Fehlalarm bei Antivir?

S04-Fan91

Moin,
ich habe mir hier mal den Thread > https://www.forum-hilfe.de/showthread.php?t=33661 < durchgelesen, und da dachte ich, dass ihr mir hier bestimmt auch weiterhelfen koennt.

Also:
Heute fand Antivir den Trojaner TR/Crypt.ULPM.Gen in

C:\WINNT\FireFoxUpdater.exe.

Habe anschließend Malwarebytes-Anti-Malware druberlaufen lassen, jedoch fand er nichts.

Hab auch mal Hjt scannen lassen...

Hier die Logfile:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:42, on 30.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal


Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SVCHOST.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://youtube.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cugye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\cugye.exe" cugye
O4 - HKCU\..\Run: [egqqa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe" egqqa
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196257587828
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9A0134-AE0E-49E9-8AC8-311C2ED99619}: NameServer = 62.220.18.8 89.246.64.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Network Connections Logs (Netlogs) - Unknown owner - C:\WINNT\system32\perfs.exe (file missing)


--
End of file - 4919 bytes

Alles anzeigen

Ist das nun ein Fehlalarm?
Bedanke mich schonmal im Voraus und hoffe dass ihr mti weiterhefen koennt..

CLiff

Zitat

O4 - HKCU\..\Run: [cugye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\cugye.exe" cugye
O4 - HKCU\..\Run: [egqqa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe" egqqa

Weißt du, was das für Programme sind?

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9A0134-AE0E-49E9-8AC8-311C2ED99619}: NameServer = 62.220.18.8 89.246.64.8

Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?

Die HiJackThis-Logfile hilft uns in diesem Fall überigens absolut nicht weiter, da
HiJackThis nur einen Virenbefall nachweisen könnte. Solange du die .exe nicht ausführst, kann sich auch kein Virus auflisten.
Wo hast du die Firefox.exe runtergeladen? Und hat er sie vermutet, oder erkannt?
Du soltlest die Datei auch nocheinmal hier hochladen.
Grüße CLiff

S04-Fan91

Nein, die dateien kenne ich nicht.. ( Vllt liegts auch daran, dass ich nicht viel ahnung von PCs habe... :x)

& warum ich 2 DNS-Server hab weiß ich nich (war frueher der PC meiner Muttervielleicht hat sie da iwas gemacht...)

Firefox habe ich bei CHip-online runtergeladen.....
& habe auch schon versucht die Datei bei VIrustotal hochzuladen, jedoch finde ich den Ordner bzw die datei in C:\WINNT nich oô kann ich die iwie finden?

Edit:
... Ob Antivir die Datei nun gefunden oder vermutet hat, weiß ich ncih.. hier mal der Teil des Repots mit C:\WINNT\FireFoxUpdater.exe

Beginne mit der Suche in 'C:\' <FESTPLATTE>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\FireFoxUpdater.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c28bc.qua' verschoben!

S04-Fan91

Also, ein Kollege, der etwas Ahnung von PCs hat, war eben hier und ließ Combofix drueberlaufen.. Anschließend haben wir Antivir nochmal durchsuchen lassen und jetzt kommt diese Meldung nicht mehr. Wenn diese Meldung nochmal kommt, melde ich mich^^

Zitat von CLiff

Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?

Ist sowas ein Sicherheitsrisiko? Kann ich einen DNS-Server entfernen? Wenn ja, wie?

S04-Fan91

Ok, ich bins nochmal...^^
dachte ja, dass die Datei jetzt weg waere, nachdem Combofix lief, jedoch fand Antivir eben diese Datei wieder... Habe die Datei inzwischen bei Virustotal.com hochgeladen...

Datei FireFoxUpdater.exe empfangen 2008.11.01 00:34:32 (CET)
Ergebnis: 11/36 (30.56%)

Was soll ich damit machen?^^

Ericfischer

Kannst du die Datei nicht einfach löschen?

Sollte es nicht gehen, such mal nach dem Tool "Unlocker"... das schafft die meißten

Dann deinstallierst du FF wie gewohnt und lädst ihn dir direkt von Chip.de oder Mozilla.org runter.

Info: Große Antivirenhersteller tauschen unter sich oftmals die Dateien von Ihren "verhaltensbasierten" Suchen aus. Daher kann es sein, dass die Datei z.B. von Kasperky bei solch einer Suche gefunden wurde und an AntiVir gesendet wurde....

Nachtrag: warum ist das nun so schlimm bei DNS Servern? http://www.at-mix.de/dns_server.htm daraus konnte ich iwie nicht so schlau werden, dass ich mir die Frage beantworten kann...

