Avast! meldet ELF:local-J-exploit |
||
---|---|---|
#0
| ||
24.06.2007, 05:03
Member
Beiträge: 11 |
||
|
||
24.06.2007, 09:21
Moderator
Beiträge: 7805 |
#2
Hake die entsprechenden Eintraege in hijackthis an und druecke fix checked:
R3 - URLSearchHook: ScriptInocUI Class - - (no file) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe Danach loesche diesen Ordner: C:\Programme\Gemeinsame Dateien\Symantec Shared Ich wuerde Trojancheck ebenfalls deinstallieren, da ich nicht weiss, in wie weit das mit Avast zusammen funktioniert. Die von Avast gemeldete Datei kannst du loeschen, das ist ein Fehlalarm. So wie es aussieht, ist deine Avast installation beschaedigt. Im Zweifelsfalle deinstalliere und installiere es erneut. Solltest du wincleaner(Complete PC Care) noch nutzen, lasse es installiert, sonst deinstalliere es ebenfalls. Sollte sich der PC dann wieder normal verhalten, poste bitte ein Combofix report: http://virus-protect.org/artikel/tools/combofix.html Zu guter letzt musst du danach noch via www.windowupdate.com dein Windows aktualisieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.06.2007, 21:30
Member
Themenstarter Beiträge: 11 |
#3
Hallo Ralf,
sei zunächst mal für Deine freundliche Hilfe bedankt. Zitat raman posteteOkay, hab ich gemacht. Zitat Danach loesche diesen Ordner: C:\Programme\Gemeinsame Dateien\Symantec SharedEbenfalls erledigt. Zitat Ich wuerde Trojancheck ebenfalls deinstallieren, da ich nicht weiss, in wie weit das mit Avast zusammen funktioniert.Hab ich versucht. In der Software-Liste ist es auch weg; das Icon im Task-Bar ist ebenfalls weg. Aber in WinExplorer sind die Dateien noch vorhanden, lassen sich auch nicht löschen. Beim Start des Computers kommt jetzt die Meldung: "Language file not found. Please reinstall Trojancheck." Zitat Die von Avast gemeldete Datei kannst du loeschen, das ist ein Fehlalarm.Fehlalarm hört sich schon mal gut an! Löschen der Datei scheitert daran, dass sie nirgends zu finden ist. Zitat So wie es aussieht, ist deine Avast installation beschaedigt. Im Zweifelsfalle deinstalliere und installiere es erneut.Hab ich gemacht. Klappte aber erst beim 2. Versuch. Immerhin hat sich's eben schon automatisch upgedated, dann wird's wohl funktionieren Zitat Solltest du wincleaner(Complete PC Care) noch nutzen, lasse es installiert, sonst deinstalliere es ebenfalls.?? Finde nirgends ein Programm, das so heißt. Könnte aber eins sein, das ich früher mal benutzt und dann deinstalliert habe, weil es nicht mehr funktionierte, wie ich mich schwach erinnere. Macht das das gleiche wie Sweepi? Denn das hab ich damals wohl als Ersatz installiert, glaub ich und benutze es täglich ... also wo ich da noch alte Reste deinstallieren oder löschen kann, ist mir unklar. Zitat Sollte sich der PC dann wieder normal verhalten, poste bitte ein Combofix report: http://virus-protect.org/artikel/tools/combofix.htmlDa ich noch nicht ganz sicher bin, hab ich das noch nicht gemacht. Auffällig ist allerdings, daß sich meine Maus schon mal wieder vernünftig benimmt; die war unberechenbar geworden, oft mußte ich zwei- sogar dreimal klicken, bis sich was tat, in anderen Fällen waren mit 1 Klick aber auch gleich 2 bis 3 Sachen weg, seit etwa 14 Tagen. Das scheint verschwunden. Zitat Zu guter letzt musst du danach noch via www.windowupdate.com dein Windows aktualisieren.Seufz ... ich krieg's nicht mehr gebacken. Automatisches Update hat von vornherein nicht funktioniert, obwohl es angeblich so eingestellt war, sagte mein Compi-Laden, der mir diese Kiste zusammengestielt hat. Eine Zeitlang hab ich manuell upgedated, aber seit Windows diese Gültigkeitsprüfung oder wie das heißt eingeführt hat, geht's nicht mehr. Diese Prüfung hat nämlich noch nie überhaupt nur funktioniert, trotz meiner absolut legalen Software. Da ich Internet Explorer nie benutze und alles auf rigoroseste Sicherheit eingestellt gelassen hab, weiß ich nicht, welche Einstellungen ich ändern müßte, damit überhaupt diese Prüfung durchgeführt werden kann, von Updaten noch gar nicht zu reden. Und den Überblick, welche Patches ich brauche und welche nicht, hab ich schon längst verloren. ICH HASSE DIE WINDOWS-SEITEN!, nicht daß ich da jemals durchgeblickt hätte! (Nein, ich schrei nicht Dich an!, das ist nur ein generell in die Luft gerichteter Verzweiflungsausbruch ) Der HijackThis-Logfile sieht jetzt so aus - und Trojancheck kommt da immer noch vor! - : Logfile of HijackThis v1.99.1 Scan saved at 21:37:13, on 24.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\Advanced Registry Doctor\RegManServ.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC38233-3677-43BF-B1F1-9EE92838932C}: NameServer = 217.237.150.51 217.237.148.22 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe Nochmal vielen Dank & lieben Gruß Rosabel |
|
|
||
28.06.2007, 21:07
Member
Themenstarter Beiträge: 11 |
