deen

Guten Morgen,

eben wurde von AntiVir genanntes Virus gefunden, obwohl ich nur auf gmx.de, web.de und dann hier her gesurft bin?
Habe es in die Quarantäne verschoben und danach den Firefox Cache usw. komplett gelöscht.
Log von AntiVir:

18.11.2009,08:06:13 [WARNUNG] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen!
C:\Users\Daniel\AppData\Local\Mozilla\Firefox\Prof iles\oasji0bp.default\Cache\_CACHE_002_
[USER] NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
18.11.2009,08:06:30 [WARNUNG] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen!
C:\Users\Daniel\AppData\Local\Mozilla\Firefox\Prof iles\oasji0bp.default\Cache\_CACHE_002_
[USER] NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!

Habe gerade die vollständige Systemprüfung gestartet.
Muss ich irgendwas mit dem Virus in der Quarantäne machen? Also löschen oder ähnliches?

arian06

Poste am besten eine Hijackthis Logfile die du im Abgesicherten Modus gemacht hast.

deen

Hi und Danke für die rasche Antwort.

Hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:10, on 18.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode

Running processes:
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = [Habe ich aus Sicherheitsgründen entfernt]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7471674-0297-4FA6-918F-0C780CD3CDD1}: Domain = [Habe ich aus Sicherheitsgründen entfernt]
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7471674-0297-4FA6-918F-0C780CD3CDD1}: NameServer = 193.196.64.1,193.196.64.2
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ShrewSoft DNS Proxy Dämon (dtpd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\dtpd.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: ShrewSoft IKE Dämon (iked) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\iked.exe
O23 - Service: ShrewSoft IPSEC Dämon (ipsecd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5785 bytes



Beim vorherigen kompletten Systemscan hat AntiVir nichts mehr gefunden und die infizierte Datei wurde nicht mehr in der Quarantäne angezeigt, nachdem ich den Cache komplett gelöscht hatte.
Ist wohl nichts passiert und der Virus ist weg, aber zur Sicherheit frag ich doch lieber nochmal, denn mit dem HiJack Log kann ich nicht so viel anfangen.

Edit: Musste ein bestimmtes Wort in dämon ändern, da das richtige hier zensiert ist (Programm oben hat aber nichts mit dem Virtual Mount Proggy zu tun )

Leonixx

Hi,

diese Einträge fixen, wobei das nur verwaiste Dateien sind.

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)


Ansonsten vermute ich doch eher das es ein klassischer Fehlalarm ist, der im Moment bei Allen AV-Programmen vermehrt vorkommt. Das liegt an der neuen Technik der verhaltensbasierender Erkennung.

deen

Vielen Dank, habe die genannten Einträge gefixt.
Ein Glück, dass es ein Fehlalarm war, sonst hätte ich mich nicht mehr auf gmx.de getraut
Kann es sein, dass Windows beim Deinstallieren von Programmen nicht alle Komponenten des Programms löscht?
Denn im Log sind noch Einträge von AVG vorhanden, obwohl ich das vor geraumer Zeit gelöscht habe.
Und wieso steht denn bei fast allen Einträgen "missing file" dahinter? Kommt das davon, dass bei Windowsupdates oder dem Fragmentieren von der Festplatte Dateien verschoben werden?
Und noch eine letzte Frage: Gibt es dieses geniale AVG-Feature, welches verdächtige Seiten noch vor dem anklicken anzeigt (auch bei der google-Suche) ohne das Virenprogramm?
So, das war alles, was mich noch in der Sache interessiert hat, möchte ja hier niemanden überstrapazieren

Leonixx

Hi,

es bleiben immer Reste von Programmen auf dem Rechner bei Deinstallation zurück. Leider kann es kein Hersteller besser.

Wenn du Warnung von gefährlichen Webseiten meinst, kannst du auch das Addon WOT für den Firefox benutzen. Es gibt auch noch Mcafee Side Advisor.

http://www.chip.de/downloads/McAfee-..._28804111.html

https://addons.mozilla.org/de/firefo...d=5&sort=&lup=

deen

Danke nochmals,

habe gleich mal den McAfee SiteAdvisor installiert und wirkt auf den ersten Blick echt gut.