Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:/Fauxvirus/carny_ride.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.12.2008, 21:57   #1
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Hallo!

Auf einem (nicht meinem) PC habe ich mit dem darauf installierten Norton Internet Security eine vollständige Systemprüfung durchgeführt. Dabei ist mir aufgefallen, dass es "C:/FAUXVIRUS/carny_ride.exe" überprüft hat. Das kam mir schon seltsam vor, wenn ein Ordner das Wort "Virus" beinhaltet. Ich habe dann nach diesem Ordner gesucht und ihn nicht gefunden. Norton hat es auch nicht als Bedrohung gesehen. Per Google konnte ich auch keine wirkliche Hilfe finden. Die HJT-Log mit www.hijackthis.de ausgewertet ergab auch nichts.
Kennt hier jemand das Problem und kann mir helfen? Ist diese Datei schädlich, was macht sie und mit welchem Programm kriege ich sie weg?

Danke!

Alt 12.12.2008, 22:14   #2
john.doe
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Let me google that for you

ciao, andreas
__________________


Alt 12.12.2008, 22:39   #3
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Wie gesagt, bei Google konnte ich nichts 100% brauchbares finden. Ich habe mehrere Foren durchgeklickt und da steht meistens, dass die Leute es egal mit was nicht wegkriegen und deshalb andere vermuten, dass sie den Virus gar nicht haben und bei Norton nur da steht, was er sucht, nicht was er scannt. Aber eben nichts Sicheres. Deshalb dachte ich, bevor ich hunderte weitere Foren durchgehe ich frag mal hier.
Trotzdem danke. Solange der PC funktioniert nehme ich an, dass wirklich nichts ist.
__________________

Alt 12.12.2008, 22:43   #4
dborys
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



@Andreas:
Nice link, aber ich glaube nicht, dass der User nun weiß was er weiterhin zu tun hat

@TO:

Die Seite w*w.fauxvirus.com scheint wohl nicht gerade sauber zu sein:

Norton Safe Web, from Symantec - report for fauxvirus.com

1.)
Gehe bitte auf Virustotal.com, und lasse dort die von dir genannte Datei überprüfen.Poste dann hier bitte das Ergebniss per Copy&Paste, am besten mit Code-Tags umschlossen.

2.)

Lasse MAM drüberlaufen:
http://www.trojaner-board.de/51187-a...i-malware.html
Poste anschließend das Log.

Prevx:
Prevx CSI Download

Da keine Log-Datei erstellt wird, schreibe einfach ob etwas gefunden wurde.

3.)

Frisches HJT-Log.


Arbeitet das System ansonsten normal oder gibt's irgendwelche Auffälligkeiten?

Warte auf deine Antwort.

Mfg dborys


Edit:

Zitat:
Wie gesagt, bei Google konnte ich nichts 100% brauchbares finden
Das ist imho recht brauchbar, und kommt auch direkt bei der Anfrage an Google:
CARNY_RIDE.EXE, Prevx

Ich glaube das Wort Malware sollte oft genug drin vorkommen

Geändert von dborys (12.12.2008 um 22:53 Uhr)

Alt 12.12.2008, 22:45   #5
john.doe
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Edit: Du warst schneller.


Alt 12.12.2008, 22:51   #6
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Ich hab jetzt leider keine Möglichkeit mehr, auf den PC zuzugreifen. Ich hoffe, ich schaff das morgen.
Der PC ist etwas langsamer als am Anfang. Die "Willkommen"-Seite von WinXP erscheint für meine Verhältnisse auch relativ lange. Aber ich weiß nicht, ob das schon immer so war, da es ja nicht mein PC ist. Aber es befinden sich glaube ich auch recht viele Dateien und Programme darauf. Ansonsten funktioniert alles ganz normal. Zeitweise hat sich der Rechner öfter einfach so neugestartet und die Uhrzeit/Datum hat sich ständig geändert. Aber das war nach Wechsel der Batterie vorbei.

Ich hoffe, ich kann bereits morgen alles Wichtige liefern. Vielleicht auch erst später. Aber schonmal Danke für die Hilfe.

