Escan verunsichert mich (Fehlalarm?)
Hi ihr
)
Habe mein System mal mit Escan durchgekämmt (mwav).
Dabei erhalte ich folgende, nicht nachvollziehbare Meldungen:
Wed May 17 08:38:44 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Wed May 17 08:38:54 2006 => Offending Folder found: f:\ea games\die sims 2\music\cas
Wed May 17 08:38:54 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Das ist ein Standard-File von Sims2, soweit ich weiß.
Ein Einzeiler. Virustotal meldet sauber
Wed May 17 08:38:55 2006 => Offending file found: f:\downloads\phase5_tut_0203\vergleiche\start.html
Wed May 17 08:38:55 2006 => System found infected with smitfraud Browser Hijacker (start.html)! Action taken: No Action Taken.
Eine nahezu leere HTML-Datei vom Phase5-Tutorial, keinerlei (!) auffällige Inhalte feststellbar.
Sowohl CWSchredder, TrendMicro als auch Avast zeigen zudem nichts Verdächtiges.
--------------------------------------------------------
Rootkitrevealer meldet:
D:\Dokumente und Einstellungen\pegaso\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\parent.lock 17.05.2006 11:16 0 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\51F15E63d01 17.05.2006 11:16 60.73 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\6043D422d01 17.05.2006 11:16 19.22 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\F3A55F74d01 17.05.2006 11:16 19.24 KB Hidden from Windows API.
Wobei das Dateileichen sein dürften - Firefox speichert seit neuestem seinen Cache unter ....\lokale Einstellungen\.....
Das müssten irgendwelche Reste ohne Sinn sein.
---------------------------------------
Kann ich davon ausgehen, dass Escan überreagiert?
***********************
System: XP+SP2+aktuelle Updates bis 5/06
Surfe mit Adminrechten (alles andere wäre unkommod, de/installiere nebenher oft)
Firefox 1.5.03
Pegasus Mail 4.31
Avast
Sun JavaRuntime 5, Update 5
Sygate FW (zum Spaß, nicht der Diskussion würdig)
Brain 1.0
(keine Auffälligkeiten im Betrieb, außer dass ich mir irgendwie alle Thunderbird und Firefox-Profile zerschossen habe, daher auch der zusätzliche Scan... schauste mal nach, dachte ich mir. Die Profil-Probleme dürften jedoch in erster Linie mit Datenverlust wegen XP-Ruhezustand zusammenhängen)
************************
Danke schon mal für eure Ideen
.........................................................
Nachtrag Hijack-Log, in meinen Augen auch ohne Auffälligkeiten:
Logfile of HijackThis v1.99.1
Scan saved at 10:31:16, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\D-Tools\daemon.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
D:\Programme\Onlineeye Pro\OnlineEye.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\Programme\Avast4\aswUpdSv.exe
D:\Programme\Avast4\ashServ.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\fxssvc.exe
D:\Programme\Avast4\ashWebSv.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\explorer.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Trend Micro\Tmas\tmas.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\pegaso\LOKALE~1\Temp\kavss.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\Rar$EX00.640\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchPDeviceConn] "D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - Startup: OnlineEye.lnk = D:\Programme\Onlineeye Pro\OnlineEye.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125667940968
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D985C8B-986A-426C-AC56-24AFEDCE90B1}: NameServer = 192.168.115.254
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MYPKTEILYU - Sysinternals - www.sysinternals.com - D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MYPKTEILYU.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
Der IE ist so eingestellt, dass er nur mit sich selbst redet (proxy 127.0.0.1)
Hi ihr
Habe mein System mal mit Escan durchgekämmt (mwav).
Dabei erhalte ich folgende, nicht nachvollziehbare Meldungen:
Wed May 17 08:38:44 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Wed May 17 08:38:54 2006 => Offending Folder found: f:\ea games\die sims 2\music\cas
Wed May 17 08:38:54 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Das ist ein Standard-File von Sims2, soweit ich weiß.
Ein Einzeiler. Virustotal meldet sauber
Wed May 17 08:38:55 2006 => Offending file found: f:\downloads\phase5_tut_0203\vergleiche\start.html
Wed May 17 08:38:55 2006 => System found infected with smitfraud Browser Hijacker (start.html)! Action taken: No Action Taken.
Eine nahezu leere HTML-Datei vom Phase5-Tutorial, keinerlei (!) auffällige Inhalte feststellbar.
Sowohl CWSchredder, TrendMicro als auch Avast zeigen zudem nichts Verdächtiges.
--------------------------------------------------------
Rootkitrevealer meldet:
D:\Dokumente und Einstellungen\pegaso\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\parent.lock 17.05.2006 11:16 0 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\51F15E63d01 17.05.2006 11:16 60.73 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\6043D422d01 17.05.2006 11:16 19.22 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\pegaso\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gda1fjw9.default\Cache\F3A55F74d01 17.05.2006 11:16 19.24 KB Hidden from Windows API.
Wobei das Dateileichen sein dürften - Firefox speichert seit neuestem seinen Cache unter ....\lokale Einstellungen\.....
Das müssten irgendwelche Reste ohne Sinn sein.
---------------------------------------
Kann ich davon ausgehen, dass Escan überreagiert?
***********************
System: XP+SP2+aktuelle Updates bis 5/06
Surfe mit Adminrechten (alles andere wäre unkommod, de/installiere nebenher oft)
Firefox 1.5.03
Pegasus Mail 4.31
Avast
Sun JavaRuntime 5, Update 5
Sygate FW (zum Spaß, nicht der Diskussion würdig)
Brain 1.0
(keine Auffälligkeiten im Betrieb, außer dass ich mir irgendwie alle Thunderbird und Firefox-Profile zerschossen habe, daher auch der zusätzliche Scan... schauste mal nach, dachte ich mir. Die Profil-Probleme dürften jedoch in erster Linie mit Datenverlust wegen XP-Ruhezustand zusammenhängen)
************************
Danke schon mal für eure Ideen
.........................................................
Nachtrag Hijack-Log, in meinen Augen auch ohne Auffälligkeiten:
Logfile of HijackThis v1.99.1
Scan saved at 10:31:16, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\D-Tools\daemon.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
D:\Programme\Onlineeye Pro\OnlineEye.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\Programme\Avast4\aswUpdSv.exe
D:\Programme\Avast4\ashServ.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\fxssvc.exe
D:\Programme\Avast4\ashWebSv.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\explorer.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Trend Micro\Tmas\tmas.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\pegaso\LOKALE~1\Temp\kavss.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\pegaso\LOKALE~1\Temp\Rar$EX00.640\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virenschleuder
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchPDeviceConn] "D:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - Startup: OnlineEye.lnk = D:\Programme\Onlineeye Pro\OnlineEye.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125667940968
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D985C8B-986A-426C-AC56-24AFEDCE90B1}: NameServer = 192.168.115.254
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MYPKTEILYU - Sysinternals - www.sysinternals.com - D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MYPKTEILYU.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\sandra\Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
Der IE ist so eingestellt, dass er nur mit sich selbst redet (proxy 127.0.0.1)