Willkommen auf Planet-Liebe

diskutiere über Liebe, Sex und Leidenschaft und werde Teil einer spannenden Community! :)

jetzt registrieren
  • User 12616
    User 12616 (29)
    Sehr bekannt hier
    5.457
    198
    140
    nicht angegeben
    11 November 2008
    #1

    HEUR/Malware

    Seit drei Tagen wird das mehrmals täglich von Antivir gefunden.

    Was ist das, und kann man mir sagen, wie ich es wieder los werde? :ratlos:

    Danke.
     
  • Nicht die richtige Frage? Hier gibt es ähnliche Themen:
    1. Firefox bzw. Google - Malware Warnung
  • lillakuh
    lillakuh (34)
    Verbringt hier viel Zeit
    1.555
    121
    0
    Single
    11 November 2008
    #2
    mit spybot serch & destroy...?
     
  • it's true
    Verbringt hier viel Zeit
    100
    103
    1
    nicht angegeben
    11 November 2008
    #3
    Wie heißt denn die Datei bei der der Fund gemeldet wird?

    HEUR ist ein Hinweis auf Heuristik, was bedeutet dass keine Übereinstimmung mit einer eindeutigen Signatur gefunden wurde, sondern der Virenscanner nur aufgrund heuristischer Methoden der Meinung ist eine Malware entdeckt zu haben.

    Könnte also auch ein Fehlalarm sein!
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    11 November 2008
    #4
    C:\WINDOWS\system32\rasdlg32.dll

    Sorry, ich bin da nicht so sehr bewandert :schuechte
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    11 November 2008
    #5

    Was zeigtn der an wenn du rechtsklick->eigenschaften machst?
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    11 November 2008
    #6
    Ich habe Spybot mal durchlaufen lassen.

    Seitdem kam nun keine Meldung mehr. Abwarten, vielleicht ist es ja schon weg. Sollte nochmal etwas kommen, poste ich.

    Danke soweit :smile:
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #7
    Hilfe!
    Jetzt kommt folgendes:

    C:\WINDOWS\system32\rasdlg32.dll

    Ist das Trojanische Pferd TR/Hijack.AG.1


    :ratlos: Ich habe seit Ewigkeiten Nichts runterladen können, da ich momentan nur kostenpflichtiges UMTS habe, also, keine Ahnung, woher das kommt.

    Was jetzt? Nochmal Spybot?
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #8
    Zuletzt von einem Moderator bearbeitet: 31 August 2017
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #9
    Danke... Hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:24:45, on 12.11.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
    C:\WINDOWS\system32\agrsmsvc.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    E:\PhoneConnectorVMC.exe
    E:\vmc.exe
    C:\Programme\QIP\qip.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Programme\foobar2000\foobar2000.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [HP Software Update] c:\Programme\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S122.tmp" /EF "HKCU"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222677983609
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{359283D8-8868-48E1-89FC-3EE3592071E3}: NameServer = 139.7.30.125 139.7.30.126
    O17 - HKLM\System\CS1\Services\Tcpip\..\{359283D8-8868-48E1-89FC-3EE3592071E3}: NameServer = 139.7.30.125 139.7.30.126
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

    --
    End of file - 6484 bytes





    Hab Avira und Spybot drüber laufen lassen, offenbar ohne Erfolg. Scheinbar wurde der Trojaner unter verschiedenen Namen und Orten gespeichert...
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #10
    Schau mal ob du zufällig direkt auf C:\ die datei "ARK1.tmp" (muss nicht unbedingt ne 1 am ende sein, kann auch ne 2, 3, 4 whatever sein) hast.

    Edit: Das logfile ist unauffällig, das system scheint soweit in ordnung zu sein.
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #11
    Ja:

    ARK27.tmp

    Einfach löschen? Damit wird vermutlich das Problem nicht einfach behoben sein, oder?
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #12
    Nee, wenn du das löscht dann erstellt sich die ARK28.tmp und so weiter ;D