Alt 12.12.2008, 23:03   #7
dborys
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Zitat:
Ansonsten funktioniert alles ganz normal
Zitat:
Zeitweise hat sich der Rechner öfter einfach so neugestartet und die Uhrzeit/Datum hat sich ständig geändert
Also ich wüsste jetzt nicht was daran so normal sein soll...

Alt 12.12.2008, 23:06   #8
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Wie gesagt, nachdem die Batterie gewechselt wurde (die am Mainboard), war alles wieder normal. Ich habe auch per Google recherchiert und da stand sehr oft, dass Datumswechsel und Neustart mit einer leeren Batterie zusammenhängen kann.

Alt 12.12.2008, 23:20   #9
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Zitat:
Zitat von dborys Beitrag anzeigen
Edit:



Das ist imho recht brauchbar, und kommt auch direkt bei der Anfrage an Google:
CARNY_RIDE.EXE, Prevx

Ich glaube das Wort Malware sollte oft genug drin vorkommen
Ja, das habe ich auch durchgesehen. Aber das sagt mir nicht, ob das wie von anderen vermutet bei Norton einfach beim Scan als gesuchte Datei erscheint oder ob er sie gefunden hat.

Unter deinem ersten Link (Norton Safe Web, from Symantec - report for fauxvirus.com) steht auch:

"Threat Name: Joke.Train
Signature (MD5): 86a28c2ab9aca5e39be4dfd5e8cc21ea
Location: http://www.fauxvirus.com/FAUXVIRUS/carny_ride.exe "

Bisher hat sich der Bildschirm noch nicht bewegt...

Alt 12.12.2008, 23:28   #10
dborys
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Du meinst wohl die BIOS-Batterie.Das könnte die Zeitumstellungen erklären wenn diese leer geht. Allerdings dass eine leere BIOS-Batterie den PC zu plötzlichen Neustarts bringt wäre mir persönlich neu.

Anyway, ich hoffe du kannst die nötigen Logs und Infos morgen liefern.

MfG dborys

Edit:
Zitat:
h**p://w*w.fauxvirus.com/FAUXVIRUS/carny_ride.exe
Es geht hier um eine Datei auf deren Homepage, die mit dieser Joke-Trojaner infiziert ist.Welche lustigen Geschenke die Datei auf deiner Festplatte beinhaltet, werden wir noch herausfinden.Es wird auf jeden Fall kein Schoko-Nikolaus sein...

Geändert von dborys (12.12.2008 um 23:38 Uhr)

Alt 13.12.2008, 18:05   #11
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Hallo

Das mit virustotal fällt flach, weil es laut windows die datei auf dem Rechner ja gar nicht gibt. Hier die MAM-Log (hat beim Scan nichts gefunden):


Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1497
Windows 5.1.2600 Service Pack 3

13.12.2008 17:41:04
mbam-log-2008-12-13 (17-41-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 110920
Laufzeit: 41 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Das PrevxCSI hat eine "böse" Datei gefunden, unter Dokumente und Einstellungen\...\Lokale Einstellungen\... (irgendwie kann ich da nicht genauer schauen). Ich hab mal alle Temporären Dateien in dem Ordner gelöscht (bis auf drei die nicht gingen), dann ReScan mit CSI gemacht, das dann nichts mehr gefunden hat. Und auf jeden Fall keine Meldung über Carny_Ride.

HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:54, on 13.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229097659281
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 8460 bytes


So das wars, schonmal Danke für die Antworten!

MfG

Alt 13.12.2008, 19:19   #12
dborys
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Also ganz fertig sind wir noch nicht

Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Das gleiche mit F-Secure:

BlackLight 2.2.1092.0 Englisch, Download im heise Software-Verzeichnis

Desweiteren:

Java ist veraltet, deswegen:

Secunia PSI:Download - Personal (PSI) - Vulnerability Scanning - Secunia.com

Und CCleaner:

http://www.trojaner-board.de/51464-a...-ccleaner.html

Und Prevx kannst du eigentlich auch deinstallieren.


