Also Hallo einmal !
habe ein Problem mit emule.exe
Also habe seit ca.2Jahen einen EMule Mod und hatte nie Probleme mit dem,
aber seit ich das update gemacht habe ging's etwa 2Wochen gut
aber gestern will ich starten aber Avast schlägt Alarm lässt sich nicht mehr starten auch wenn ich keine Aktion in Avast durchführe..

- folgendes wurde bisher gemacht Emule deinstalliert bei Software.
- suchen unter Ordner und Dateien "Emule" alles was gefunden wurde, wurde gelöscht.
- CCleaner gemacht
- Malwarebytes gemacht nix
- Dr. Web gemacht nix
- Bitdefender Online nix
- Avast gemacht hier das Warnungs Log

Code: Alles auswählenAufklappen

ATTFilter

14.10.2008 19:06:41	SYSTEM	1548	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\eMule\emule.exe" file.  
14.10.2008 21:25:43	Ich	4044	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP65\A0008609.exe" file.  
14.10.2008 21:27:52	Ich	4044	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP77\A0009301.exe" file.  
15.10.2008 15:47:23	Ich	2996	Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP56\A0007729.exe\$INSTDIR\emule.exe" file.  
15.10.2008 15:53:04	Ich	2996	Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP56\A0007729.exe\C:\Users\Public\Downloads\eMule\Incoming\eMule.0.49b.Razorback3.Next.Generation.v5.1.Mod-Binary.(fast.and.xtreme).rar\emule.exe" file.  
15.10.2008 15:53:15	Ich	2996	Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP64\A0008529.exe\$INSTDIR\emule.exe" file.  
15.10.2008 15:53:21	Ich	2996	Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP64\A0008529.exe\C:\Users\Public\Downloads\eMule\Incoming\eMule.0.49b.Razorback3.Next.Generation.v5.11.Mod-Binary.(fast.and.xtreme).rar\emule.exe" file.
         

-und ein HJT

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:53, on 15.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Desktop\Apollo 13.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219860491578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE

--
End of file - 6472 bytes
         

muss noch erwähnen Partition D: hab ich erst heute ( 15.10.)getestet siehe
Avast log
ist jetzt alles im Container

Mir kommt's wie ein Fehlalarm vor....?
-all die Scanner die nix zeigen
-HJT nix auffälliges alles okay
-und der PC macht auch keine Mukken läuft wie geschmiert nix auffälliges
ist eignartig ?
Was nun ?
was war das?

Hallo,

Das dürfte ein Fehlalarm sein. Kommt immer wieder mal vor bei Virenscannern, das solltest Du im Hinterkopf behalten!

ich hab nicht viel ahnung, aber kann es sein das, weil es emule ist sich irgendwelche öffentliche einrichtung en da ein trojaner haben um emule zu überwachen?

weil ja illigale dl ja nicht dem rechtssystem entsprechen

Zitat:

Zitat von Yashimi

ich hab nicht viel ahnung, aber kann es sein das, weil es emule ist sich irgendwelche öffentliche einrichtung en da ein trojaner haben um emule zu überwachen?

Ich würde es als Fehlalarm einstufe da

- die Datei nur von avast bemängelt
- vor zwei Wochen ein Update eingespielt wurde und erst jetzt eine Warnung kommt

Um die Nutzer von emule zu überwachen ist es wenig sinnvoll das nur mit einer veränderten emule.exe zu machen. Die Leute, die dann die offizielle Versionen von emule nutzen würden könnten dann ja nicht überwacht werden
Das mit dem Thema überwachen von emule wird also so nicht funktionieren. Was die Polizei wohl eher im Zweifel machen würde ist das Auswerten der emule Server...

Am besten den "normalen" Emule nehmen. der ist Opensource und da besteht (zumindest theoretisch) die Möglichkeit nachzuschauen was drin ist. Aber andere langsamer laden lassen um raffgierig selber schneller zu laden ist ja beliebt, da bietet es sich an, einen Mod mit Seiteneffekten zu schreiben .

Hallo zusammen.

Ich denke auch, dass das ein Fehlalarm ist. Aber inzwischen schlagen auf VirusTotal.com 13 Virenscanner auf die Version 5.11 von Razorback an. Scheint halt auffälliger Code zu sein.

