Hallo zusammen,

mein Vater surfte heute auf meinem Rechner und als ich nach Hause kam war eine Meldung von Antivir auf dem Rechner. Er sagte mir das er auf einen Link geklickt hat, wusste aber die Seite nicht mehr (ich habe leider voreilig den CCleaner laufen lassen, um eventuell temporär gespeicherte Maleware zu löschen). Außerdem sagte er die Meldung wäre bei ihm nicht aufgeblendet. Das ist wirklich möglich, da ich um 16.30 Uhr zuhause war (er war nicht mehr am Rechner) und die Antivirmeldung ist 16.37 Uhr erschienen. So eine Verzögerung habe ich noch nicht erlebt.

Was mich aber eigentlich alarmiert ist, dass ich keine brauchbaren hits mit Google für die Maleware: A0041093.exe gefunden habe und das sie im System Volume Information Ordner war (restore ).

Ich habe nach der bebilderten Anleitung aus diesem Forum ein HijackThis file erstellt. Da ich nichts auffälliges finde möchte ich Euch als Experten darum bitten es Euch mal anzusehen. Ein Tip ob die Maleware die ich hatte sehr schädlich ist, wäre auch sehr hilfreich.



Mein Antivir teilte mir mit:

In der Datei 'E:\System Volume Information\_restore{2ED381EC-B17D-41A1-8E78-4521B5884601}\RP449\A0041093.exe'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted' [heuristic] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben



Daraufhin stoppte ich den traffic über die Firewall und machte einen Systemscan der zusätzlich noch das hervorbrachte:

Die Datei 'D:\System Volume Information\_restore{2ED381EC-B17D-41A1-8E78-4521B5884601}\RP451\A0041281.exe'
enthielt einen Virus oder unerwünschtes Programm 'HEUR/Crypted' [heuristic].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.



Hier mein Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:27, on 14.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600) (Ergänzung: XP Professional)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ccleaner] "D:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218286043531
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) - Unknown owner - C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe (file missing)

--
End of file - 3936 bytes




Vielen Dank im Voraus für Eure Mühe,

Peter

Hi,

Du musst Dein HJ-Log den Gepflogenheiten hier anpassen, d.h. Links anonymisieren (http:\\ ->h**p:\ und persönliche Pfade Mustermann\Eigene Dateien -> xxx\Eigene Dateien);

Das HJ-Log gibt nichts her, die von dir genannten Dateien liegen in der Systemwiederherstellung und sind daher wahrscheinlich schon länger dort.

Wenn die Heuristik anschlägt kann das ein false/positiv sein (eine korrekte Datei die fälschlicherweise als Vrius/Trojaner erkannt wurde).
Daher aus der Quarantäne heraus die Datei online prüfen lasse oder an Avira schicken.

Alternativ lasse mal MAM bzw. Prevx zusätzlich scannen:
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Prevx:
http://www.prevx.com/freescan.asp

Und ggf. den Rootkitscanner von Avira:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip


Poste bei Funden das Log...

chris

Vielen Dank für Deine Hilfe Chris!!!


Avira-Antirootkit:
Scan task finished. No hidden objects detected!


Prevx hat nichts gefunden.


MAM hat nichts gefunden.


Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1052
Windows 5.1.2600 Service Pack 3

20:43:22 14.08.2008
mbam-log-8-14-2008 (20-43-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 108726
Laufzeit: 1 hour(s), 13 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)






Wenn sonst Jemand irgendetwas etwas entdeckt oder weiß was die A0041093.exe ist was postet es doch bitte!

Hi,

das kann nur durch einen Onlinescann herausgefunden werden. Windows verwaltet in der Wiederherstellung Files unter eigenem Namen, d. h. A2345.exe heisst im System32-Folder xyz.exe... Das wird Dir daher keiner sagen können (oder es hat einer ein Tool zum Rückführen der Namen)...

chris

Hi Chris,

da hast Du recht!!!

Hast Du Erfahrung mit vertrauenswürdigen Seiten, bei denen ich einen onlinescan machen lassen kann?

Beim Googlen gibt es zu viele hits ich bin nicht sicher wer vertrauenswürdig ist.


Vielen Dank für Deine Hilfe,

Peter