Hallo,

ich wollte mal wissen, ob es sein könnte, dass ich mir irgendwas eingefangen habe.

Ich habe meinen PC vor zwei Monaten neu aufgesetzt, nachdem ich mir eine schöne große 2TB-Platte gegönnt habe.

->Es ist ein Core2Duo-System mit Windows XP Professional, was updatetechnisch immer auf dem neuesten Stand gehalten wird.

Es läuft auch alles sehr schön und flott. Eigentlich gibt es auch keine verdächtigen Aktivitäten, wie überhöhten Netzwerktraffic...

Das einzige was mir verdächtig vorkommt:

Nachdem man ein paar Minuten mit einem frisch gestarteten System gearbeitet hat, meldet sich die "PC Tools Firewall Plus" mit der Meldung:

(Meldung von heute)

Zitat:

Anwendung für Dienste und Controller

Anwendung für Dienste und Controller versucht, Kernelzugriff zu erhalten.

Ereignistyp: Treiber laden (MpKsl93f6e44d)

Möchten Sie dieser Anwendung erlauben, diesen Befehl auszuführen?

[JA] [NEIN]

Der Treibername ändert sich aber jedes mal, er fängt zwar immer mit M an, aber ab pKsl... wird es zufällig. Dadurch wird es auch schwierig, nach diesem Problem zu googlen....

Das Komische ist auch, das die PC Tools Firewall den einzigen Hinweis darauf liefert, dass an meinem System was faul sein könnte.

MS Security Essentials: findet nichts
Malwarebytes Anti-Malware : findet nichts
ESET AV Online Scanner: findet nichts
Bitdefender Linux Recovery Boot-CD-Scanner: findet nichts

Systemverhalten: Ansonsten normal
Netzwerktraffic: eigentlich auch...

Es ist nur diese komische Meldung des Firewall-Programms!
Entweder ist das ein Bug der Firewall oder ein besonders raffinierter Trojaner??

Wobei ich mir natürlich gerade in der Anfangszeit Mühe gegeben habe, mit aktuellen Browsern auf ordentlichen Webseiten unterwegs zu sein...

Hab jetzt nochmal einen ESET-Durchlauf gestartet und tatsächlich was gefunden.

Zitat:

Zitat von ESET

C:\MBACKUP\Users\ka\Downloads\CrystalDiskInfo4_0_1-en.exe Win32/OpenCandy application deleted - quarantined
C:\MWin7\Additional\CDBurnerXP\cdbxp_setup_4.3.8.2568.exe Win32/OpenCandy application deleted - quarantined
C:\Dokumente und Einstellungen\TX\Eigene Dateien\#BIN\Install-Dateien (Win)\ProgrammeI\#System+Utilities\CDBurnerXP\cdbxp_setup_4.3.8.2568.exe Win32/OpenCandy application deleted - quarantined
C:\Dokumente und Einstellungen\TX\Eigene Dateien\#BIN\Install-Dateien (Win)\ProgrammeI\#System+Utilities\CrystalDiskInfo\CrystalDiskInfo4_0_2a-en.exe Win32/OpenCandy application deleted - quarantined
C:\Dokumente und Einstellungen\TX\Eigene Dateien\#BIN\Install-Dateien (Win)\ProgrammeI\#System+Utilities\CrystalDiskMark\CrystalDiskMark3_0_1b-en.exe Win32/OpenCandy application deleted - quarantined
C:\emulator\jnes\Jnes.exe a variant of Win32/Kryptik.AHD trojan cleaned by deleting - quarantined

Hm, kann es Open Candy sein?
Jnes habe ich definitiv auf dem neuen System noch nicht benutzt...

Allerdings soll Open Candy angeblich eher einfacher sein und keinen Treiber laden, nachdem was man so liest.

EDIT:
hxxp://www.opencandy.com/learn-more-about-opencandy-and-false-adware-detections/

Hm, da hätte ich den CDBurner XP jetzt wohl doch nicht unbedingt aus meiner Programmbibliothek löschen müssen...

Hallo und

hast du schon mal Google mit deinem Problem belastet?

Bitte mal lesen
Thread Nicht PNP Treiber: MpKsl9458bd65 Fehlercode24? | Microsoft Answers Foren | BoardReader

MFG

Vielen Dank!

Das Problem ist, wie erwähnt, dass sich der hintere Teil des Treibernamen jedes mal ändert und offenbar zufällig generiert wird! Dadurch ist es schwierig, in Google danach zu suchen...

Deswegen hab ich mich auch hier an das Forum gewandt, in der Hoffnung jemanden zu finden, der sich mit dem Phänomen auskennt; vielen Dank, nochdigger!

D.h. im Sinne eines Malwareschutzes sollte man dann wohl dem Laden des Treibers zustimmen?? (hab in letzter Zeit immer abgelehnt)

EDIT:

Zitat:

Zitat von Malwarebytes Antimalware

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7907

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.10.2011 18:29:14
mbam-log-2011-10-09 (18-29-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 315710
Laufzeit: 3 Stunde(n), 14 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Tx\eigene dateien\#BIN\(hardware treiber alt)\dvd\nero55917.exe (Trojan.Perflog) -> Quarantined and deleted successfully.

Hm, ein uraltes Nero von 2005, das hab ich seitdem garantiert auch nicht mehr angerührt...

Wenn dich OpenCandy stört, von CDBurnerXP gibt es auch eine Version ohne OpenCandy.

Hallo

Uups da hab ich deinen zweiten Post übersehen...

Zitat:

D.h. im Sinne eines Malwareschutzes sollte man dann wohl dem Laden des Treibers zustimmen?? (hab in letzter Zeit immer abgelehnt)

dann hast du dem Laden schon einmal zugestimmt?

Es sieht für mich so aus, als solltest du vorsichtiger sein mit dem was du dir da so ins Haus holst
Die Neroversion sollte mal hier
VirusTotal - Free Online Virus, Malware and URL Scanner überprüft werden (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.


Überprüfe dein System nochmal mit SUPERAntiSpyware und poste das Ergebnis hierher.
Downloade Dir bitte SUPERAntiSpyware FREE Edition

• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

MFG

Zitat:

Zitat von nochdigger

Hallo

Uups da hab ich deinen zweiten Post übersehen...


dann hast du dem Laden schon einmal zugestimmt?

Ich kann es zumindest nicht ausschließen... Naja, war ja glücklicherweise offenbar harmlos. Das System war halt neu aufgesetzt, mit neuem Browser etc.. Und das mit der Treiber-meldung ging schon relativ früh los. Virenscanner fanden nichts.... So hab ich dann einfach geschlossen, dass es vermutlich nichts gefährliches sein kann, woher sollte das auch kommen? Aber irgendwann hat es mich dann doch beunruhigt und ich wollte wissen was das ist.

Zitat:

Die Neroversion sollte mal hier
VirusTotal - Free Online Virus, Malware and URL Scanner überprüft werden (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Dafür ist es jetzt leider zu spät. Es war ein nicht benutztes (momentan reicht mir immer CD Burner XP) Installationsarchiv aus dem Softwarevorrat des Vorgänger-PCs. In dem Verzeichnis gab es sogar noch DOS-CD-Treiber... Ich habe den Ordner halt immer mitkopiert, aber eigentlich nicht mehr angerührt, weil er total veraltet ist...

-->Deswegen hab ich gestern nach dem Durchlauf von MWB die infizierte Nero-Datei kurzerhand gelöscht!

Ich kann ja demnächst nochmal einen Scan starten...