#4
War leider ein paar Tage weg, daher die Verzögerung. Hier ist jetzt der Combofix Logfile:
ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Benutzer01\Desktop\ComboFix.exe "Benutzer01" - 2007-06-28 21:06:31 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_NM -------\nm ((((((((((((((((((((((((( Files Created from 2007-05-28 to 2007-06-28 ))))))))))))))))))))))))))))))) 2007-06-28 21:06 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-24 20:58 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-06-24 20:58 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-06-24 20:58 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-06-24 20:58 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-06-24 20:58 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-06-24 20:58 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-06-24 20:58 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-24 18:31:56 -------- d-----w C:\Programme\Trojancheck 6 2007-05-29 01:43:09 -------- d-----w C:\Programme\Opera 2007-05-06 03:32:39 -------- d-----w C:\Programme\Digitale Bibliothek 4 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE] "Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 18:23] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=YES [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=01000000 "ClearRecentDocsOnExit"=1 (0x1) "NoWinKeys"=01000000 "NoUserNameInStartMenu"=01000000 "NoLowDiskSpaceChecks"=1 (0x1) "NoRecentDocsHistory"=01000000 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WmdmPmSN"=3 (0x3) "UPS"=3 (0x3) "Themes"=3 (0x3) "spupdsvc"=2 (0x2) "rpcapd"=3 (0x3) "avast! Mail Scanner"=3 (0x3) "Automatisches LiveUpdate - Scheduler"=2 (0x2) "aswUpdSv"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "ATIPTA"=REM C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "HydraVisionDesktopManager"=C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-28 21:08:48 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-28 21:09:34 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-28 21:09 --- E O F --- Nachdem ich Combofix hab durchlaufen lassen und bevor der Report erstellt wurde, wurde der Rechner neu gestartet (von Combofix, so stand es jedenfalls da). Vor dem Logfile kam die Meldung "Das System kann den Pfad nicht finden", der Report kam dann aber trotzdem, und als ich wieder online ging, um ihn hier zu posten, kam die Meldung, daß Firefox nicht mein Standardbrowser sei und ob ich ihn als Standard festlegen wollte - was er seit 6 Jahren ist. Keine Ahnung, ob diese Infos als Ergänzung eine Rolle spielen, fand sie jedenfalls auffällig. Lieben Gruß, Rosabel |
|
|
||
28.06.2007, 21:43
Moderator
Beiträge: 7805 |
||
|
||
29.06.2007, 15:25
Member
Themenstarter Beiträge: 11 |
||
|
||
der Threadtitel sagt's schon: beim Virenscan kam Avast! heute mit dieser Malware-Meldung: ELF:local-J-exploit, die infizierte angegebene Datei war C:\windows\memory.dmp. Die Avast-Funktion zum Isolieren des Dings erwies sich als nicht funktionstüchtig, blieb also nur Umbenennen (angeblich wird da eine Endung .vir angehängt) - und nun finde ich weder eine Datei memory.dmp noch eine Datei mit der Erweiterung .vir.
Hab versucht, mit Google was rauszufinden, ist mir aber nicht gelungen. Ob HijackThis richtig arbeitet, weiß ich nicht, aber dies hier ist der Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 04:58:14, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC38233-3677-43BF-B1F1-9EE92838932C}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
Könnt Ihr damit was anfangen? Bin ratlos. Hatte auch beim Google-Suchen einen Bluescreen, was extrem selten ist, der hier kam mit der Überschrift "Kernel_Stack_Inpage_Error. Danach ließ sich der Comp aber normal starten, nur daß zu meiner Überraschung Avast! nicht mehr mit dem üblichen Bild erscheint (diesem Radioimitat), sondern mit etwas, das "Einfache Benutzerschnittstelle" heißt, wo ich aber nichts als "Archive prüfen" einstellen kann, und die Buttons "Prüfung starten /Prüfung beenden /in den Hintergrund alle ausgegraut sind.
Daß mein Computer irgendwie befallen ist, vermutete ich schon, da Spybot nicht mehr richtig funktionierte. Had es deshalb gestern zu deinstallieren versucht, ging aber nicht; das Icon vom Destop ist zwar verschwunden, die Dateien sind aber alle noch da, ohne daß das Programm sich noch starten läßt. Trotzdem kommt eine Spybot-Warnung, wenn ich in den Startdateien was ändern will, und Spybot läßt die nötige Änderung in der Registry nicht zu. Ach so, das Herunterladen einer neuen HijackThis-Version ging gleichfalls nicht, so daß ich wieder die alte nehmen muß.
Ergibt das ein Bild? Ich bin total überfordert.
Gruß, Rosabel
EDIT: Die Symantec-Sachen im Logfile wundern mich grad; habe NortonAntivirus vor Wochen genau nach Anweisung von Symantec deinstalliert.