Code: Alles auswählenAufklappen

ATTFilter

gefunden: Virus Heur.Invader (Modifikation)	URL: http://download.bleepingcomputer.com.../catchme.cfexe
         

Der Eintrag sieht für mich etwas unsauber aus.

Was mir mehr sorgen macht , das vielleicht sich ein Virus sich in der CTFMON.Exe eingeschlichen hat. Es könnte eine Kopie sein , aber vielleicht ist die Windows-Anwendung verseucht...

[QUOTE=myrtille;326538]Hast du in letzter Zeit Combofix ausgeführt? Wenn ja wieso? Und kann ich das Log sehen?QUOTE]

Ähm, was ist den Combofix?? Und wie kann ich die ergebnisse von Blacklight Kopieren?


mfg cartman123

Zitat:

Zitat von Usagi

Es könnte eine Kopie sein , aber vielleicht ist die Windows-Anwendung verseucht...

Und was gibt es dagegen zu machen ausser neu Aufsetzen? Also wenn wir vom schlimmsten ausgehen. Reicht es aus wenn ich die Festplatte Formatiere und Windows Neu Installiere?? Wenn ja kann ich beruhigt mit CD Daten sichern wie zb. Bider, Musik, etc.? Oder muss ich angst haben das was Infiziertes von der Festplatte auf die CD wandert??

Zitat:

Zitat von Lucky

Code: Alles auswählenAufklappen

ATTFilter

gefunden: Virus Heur.Invader (Modifikation)	URL: http://download.bleepingcomputer.com.../catchme.cfexe
         

Der Eintrag sieht für mich etwas unsauber aus.

Wie meinst du das? Ich habe auch nur den Download starten wollen weil es im diesen Forum gesagt wurde das es ein Anti-Trojaner Tool sei. Aber zum glück hat Kaspersky angeschlagen.


Kann es möglich sein (ich hoffe ich blamiere mich nicht), das der Trojaner Kasperskys selbstschutz irgendwie geknackt hat und mir nun sagt das Tools die ihn gefährlich sein könnten, schädlich für mich sind????

Zitat:

Zitat von myrtille

und noch ein Log von der filelist, oder wurde unter C:\ im letzten Monat nichts erstellt?

Welches Log von der filelist hättest du den gerne?


mfg cartman123

Hhmm... Noch eine Frage: Warum sagt Kaspersky potenziell gefährdete Software? Das ist doch offensichtlich ein Trojaner. Oder?


gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SymLCSVC.EXE

Ratsam wäre, du entschärfst die Scaneinstellungen/ resp. den "proaktiven Schutz" von Kaspersky + schaust ins Handbuch zu Kaspersky, was "potentiell"/"Invader" heißt bzw. nutzt ein AVP, dessen Meldungen du verstehst. So bringt das null.

Alles was Kaspersky angemeckert hat, sind Prozesse, die ein mit Malware vglb. Verhalten an den Tag legen, d.h. aber nicht, dass es sich um malware handelt. Bei den "Funden" im Kaspersky-log handelt es sich um bekannte Prozesse, allesamt ungefährlich. Grüße

Zitat:

Zitat von ordell1234

Alles was Kaspersky angemeckert hat, sind Prozesse, die ein mit Malware vglb. Verhalten an den Tag legen, d.h. aber nicht, dass es sich um malware handelt. Bei den "Funden" im Kaspersky-log handelt es sich um bekannte Prozesse, allesamt ungefährlich.

Auch wenn ich nicht viel von Computern verstehe weiß ich aber eines. In der Datei ctfmon.exe liegt ein Trojaner den Kapersky als erledigt abgestempelt hat. Denn bei Virustotal kommt folgendes raus:




Datei ctfmon.exe empfangen 2008.03.07 18:21:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 13.
Geschätzte Startzeit is zwischen 80 und 115 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.07 -
AntiVir 7.6.0.73 2008.03.07 -
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.07 -
AVG 7.5.0.516 2008.03.07 -
BitDefender 7.2 2008.03.07 -
CAT-QuickHeal 9.50 2008.03.07 -
ClamAV 0.92.1 2008.03.07 -
DrWeb 4.44.0.09170 2008.03.07 -
eSafe 7.0.15.0 2008.03.06 Win32.Agent.dgo
eTrust-Vet 31.3.5595 2008.03.07 -
Ewido 4.0 2008.03.07 -
FileAdvisor 1 2008.03.07 -
Fortinet 3.14.0.0 2008.03.07 -
F-Prot 4.4.2.54 2008.03.07 -
F-Secure 6.70.13260.0 2008.03.07 -
Ikarus T3.1.1.20 2008.03.07 -
Kaspersky 7.0.0.125 2008.03.07 -
McAfee 5247 2008.03.07 -
Microsoft 1.3301 2008.03.07 -
NOD32v2 2930 2008.03.07 -
Norman 5.80.02 2008.03.07 -
Panda 9.0.0.4 2008.03.06 -
Prevx1 V2 2008.03.07 -
Rising 20.34.42.00 2008.03.07 -
Sophos 4.27.0 2008.03.07 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.07 -
TheHacker 6.2.92.236 2008.03.07 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.07 -
Webwasher-Gateway 6.6.2 2008.03.07 -
weitere Informationen
File size: 15360 bytes
MD5: 7ce20569925df6789c31799f0c538f29
SHA1: fdf70fcac4bb0c39bc0e2c8faaf81d4742f1fdde
PEiD: -

Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen.
Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet?