Code: Alles auswählenAufklappen

ATTFilter

Antivirus	  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3		2008.10.16.0	2008.10.16		-
AntiVir			7.9.0.4		2008.10.16		TR/Dldr.Agent.ajhz
Authentium		5.1.0.4		2008.10.16		-
Avast			4.8.1248.0	2008.10.15		Win32:Trojan-gen {Other}
AVG			8.0.0.161	2008.10.16		Downloader.Agent.AMZP
BitDefender		7.2		2008.10.16		-
CAT-QuickHeal	9.50			2008.10.16		TrojanDownloader.Agent.ajhz
ClamAV			0.93.1		2008.10.16		-
DrWeb			4.44.0.09170	2008.10.16		-
eSafe			7.0.17.0	2008.10.15		Win32.Agent.ajhz
eTrust-Vet		31.6.6150	2008.10.16		-
Ewido			4.0		2008.10.15		-
F-Prot			4.4.4.56	2008.10.15		-
F-Secure		8.0.14332.0	2008.10.16		Trojan-Downloader.Win32.Agent.ajhz
Fortinet		3.113.0.0	2008.10.16		W32/Agent.AJHZ!tr.dldr
GData			19		2008.10.16		Win32:Trojan-gen {Other}
Ikarus			T3.1.1.34.0	2008.10.16		Trojan-Downloader.Win32.Agent.ajhz
K7AntiVirus		7.10.496	2008.10.15		-
Kaspersky		7.0.0.125	2008.10.16		Trojan-Downloader.Win32.Agent.ajhz
McAfee			5406		2008.10.16		-
Microsoft		1.4005		2008.10.16		-
NOD32			3526		2008.10.16		-
Norman			5.80.02		2008.10.15		-
Panda			9.0.0.4		2008.10.15		Suspicious file
PCTools			4.4.2.0		2008.10.15		-
Prevx1			V2		2008.10.16		-
Rising			20.66.31.00	2008.10.16		-
SecureWeb-Gateway	6.7.6		2008.10.16		Trojan.Dldr.Agent.ajhz
Sophos			4.34.0		2008.10.16		-
Sunbelt			3.1.1727.1	2008.10.16		-
Symantec		10		2008.10.16		-
TheHacker		6.3.1.0.114	2008.10.15		-
TrendMicro		8.700.0.1004	2008.10.16		-
VBA32			3.12.8.7	2008.10.16		-
ViRobot			2008.10.16.1422	2008.10.16		Spyware.Agent.Do.2202624
VirusBuster		4.5.11.0	2008.10.15		-
         

Lade dir die aktuelle Version 5.12 runter. Die scheint "sauber" zu sein.

Gruß

Oder da ist absichtlich oder auch zufällig wirklicher Schadcode drin.
Rel. sicher fährt man nur mit der offiziellen Version.

da hab ich ja ein anstoss zu einer heissen diskussion angezettelt

nun noch mal ein anstoss^^ ist es nicht besser glecih zu torrent oder noch besser rapidshare zu wechseln??

gruss
yashimi

Also hab mich schlau gemacht!
auch die Version 5.12 ist betroffen aber wie es aussieht nur die installer version die gepackte version sollte funktionieren
so wie ich gelesen habe abgeänderte Form vom Win32/Parit.B aus dem Jahre 2003/2004
hab das hier gelesen aber halt alles auf english
würde mich halt eben doch intressieren ob noch was versteckt ist??
zur Sicherheit werde ich den Norman Malware-Cleaner im abgesicherten Modus laufen lassen

und zum Thema umsteigen auf Torrent oderso
bin halt ein gewohnheits Tier und schneller gehts an einem anderen Ort auch nicht unbedingt aber glaube lasse in Zukunft von (LeckerMod's)ab

und das beste am ganzen! in der Schweiz ist das rechtlich kein Problem !
Wenn man es nicht übertreibt

Es ist auf der ganzen Welt strafbar illegale Inhalte downzuladen - sogar in der Schweiz! Die Strafverfolgung ist ein anderes Thema.

Leonidas hat wohl gemeint das der download illegal ist nicht der Inhalt
und die Strafverfolgung wäre ja auch kein Problem ,wenn "SiE" nicht schon vor Gericht abgeblitzt wären das gilt aber nur für den Privatgebrauch!
Sei es wie es ist!
ich bin das Pferdchen aufjedenfall los....