|
Log-Analyse und Auswertung: Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.12.2008, 17:50 | #1 |
| Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker" Hallo, Zufällig habe ich Escan laufen lassen. Das Programm hat einige Meldungen. Kann es sich bei den unten aufgeführten Angaben vielleicht um Fehlalarme handeln? Mir kamen besonders der Eintrag mit ICQ und taskmgr.exe eigenartig vor. Ich möchte gerne wissen ob es sich bei diesen Escan Meldungen um echte Trojaner nwz. Viren handelt. Weiterhin habe ich danach Spybot laufen lassen - hat nichts gefunden. Mein PC zeigt selbst keine Symptome - es läuft alles normal. Hier der Auszug aus dem Logfile von Escan: Code:
ATTFilter Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "MalwareScanner Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "SmitFraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "PersonalAntispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:23 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 15 Dez 2008 17:06:27 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:27 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 15 Dez 2008 17:06:27 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:27 - Offending file found: C:\WINDOWS\system32\MD5.dll 15 Dez 2008 17:06:27 - System found infected with MalwareScanner Corrupted Adware/Spyware (MD5.dll)! Action taken: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:28 - Offending Folder found: C:\Dokumente und Einstellungen\Name\Anwendungsdaten\ICQ\BART\1024 15 Dez 2008 17:06:28 - Objekt "SmitFraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\AntiSpyware 15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\AntiSpyware)! Action taken: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe 15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe)! Action taken: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck 15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck)! Action taken: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters/AutoShareWks 15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters/AutoShareWks)! Action taken: Keine Maßnahme ergriffen. 15 Dez 2008 17:06:33 - Offending Registry Entry found: HKCU\Software\Mirabilis 15 Dez 2008 17:06:33 - System found infected with PersonalAntispy Corrupted Adware/Spyware (HKCU\Software\Mirabilis)! Action taken: Keine Maßnahme ergriffen. Meine HijackThis logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:18:03, on 15.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe P:\Programme\Zone Labs\ZoneAlarm\zlclient.exe P:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\Name\LOKALE~1\Temp\mexe.com C:\WINDOWS\system32\notepad.exe P:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "p:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SBCSTray] P:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk.disabled O8 - Extra context menu item: E&xport to Microsoft Excel - res://P:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - p:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - P:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6512 bytes Vielen Dank für die Hilfe Gerd |
15.12.2008, 19:33 | #2 |
| Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker" ein scan mit Malwarebytes Anti-M hat auch ein paar Treffer ergeben. Wahrscheinlich sind dies doch keine Fehlalarme...
__________________Wie kann ich sicher sein, dass mein System nun wieder sauber wird? Code:
ATTFilter Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1501 Windows 5.1.2600 Service Pack 2 15.12.2008 19:21:31 mbam-log-2008-12-15 (19-21-25).txt Scan-Methode: Vollständiger Scan (C:\|D:\) Durchsuchte Objekte: 154124 Laufzeit: 1 hour(s), 25 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken. C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken. |
16.12.2008, 10:08 | #3 |
/// Helfer-Team | Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker" Hi,
__________________Erst jubelt dir Es can diverse Fehlalarme unter damit Du die Vollversion kaufst, Scareware wird solche Software jetzt genannt, auch eine Kategorie Malware. Zusätzlich baut er in das System noch Sachen ein, die dann auch andere Scanner finden sollen, wie z.B. MBAM. Das nette dabei ist, dass das keine Dateien, sondern Verzeichnisse sind, schau mal nach. Solange die Ersteller von MBAM den Unterschied noch nicht kennen, liegt der Verdacht nahe, dass sie auch nur aufgrund von bestimmten Namen was melden: Genau derselbe Blödsinn, den bereits Es can tut. Tritt einfach diese Scanner in die Tonne. Man kann auch ein System mit Scannern plätten Gruß, Karl |
Themen zu Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker" |
adobe, antivir, avg, avira, bho, browser, dateisystem, eigenartig, einstellungen, excel, firefox, fraud, handel, hijackthis, hijackthis logfile, internet, internet explorer, logfile, maßnahme, monitor, mozilla, programm, registry, server, smitfraud, software, taskmgr.exe, trojaner, viren, windows, windows xp |