Bei den weiteren Funden reagiert Kapersky über, das sind zwar berechtigte Meldungen, aber es handelt sich dabei um Vorgänge, die auch von normalen Programmen in Anspruch genommen werden.
(Etwa sendet HelpCtr.exe Informationen ans Internet, wenn du um Hilfe fragst, weil es dir weitere Artikel aus der Microsoftdatabase anbieten können will. Also: Eine Microsoftdatei kontaktiert auf deinen Wunsch hin Microsoft um dir bei Microsoft Informationen rauszusuchen. Es öffnet sich dabei nur kein Fenster in dem groß "Ich geh ins Internet steht". Das macht es nicht zu einem Trojaner.)

Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast.
Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen?

Mir fehlt das Log von "C:\", also direkt von deiner Partition, das steht auch im ursprünglichen filelist.txt drin, du hast es wahrscheinlich beim "aussortieren" der alten Einträge einfach übersehen.

bad_kitty.exe ist wahrscheinlich auch nicht infiziert, die Meldung bezieht sich nur darauf wie die Datei gepackt war...

lg myrtille

Zitat:

Zitat von myrtille

Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet?

Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast.

Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen?

1. Kaspersky hat nichts gemeldet. Aber weil mein PC ziemlich langsamer geworden ist (troz besserer CPU) hab ich jedes Programm im meinem Log-File (so 10 stück) einzeln bei Virustotal überprüft.


2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky

06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation).


3. Ich war auf der Seite weil ich ein Remove Tool für den Trojaner der in cftmon.exe sitzt downloaden wollte. Nein ich lasse mir von keinem anderen im Board helfen.

Und hier ist noch ein auszug aus Kaspersky wegen dem Selbsschutz und so.

03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2028 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:26:35 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:26:36 Der Versuch von Prozess mit PID 2356 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:29:58 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:32:45 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:46:19 Datei C:\PROGRA~1\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
04.03.2008 00:13:11 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
04.03.2008 16:58:43 Schutz des Computers ist aktiv.
04.03.2008 16:59:42 Das Update wurde erfolgreich abgeschlossen
04.03.2008 17:00:21 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
04.03.2008 19:19:36 Das Update wurde erfolgreich abgeschlossen
04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1612 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 20:50:24 Der Versuch von Prozess mit PID 1512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 20:50:32 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
05.03.2008 17:52:11 Schutz des Computers ist aktiv.
05.03.2008 17:52:43 Der Versuch von Prozess mit PID 1396 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
05.03.2008 17:52:45 Der Versuch von Prozess mit PID 3196 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
05.03.2008 17:52:45 Der Versuch von Prozess mit PID 968 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.


Hoffe du kannst damit erstmal was anfangen. Ich nicht

Hi,
ich hab jetzt mal meine Datei hochgeladen:
ctfmon.exe

Die Datei wird ebenfalls von eSafe (und nur von eSafe! Sollte es sich wirklich um den Agent handeln, würde er auch von vielen anderen Programmen erkannt werden) als bösartig erkannt, ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.)
Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert.

lg myrtille

Zitat:

Zitat von myrtille

Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert.

lg myrtille

Danke myrtille das du mich zumindest von diesem Verdacht befreit hast.

Zitat:

Zitat von myrtille

ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.

Was hat das zu bedeuten???

Zitat:

Zitat von cartman123

2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky

Zitat:

06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation).

Deswegen hatte ich nach Combofix gefragt!
Auch hier gilt wieder: Nicht alles was als böse angezeigt wird ist auch böse! Programme die gegen Trojaner vorgehen wollen, müssen ähnlich rabiate Methoden verwenden wie die Trojaner selbst und werden deshalb oft fälschlich als bösartig erkannt.


Mit den restlichen meldungen kann ich auch nicht viel anfangen, da ich nicht genau weiß welches Programm da auf Kaspersky zugreifen will.
Das dürfte allerdings auch ncihts dramatisches gewesen sein. zB das Indizierungsprogramm von Windows, damit die Windowssuche funktioniert oder eines der Programme, die wir dich zur Kontrolle haben ausführen lassen.

lg myrtille

Mit MD5/SHA1 kann man jeder Datei eine eindeutige Zahlenfolge zuweisen. Sind die Zahlen nicht komplett identisch, dann sind auch die Dateien nicht identisch: Das ist hier der Fall, weil ich XP pro in englisch hab und du nicht. Es handelt sich in beiden Fällen aber um Zahlenfolgen, die einer legitimen Version der ctfmon.exe zugeordnet werden können.
Ich wollte damit illustrieren (weil ich weiß, dass mein Rechner sauber ist), dass eSafe sich irrt, wenn es bei der ctfmon.exe als einziger einen Trojaner entdeckt.