Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 18

Thema: Fehlalarm bei Antivir?

  1. #1
    Youngster
    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Fehlalarm bei Antivir?

    Moin,
    ich habe mir hier mal den Thread > http://www.forum-hilfe.de/showthread.php?t=33661 < durchgelesen, und da dachte ich, dass ihr mir hier bestimmt auch weiterhelfen koennt.

    Also:
    Heute fand Antivir den Trojaner TR/Crypt.ULPM.Gen in

    C:\WINNT\FireFoxUpdater.exe
    .

    Habe anschließend Malwarebytes-Anti-Malware druberlaufen lassen, jedoch fand er nichts.

    Hab auch mal Hjt scannen lassen...

    Hier die Logfile:

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:04:42, on 30.10.2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal
    
    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\hidserv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\SVCHOST.EXE
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe
    C:\PROGRA~1\Versatel\Versatel.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINNT\system32\notepad.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://youtube.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [cugye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\cugye.exe" cugye
    O4 - HKCU\..\Run: [egqqa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe" egqqa
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - .DEFAULT Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196257587828
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9A0134-AE0E-49E9-8AC8-311C2ED99619}: NameServer = 62.220.18.8 89.246.64.8
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Network Connections Logs (Netlogs) - Unknown owner - C:\WINNT\system32\perfs.exe (file missing)
    
    --
    End of file - 4919 bytes
    Ist das nun ein Fehlalarm?
    Bedanke mich schonmal im Voraus und hoffe dass ihr mti weiterhefen koennt..
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    CLiff
    Gast

    Standard AW: Fehlalarm bei Antivir?

    O4 - HKCU\..\Run: [cugye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\cugye.exe" cugye
    O4 - HKCU\..\Run: [egqqa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe" egqqa
    Weißt du, was das für Programme sind?
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9A0134-AE0E-49E9-8AC8-311C2ED99619}: NameServer = 62.220.18.8 89.246.64.8
    Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?

    Die HiJackThis-Logfile hilft uns in diesem Fall überigens absolut nicht weiter, da
    HiJackThis nur einen Virenbefall nachweisen könnte. Solange du die .exe nicht ausführst, kann sich auch kein Virus auflisten.
    Wo hast du die Firefox.exe runtergeladen? Und hat er sie vermutet, oder erkannt?
    Du soltlest die Datei auch nocheinmal hier hochladen.
    Grüße CLiff

  3. #3
    Youngster
    Themenstarter

    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Nein, die dateien kenne ich nicht.. ( Vllt liegts auch daran, dass ich nicht viel ahnung von PCs habe... )

    & warum ich 2 DNS-Server hab weiß ich nich (war frueher der PC meiner Muttervielleicht hat sie da iwas gemacht...)

    Firefox habe ich bei CHip-online runtergeladen.....
    & habe auch schon versucht die Datei bei VIrustotal hochzuladen, jedoch finde ich den Ordner bzw die datei in C:\WINNT nich oô kann ich die iwie finden?


    Edit:
    ... Ob Antivir die Datei nun gefunden oder vermutet hat, weiß ich ncih.. hier mal der Teil des Repots mit C:\WINNT\FireFoxUpdater.exe


    Beginne mit der Suche in 'C:\' <FESTPLATTE>
    C:\PAGEFILE.SYS
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\WINNT\FireFoxUpdater.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c28bc.qua' verschoben!
    Geändert von S04-Fan91 (31.10.2008 um 18:16 Uhr)

  4. #4
    Youngster
    Themenstarter

    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Also, ein Kollege, der etwas Ahnung von PCs hat, war eben hier und ließ Combofix drueberlaufen.. Anschließend haben wir Antivir nochmal durchsuchen lassen und jetzt kommt diese Meldung nicht mehr. Wenn diese Meldung nochmal kommt, melde ich mich^^

    Zitat Zitat von CLiff Beitrag anzeigen

    Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?
    Ist sowas ein Sicherheitsrisiko? Kann ich einen DNS-Server entfernen? Wenn ja, wie?

  5. #5
    Youngster
    Themenstarter

    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Ok, ich bins nochmal...^^
    dachte ja, dass die Datei jetzt weg waere, nachdem Combofix lief, jedoch fand Antivir eben diese Datei wieder... Habe die Datei inzwischen bei Virustotal.com hochgeladen...

    Datei FireFoxUpdater.exe empfangen 2008.11.01 00:34:32 (CET)
    Ergebnis: 11/36 (30.56%)

    Was soll ich damit machen?^^
    Geändert von S04-Fan91 (01.11.2008 um 01:54 Uhr)

  6. #6
    Kaiserliche Hoheit
    Registriert seit
    01.03.2007
    Beiträge
    1.957
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Kannst du die Datei nicht einfach löschen?