    Lad die datei mal hoch bei http://www.virustotal.com/
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #13
    Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.11.13.02008.11.12-AntiVir7.9.0.312008.11.12TR/Hijack.AEAuthentium5.1.0.42008.11.12-Avast4.8.1248.02008.11.12Win32:Trojan-gen {Other}AVG8.0.0.1992008.11.12-BitDefender7.22008.11.12-CAT-QuickHeal9.502008.11.12-ClamAV0.94.12008.11.12-DrWeb4.44.0.091702008.11.12-eSafe7.0.17.02008.11.12-eTrust-Vet31.6.62042008.11.11-Ewido4.02008.11.12-F-Prot4.4.4.562008.11.12-F-Secure8.0.14332.02008.11.12-Fortinet3.117.0.02008.11.12-GData192008.11.12Win32:Trojan-gen {Other}IkarusT3.1.1.45.02008.11.12Trojan-Dropper.AgentK7AntiVirus7.10.5232008.11.12-Kaspersky7.0.0.1252008.11.12-McAfee54312008.11.12-Microsoft1.41042008.11.12-NOD3236072008.11.12-Norman5.80.022008.11.12-Panda9.0.0.42008.11.12-PCTools4.4.2.02008.11.12-Prevx1V22008.11.12Cloaked MalwareRising21.03.22.002008.11.12-SecureWeb-Gateway6.7.62008.11.12Trojan.Hijack.AG.1Sophos4.35.02008.11.12-Sunbelt3.1.1785.22008.11.11-Symantec102008.11.12-TheHacker6.3.1.1.1492008.11.12-TrendMicro8.700.0.10042008.11.12-VBA323.12.8.92008.11.11-ViRobot2008.11.12.14632008.11.12-VirusBuster4.5.11.02008.11.12- weitere Informationen File size: 19456 bytesMD5...: b71bad15ed29340e40a99fef8f29a5c8SHA1..: 9b8c66ac5c3aa35b610f3b152abcfa4c0855c9f8SHA256: 655140a99646a518233cf805f70a8ade52012ede67eb553eb857b02004644522SHA512: c927329ac658cd8d4ba952609f446c9687fac643c31c7b6126ce11bd811983a0
    678aadfeb7fdea8d9a50f316a28cb2a2ff52c032d84dcc1e755a31bc6cbeb5e9PEiD..: Armadillo v1.xx - v2.xxTrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x36004171
    timedatestamp.....: 0xb87cc61bL (invalid)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x3ca2 0x3e00 6.34 a0e31b98456f4457f55b30e59af33f8f
    .data 0x5000 0x140 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d
    .rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca
    .reloc 0x7000 0x268 0x400 3.57 b92e0ec845a4707d5da5e959dbd2ca97

    ( 5 imports )
    > ADVAPI32.dll: GetUserNameA
    > USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA
    > KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime
    > WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState
    > MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy

    ( 31 exports )
    TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall


    http://www.virustotal.com/de/analisis/54c9abc3009a97a71c261bf836989591
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #14
    Sooo...

    Jetz hat das teil wenigstens nen Namen :grin:

    Ich hab das teil bei nem kumpel früher mal entfernt, und zwar mit diesem programm:

    http://www.pctools.com/spyware-doctor/

    Das haut wirklich selbst die gröbsten teile eigentlich runter.

    Edit: Nimm das hier http://pack.google.com/intl/en/pack...ols_learn_more&utm_medium=com&utm_campaign=en

    und mach bei allem ausser "Spyware Doctor" den haken raus.


    Edit numero due: Nachdem du das hast durchlaufen lassen, nochmal hier mit nachscannen.

    http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

    Is ein wirklich heftiges teil anscheinend, das du dir da eingefangen hast:grin:
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #15
    Das Teil hat nun zwei Bedrohungen gefunden:
    Adware Advertising
    und
    Application.Tracking Cookies

    Soll ich das beides reparieren lassen oder ist es das sowieso nicht?
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #16
    Das 1. teil (spyware doctor) oder das 2. teil (MAMW)?
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    12 November 2008
    #17
    Spyware Doctor..
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    12 November 2008
    #18
    lol shit.

    Dann lass mal das 2. laufen :grin: :grin: :grin:
     
  • User 12616
    User 12616 (29)
    Sehr bekannt hier Themenstarter
    5.457
    198
    140
    nicht angegeben
    13 November 2008
    #19
    Mh.. der hat nun nix gefunden :ratlos:

    In C:\ ist die Datei aber definitiv noch vorhanden und Antivir meldet auch weiterhin :geknickt:
     
  • ParaKnowYa
    Verbringt hier viel Zeit
    106
    101
    0
    Single
    13 November 2008
    #20
    Was ich jetzt machen würde wäre, mir irgendein DOS oder sowas auf ne diskette zu machen, dann im dos in den ordner C:\ navigieren, alle attribute entfernen von der *.tmp datei und die dann löschen, und dann neustarten. Aber das is dir wahrscheinlich zu kompliziert oO

    Ich überleg mir mal was, sorry dass ich dir bis jetz nich helfen konnte :frown:
     

  • jetzt kostenlos registrieren und hier antworten
    die Fummelkiste