CLiff

Naja, das ganze nennt sich dann Domain Hack. Wenn irgendwelche gefährlichen Dateien deinen DNS-Server auf den eines Hackers umstellen, so kann dieser kontrollieren, auf welche Seite er dich leitet. Jede Adresse, die du eingibst, wird durch den DNS-Server in eine IP-Adresse umgewandelt. Ist dies nun ein falscher DNS-Server, der dich falsch weiterleitet, kann das zum Beispiel zu Phishing führen. Du gibst zum Beispiel http://www.postbank.de ein, landest aber auf einer gleich aussehenden Seite. Nur das deine Daten nicht bei der Postbank landen, sondern woanders.

Wenn man allerdings ein WhoIs macht, kommt raus, dass es DNS-Server von Versatel sind, also wohl doch nicht so tragisch.

Zitat von HiJackThis

O17
Ein Domain Hack entsteht durch einen Hacker, der Ihren DNS Server auf Ihrem PC zu seinem Server umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den Hackern genehm ist. Durch das hinzufügen von google.com zum DNS Server der Hacker,ermöglicht es den Hackern Ihren Versuch auf http://www.google.com zukommen, auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.

Beispiel Auflistung: O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören, dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können zu ARIN gehen um dort eine "WhoIs" nach DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu ermitteln.

S04-Fan91

Zitat von Ericfischer

Kannst du die Datei nicht einfach löschen?

Ok, mach ich mal

S04-Fan91

Komisch... wollte die Datei eben loeschen, aber die is nich mehr in C:\WINNT ... hab sie da nich geloescht oO Hab auch nochmal antivir C:\WINNT pruefen lassen & nu gibt er mir keine Virenmeldung mehr oO

vbtricks

Also etwas Leseverständnis sollte man schon mitbringen.

Zitat von S04-Fan91

Edit:
... Ob Antivir die Datei nun gefunden oder vermutet hat, weiß ich ncih.. hier mal der Teil des Repots mit C:\WINNT\FireFoxUpdater.exe

Beginne mit der Suche in 'C:\' <FESTPLATTE>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\FireFoxUpdater.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c28bc.qua' verschoben!

Alles anzeigen

Hinweis: Letzte Zeile.

S04-Fan91

Grad lief AntiVir nochmal & jetzt findet er wieder den Trojaner in C:\WINNT\FireFoxUpdater.exe

Hab dann eben nochmal in C:\Winnt geguckt aber die Datei is einfach nich mehr da

Muesste ich die Datei nich auch da finden, wenn er da den Trojaner findet?

Bandit

Nicht unbedingt. Werden dir alle Dateien angezeigt, sprich System- und Hidden-Files?

S04-Fan91

Zitat von bandit600

Nicht unbedingt. Werden dir alle Dateien angezeigt, sprich System- und Hidden-Files?

Oehm, das weiß ich nicht.. Kann ich das iwie prüfen?
(sry, aber ich kenn mich nicht gut mit PCs aus :x)

Bandit

Windows-Explorer starten und dann Extras/Ordneroptionen anklicken. Im erscheinenden Dialogfenster den Reiter "Ansicht" auswählen. Dann nachsehen, ob "Geschütze Systemdateien ausblenden" und ob "Versteckte Dateien und Ordner ausblenden" aktiv ist. Wenn ja, umstellen und dann nochmals die Datei suchen.

S04-Fan91

Da steht nichts von "Geschütze Systemdateien ausblenden" bzw "Versteckte Dateien und Ordner ausblenden" ... Hab mal n screen von dem was ich sehe gemacht ..[Blockierte Grafik: http://img18.myimg.de/OrdnerOption8fcb0.jpg]

S04-Fan91

Ich verstehe es langsam nicht mehr oô... Ich habe Antivir gestern und heute mehrmals das System scannen lassen - Nun findet er wieder nichts mehr oô.. Nicht mal nach einem Neustart ( normal fand er den Trojaner IMMER nach einem Neustart wieder oô) ..[ Habe bereits 5 Neustarts gemacht, um zu gucken, ob er nach dem Neustart den Trojaner wieder findet.,..]
Ist er weg, oder warum schlaegt Antivir keinen Alarm mehr? oO

Edit: Habe die Datei immer noch nicht gefunden, konnte sie daher auch nicht loeschen...

CLiff

klick mich!. Such dir zum Beispiel da mal ein anderen Scanner aus.

S04-Fan91

Na toll -.-

Jetzt habsch mir n anderen scanner runtergeladen und seit dem kannsch mich nich mehr ins inet einwaehlen

Tags