Infected.WebPage.Gen

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von deen, 18.11.2009.

  1. deen

    deen Benutzer

    Dabei seit:
    25.10.2009
    Beiträge:
    55
    Zustimmungen:
    0
    Guten Morgen,

    eben wurde von AntiVir genanntes Virus gefunden, obwohl ich nur auf gmx.de, web.de und dann hier her gesurft bin?
    Habe es in die Quarantäne verschoben und danach den Firefox Cache usw. komplett gelöscht.
    Log von AntiVir:

    18.11.2009,08:06:13 [WARNUNG] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen!
    C:\Users\Daniel\AppData\Local\Mozilla\Firefox\Profiles\oasji0bp.default\Cache\_CACHE_002_
    [USER] NT-AUTORITÄT\SYSTEM
    [INFO] Der Zugriff auf die Datei wurde verweigert!
    18.11.2009,08:06:30 [WARNUNG] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen!
    C:\Users\Daniel\AppData\Local\Mozilla\Firefox\Profiles\oasji0bp.default\Cache\_CACHE_002_
    [USER] NT-AUTORITÄT\SYSTEM
    [INFO] Der Zugriff auf die Datei wurde verweigert!

    Habe gerade die vollständige Systemprüfung gestartet.
    Muss ich irgendwas mit dem Virus in der Quarantäne machen? Also löschen oder ähnliches?
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 arian06, 18.11.2009
    arian06

    arian06 n3Rd o.0

    Dabei seit:
    15.03.2009
    Beiträge:
    587
    Zustimmungen:
    0
    Poste am besten eine Hijackthis Logfile die du im Abgesicherten Modus gemacht hast.
     
  4. deen

    deen Benutzer

    Dabei seit:
    25.10.2009
    Beiträge:
    55
    Zustimmungen:
    0
    Hi und Danke für die rasche Antwort.

    Hier die Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:07:10, on 18.11.2009
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Safe mode

    Running processes:
    C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = [Habe ich aus Sicherheitsgründen entfernt]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll (file missing)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    O13 - Gopher Prefix:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A7471674-0297-4FA6-918F-0C780CD3CDD1}: Domain = [Habe ich aus Sicherheitsgründen entfernt]
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A7471674-0297-4FA6-918F-0C780CD3CDD1}: NameServer = 193.196.64.1,193.196.64.2
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ShrewSoft DNS Proxy Dämon (dtpd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\dtpd.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: ShrewSoft IKE Dämon (iked) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\iked.exe
    O23 - Service: ShrewSoft IPSEC Dämon (ipsecd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

    --
    End of file - 5785 bytes



    Beim vorherigen kompletten Systemscan hat AntiVir nichts mehr gefunden und die infizierte Datei wurde nicht mehr in der Quarantäne angezeigt, nachdem ich den Cache komplett gelöscht hatte.
    Ist wohl nichts passiert und der Virus ist weg, aber zur Sicherheit frag ich doch lieber nochmal, denn mit dem HiJack Log kann ich nicht so viel anfangen.

    Edit: Musste ein bestimmtes Wort in dämon ändern, da das richtige hier zensiert ist (Programm oben hat aber nichts mit dem Virtual Mount Proggy zu tun ;) )
     
  5. #4 Leonixx, 18.11.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    diese Einträge fixen, wobei das nur verwaiste Dateien sind.

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll (file missing)
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)


    Ansonsten vermute ich doch eher das es ein klassischer Fehlalarm ist, der im Moment bei Allen AV-Programmen vermehrt vorkommt. Das liegt an der neuen Technik der verhaltensbasierender Erkennung.
     
  6. deen

    deen Benutzer

    Dabei seit:
    25.10.2009
    Beiträge:
    55
    Zustimmungen:
    0
    Vielen Dank, habe die genannten Einträge gefixt.
    Ein Glück, dass es ein Fehlalarm war, sonst hätte ich mich nicht mehr auf gmx.de getraut :D
    Kann es sein, dass Windows beim Deinstallieren von Programmen nicht alle Komponenten des Programms löscht?
    Denn im Log sind noch Einträge von AVG vorhanden, obwohl ich das vor geraumer Zeit gelöscht habe.
    Und wieso steht denn bei fast allen Einträgen "missing file" dahinter? Kommt das davon, dass bei Windowsupdates oder dem Fragmentieren von der Festplatte Dateien verschoben werden?
    Und noch eine letzte Frage: Gibt es dieses geniale AVG-Feature, welches verdächtige Seiten noch vor dem anklicken anzeigt (auch bei der google-Suche) ohne das Virenprogramm?
    So, das war alles, was mich noch in der Sache interessiert hat, möchte ja hier niemanden überstrapazieren ;)
     
  7. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  8. #6 Leonixx, 18.11.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
  9. deen

    deen Benutzer

    Dabei seit:
    25.10.2009
    Beiträge:
    55
    Zustimmungen:
    0
    Danke nochmals,

    habe gleich mal den McAfee SiteAdvisor installiert und wirkt auf den ersten Blick echt gut. :)
     
Thema:

Infected.WebPage.Gen