavss.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\Rar$EX00.640\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchPDeviceConn] "D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - Startup: OnlineEye.lnk = D:\Programme\Onlineeye Pro\OnlineEye.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125667940968
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D985C8B-986A-426C-AC56-24AFEDCE90B1}: NameServer = 192.168.115.254
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
Das einzige, was mit spanisch vorkommt, ist die Zeile
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder. Aber R1 verweist ja nur auf einen Registryeintrag, oder?
Der IE ist so eingestellt, dass er nur mit sich selbst redet (proxy 127.0.0.1)