    Sollte es nicht gehen, such mal nach dem Tool "Unlocker"... das schafft die meißten

    Dann deinstallierst du FF wie gewohnt und lädst ihn dir direkt von Chip.de oder Mozilla.org runter.


    Info: Große Antivirenhersteller tauschen unter sich oftmals die Dateien von Ihren "verhaltensbasierten" Suchen aus. Daher kann es sein, dass die Datei z.B. von Kasperky bei solch einer Suche gefunden wurde und an AntiVir gesendet wurde....


    Nachtrag: warum ist das nun so schlimm bei DNS Servern? http://www.at-mix.de/dns_server.htm daraus konnte ich iwie nicht so schlau werden, dass ich mir die Frage beantworten kann...
    Geändert von Ericfischer (01.11.2008 um 10:50 Uhr)

  7. #7
    CLiff
    Gast

    Standard AW: Fehlalarm bei Antivir?

    Naja, das ganze nennt sich dann Domain Hack. Wenn irgendwelche gefährlichen Dateien deinen DNS-Server auf den eines Hackers umstellen, so kann dieser kontrollieren, auf welche Seite er dich leitet. Jede Adresse, die du eingibst, wird durch den DNS-Server in eine IP-Adresse umgewandelt. Ist dies nun ein falscher DNS-Server, der dich falsch weiterleitet, kann das zum Beispiel zu Phishing führen. Du gibst zum Beispiel www.postbank.de ein, landest aber auf einer gleich aussehenden Seite. Nur das deine Daten nicht bei der Postbank landen, sondern woanders.

    Wenn man allerdings ein WhoIs macht, kommt raus, dass es DNS-Server von Versatel sind, also wohl doch nicht so tragisch.

    Zitat Zitat von HiJackThis
    O17
    Ein Domain Hack entsteht durch einen Hacker, der Ihren DNS Server auf Ihrem PC zu seinem Server umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den Hackern genehm ist. Durch das hinzufügen von google.com zum DNS Server der Hacker,ermöglicht es den Hackern Ihren Versuch auf www.google.com zukommen, auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.

    Beispiel Auflistung: O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

    Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören, dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können zu ARIN gehen um dort eine "WhoIs" nach DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu ermitteln.

  8. #8
    Youngster
    Themenstarter

    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Zitat Zitat von Ericfischer Beitrag anzeigen
    Kannst du die Datei nicht einfach löschen?
    Ok, mach ich mal ^-^

  9. #9
    Youngster
    Themenstarter

    Registriert seit
    30.10.2008
    Beiträge
    11
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Komisch... wollte die Datei eben loeschen, aber die is nich mehr in C:\WINNT ... hab sie da nich geloescht oO Hab auch nochmal antivir C:\WINNT pruefen lassen & nu gibt er mir keine Virenmeldung mehr oO
    Geändert von S04-Fan91 (01.11.2008 um 18:43 Uhr)

  10. #10
    Kaiserliche Hoheit Avatar von vbtricks
    Registriert seit
    26.12.2005
    Beiträge
    1.586
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Fehlalarm bei Antivir?

    Also etwas Leseverständnis sollte man schon mitbringen.

    Zitat Zitat von S04-Fan91 Beitrag anzeigen
    Edit:
    ... Ob Antivir die Datei nun gefunden oder vermutet hat, weiß ich ncih.. hier mal der Teil des Repots mit C:\WINNT\FireFoxUpdater.exe


    Beginne mit der Suche in 'C:\' <FESTPLATTE>
    C:\PAGEFILE.SYS
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\WINNT\FireFoxUpdater.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c28bc.qua' verschoben!
    Hinweis: Letzte Zeile.
    Farben richtig wählen: ColorBlender
    Website validieren: W3C Markup Validation Service
    Meine Website: vbtricks
    Kleines Snake zwischendurch?

Ähnliche Themen

  1. AntiVir & Spyware Doctor
    Von Petra-4 im Forum Computer - Internet Forum
    Antworten: 3
    Letzter Beitrag: 29.08.2007, 12:56
  2. Antivir
    Von Gast im Forum Computer - Internet Forum
    Antworten: 22
    Letzter Beitrag: 17.01.2007, 00:17
  3. AntiVir
    Von davidos_no.1 im Forum Computer - Internet Forum
    Antworten: 9
    Letzter Beitrag: 29.05.2006, 17:44
  4. AntiVir- Einstellung ?
    Von Andre Mpunkt im Forum Computer - Internet Forum
    Antworten: 2
    Letzter Beitrag: 18.02.2005, 16:33
  5. AntiVir Guard
    Von Rocco im Forum Off Topic und Quasselbox
    Antworten: 4
    Letzter Beitrag: 13.07.2004, 16:19

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •