Willkommen auf Planet-Liebe

diskutiere über Liebe, Sex und Leidenschaft und werde Teil einer spannenden Community! :)

jetzt registrieren

HEUR/Malware

Dieses Thema im Forum "Musik, Filme, Computer und andere Medien" wurde erstellt von User 12616, 11 November 2008.

  1. User 12616
    User 12616 (27)
    Sehr bekannt hier
    5.444
    198
    140
    nicht angegeben
    Seit drei Tagen wird das mehrmals täglich von Antivir gefunden.

    Was ist das, und kann man mir sagen, wie ich es wieder los werde? :ratlos:

    Danke.
     
    #1
    User 12616, 11 November 2008
  2. lillakuh
    lillakuh (32)
    Verbringt hier viel Zeit
    1.551
    121
    0
    Single
    mit spybot serch & destroy...?
     
    #2
    lillakuh, 11 November 2008
  3. it's true
    Verbringt hier viel Zeit
    100
    103
    1
    nicht angegeben
    Wie heißt denn die Datei bei der der Fund gemeldet wird?

    HEUR ist ein Hinweis auf Heuristik, was bedeutet dass keine Übereinstimmung mit einer eindeutigen Signatur gefunden wurde, sondern der Virenscanner nur aufgrund heuristischer Methoden der Meinung ist eine Malware entdeckt zu haben.

    Könnte also auch ein Fehlalarm sein!
     
    #3
    it's true, 11 November 2008
  4. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    C:\WINDOWS\system32\rasdlg32.dll

    Sorry, ich bin da nicht so sehr bewandert :schuechte
     
    #4
    User 12616, 11 November 2008
  5. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single

    Was zeigtn der an wenn du rechtsklick->eigenschaften machst?
     
    #5
    ParaKnowYa, 11 November 2008
  6. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Ich habe Spybot mal durchlaufen lassen.

    Seitdem kam nun keine Meldung mehr. Abwarten, vielleicht ist es ja schon weg. Sollte nochmal etwas kommen, poste ich.

    Danke soweit :smile:
     
    #6
    User 12616, 11 November 2008
  7. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Hilfe!
    Jetzt kommt folgendes:

    C:\WINDOWS\system32\rasdlg32.dll

    Ist das Trojanische Pferd TR/Hijack.AG.1


    :ratlos: Ich habe seit Ewigkeiten Nichts runterladen können, da ich momentan nur kostenpflichtiges UMTS habe, also, keine Ahnung, woher das kommt.

    Was jetzt? Nochmal Spybot?
     
    #7
    User 12616, 12 November 2008
  8. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    #8
    ParaKnowYa, 12 November 2008
  9. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Danke... Hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:24:45, on 12.11.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
    C:\WINDOWS\system32\agrsmsvc.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    E:\PhoneConnectorVMC.exe
    E:\vmc.exe
    C:\Programme\QIP\qip.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Programme\foobar2000\foobar2000.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [HP Software Update] c:\Programme\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S122.tmp" /EF "HKCU"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222677983609
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{359283D8-8868-48E1-89FC-3EE3592071E3}: NameServer = 139.7.30.125 139.7.30.126
    O17 - HKLM\System\CS1\Services\Tcpip\..\{359283D8-8868-48E1-89FC-3EE3592071E3}: NameServer = 139.7.30.125 139.7.30.126
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

    --
    End of file - 6484 bytes





    Hab Avira und Spybot drüber laufen lassen, offenbar ohne Erfolg. Scheinbar wurde der Trojaner unter verschiedenen Namen und Orten gespeichert...
     
    #9
    User 12616, 12 November 2008
  10. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    Schau mal ob du zufällig direkt auf C:\ die datei "ARK1.tmp" (muss nicht unbedingt ne 1 am ende sein, kann auch ne 2, 3, 4 whatever sein) hast.

    Edit: Das logfile ist unauffällig, das system scheint soweit in ordnung zu sein.
     
    #10
    ParaKnowYa, 12 November 2008
  11. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Ja:

    ARK27.tmp

    Einfach löschen? Damit wird vermutlich das Problem nicht einfach behoben sein, oder?
     
    #11
    User 12616, 12 November 2008
  12. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    Nee, wenn du das löscht dann erstellt sich die ARK28.tmp und so weiter ;D

    Lad die datei mal hoch bei http://www.virustotal.com/
     
    #12
    ParaKnowYa, 12 November 2008
  13. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.11.13.02008.11.12-AntiVir7.9.0.312008.11.12TR/Hijack.AEAuthentium5.1.0.42008.11.12-Avast4.8.1248.02008.11.12Win32:Trojan-gen {Other}AVG8.0.0.1992008.11.12-BitDefender7.22008.11.12-CAT-QuickHeal9.502008.11.12-ClamAV0.94.12008.11.12-DrWeb4.44.0.091702008.11.12-eSafe7.0.17.02008.11.12-eTrust-Vet31.6.62042008.11.11-Ewido4.02008.11.12-F-Prot4.4.4.562008.11.12-F-Secure8.0.14332.02008.11.12-Fortinet3.117.0.02008.11.12-GData192008.11.12Win32:Trojan-gen {Other}IkarusT3.1.1.45.02008.11.12Trojan-Dropper.AgentK7AntiVirus7.10.5232008.11.12-Kaspersky7.0.0.1252008.11.12-McAfee54312008.11.12-Microsoft1.41042008.11.12-NOD3236072008.11.12-Norman5.80.022008.11.12-Panda9.0.0.42008.11.12-PCTools4.4.2.02008.11.12-Prevx1V22008.11.12Cloaked MalwareRising21.03.22.002008.11.12-SecureWeb-Gateway6.7.62008.11.12Trojan.Hijack.AG.1Sophos4.35.02008.11.12-Sunbelt3.1.1785.22008.11.11-Symantec102008.11.12-TheHacker6.3.1.1.1492008.11.12-TrendMicro8.700.0.10042008.11.12-VBA323.12.8.92008.11.11-ViRobot2008.11.12.14632008.11.12-VirusBuster4.5.11.02008.11.12- weitere Informationen File size: 19456 bytesMD5...: b71bad15ed29340e40a99fef8f29a5c8SHA1..: 9b8c66ac5c3aa35b610f3b152abcfa4c0855c9f8SHA256: 655140a99646a518233cf805f70a8ade52012ede67eb553eb857b02004644522SHA512: c927329ac658cd8d4ba952609f446c9687fac643c31c7b6126ce11bd811983a0
    678aadfeb7fdea8d9a50f316a28cb2a2ff52c032d84dcc1e755a31bc6cbeb5e9PEiD..: Armadillo v1.xx - v2.xxTrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x36004171
    timedatestamp.....: 0xb87cc61bL (invalid)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x3ca2 0x3e00 6.34 a0e31b98456f4457f55b30e59af33f8f
    .data 0x5000 0x140 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d
    .rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca
    .reloc 0x7000 0x268 0x400 3.57 b92e0ec845a4707d5da5e959dbd2ca97

    ( 5 imports )
    > ADVAPI32.dll: GetUserNameA
    > USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA
    > KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime
    > WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState
    > MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy

    ( 31 exports )
    TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall


    http://www.virustotal.com/de/analisis/54c9abc3009a97a71c261bf836989591
     
    #13
    User 12616, 12 November 2008
  14. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    Sooo...

    Jetz hat das teil wenigstens nen Namen :grin:

    Ich hab das teil bei nem kumpel früher mal entfernt, und zwar mit diesem programm:

    http://www.pctools.com/spyware-doctor/

    Das haut wirklich selbst die gröbsten teile eigentlich runter.

    Edit: Nimm das hier http://pack.google.com/intl/en/pack...ols_learn_more&utm_medium=com&utm_campaign=en

    und mach bei allem ausser "Spyware Doctor" den haken raus.


    Edit numero due: Nachdem du das hast durchlaufen lassen, nochmal hier mit nachscannen.

    http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

    Is ein wirklich heftiges teil anscheinend, das du dir da eingefangen hast:grin:
     
    #14
    ParaKnowYa, 12 November 2008
  15. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Das Teil hat nun zwei Bedrohungen gefunden:
    Adware Advertising
    und
    Application.Tracking Cookies

    Soll ich das beides reparieren lassen oder ist es das sowieso nicht?
     
    #15
    User 12616, 12 November 2008
  16. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    Das 1. teil (spyware doctor) oder das 2. teil (MAMW)?
     
    #16
    ParaKnowYa, 12 November 2008
  17. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Spyware Doctor..
     
    #17
    User 12616, 12 November 2008
  18. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    lol shit.

    Dann lass mal das 2. laufen :grin: :grin: :grin:
     
    #18
    ParaKnowYa, 12 November 2008
  19. User 12616
    User 12616 (27)
    Sehr bekannt hier Themenstarter
    5.444
    198
    140
    nicht angegeben
    Mh.. der hat nun nix gefunden :ratlos:

    In C:\ ist die Datei aber definitiv noch vorhanden und Antivir meldet auch weiterhin :geknickt:
     
    #19
    User 12616, 13 November 2008
  20. ParaKnowYa
    Verbringt hier viel Zeit
    104
    101
    0
    Single
    Was ich jetzt machen würde wäre, mir irgendein DOS oder sowas auf ne diskette zu machen, dann im dos in den ordner C:\ navigieren, alle attribute entfernen von der *.tmp datei und die dann löschen, und dann neustarten. Aber das is dir wahrscheinlich zu kompliziert oO

    Ich überleg mir mal was, sorry dass ich dir bis jetz nich helfen konnte :frown:
     
    #20
    ParaKnowYa, 13 November 2008

jetzt kostenlos registrieren und hier antworten
Die Seite wird geladen...

Ähnliche Fragen - HEUR Malware
brainforce
Musik, Filme, Computer und andere Medien Forum
1 Februar 2009
26 Antworten