Das müssts gewesen sein, warte auf die Logfiles.

Mfg dborys

Alt 14.12.2008, 15:09   #13
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Zum Ersten:


Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Sonntag, 14. Dezember 2008 - 15:03:39
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 186.30 GB
- Working disk free size : 154.42 GB (82 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-776561741-515967899-839522115-1004\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-776561741-515967899-839522115-1004\Software\SecuROM\License information -> rkeysecu

--------------------------------------------------------------------------------------------------------
Files: 0/64612
Registry items: 2/196288
Processes: 0/44
Scan time: 00:04:03
--------------------------------------------------------------------------------------------------------
Active processes:
- atubbodq.exe (PID 2084) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 676)
- csrss.exe (PID 728)
- winlogon.exe (PID 752)
- services.exe (PID 800)
- lsass.exe (PID 812)
- ati2evxx.exe (PID 980)
- svchost.exe (PID 996)
- svchost.exe (PID 1080)
- svchost.exe (PID 1192)
- svchost.exe (PID 1260)
- svchost.exe (PID 1412)
- ccSvcHst.exe (PID 1732)
- AppSvc32.exe (PID 1984)
- spoolsv.exe (PID 472)
- AppleMobileDeviceService.exe (PID 1876)
- AluSchedulerSvc.exe (PID 1888)
- mDNSResponder.exe (PID 212)
- ehRecvr.exe (PID 584)
- ehSched.exe (PID 632)
- alg.exe (PID 376)
- dllhost.exe (PID 436)
- ati2evxx.exe (PID 2316)
- explorer.exe (PID 2404)
- ehtray.exe (PID 2896)
- jusched.exe (PID 3076)
- SOUNDMAN.EXE (PID 3088)
- ehmsas.exe (PID 3108)
- ALCWZRD.EXE (PID 3112)
- PRISMSTA.exe (PID 3164)
- atiptaxx.exe (PID 3196)
- ccApp.exe (PID 3236)
- iTunesHelper.exe (PID 3400)
- ctfmon.exe (PID 3420)
- msmsgs.exe (PID 3428)
- ICQ.exe (PID 3444)
- soffice.exe (PID 3656)
- soffice.bin (PID 3680)
- iPodService.exe (PID 3960)
- symlcsvc.exe (PID 3408)
- firefox.exe (PID 3336)
- wordpad.exe (PID 3240)
- avirarkd.exe (PID 1488)
========================================================================================================
- Scan finished Sonntag, 14. Dezember 2008 - 15:07:42
========================================================================================================

Alt 14.12.2008, 15:16   #14
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Zum Zweiten:
F-Secure hat die Log anscheinend einfach auf den Desktop gespeichert, ich nehme an, das ist sie (hat aber wohl nichts gefunden):

12/14/08 15:10:47 [Info]: BlackLight Engine 2.2.1092 initialized
12/14/08 15:10:47 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/14/08 15:10:48 [Note]: 7019 4
12/14/08 15:10:48 [Note]: 7005 0
12/14/08 15:10:55 [Note]: 7006 0
12/14/08 15:10:55 [Note]: 7011 2404
12/14/08 15:10:55 [Note]: 7035 0
12/14/08 15:10:55 [Note]: 7026 0
12/14/08 15:10:55 [Note]: 7026 0
12/14/08 15:10:57 [Note]: FSRAW library version 1.7.1024
12/14/08 15:12:27 [Note]: 2000 1012
12/14/08 15:12:27 [Note]: 2000 1012
12/14/08 15:14:29 [Note]: 7007 0

Alt 14.12.2008, 15:27   #15
Phlip
 
C:/Fauxvirus/carny_ride.exe - Standard

C:/Fauxvirus/carny_ride.exe



Eine Frage zu dem Secunia PSI: Es kann nicht passieren, dass das Programm mir was runterlädt, was Geld kostet, oder?
Zumindest die Programme, die PSI jetzt als veraltet angesehen hat, sind ja kostenlos:
Adobe Acrobat Reader
Adobe SVG Viewer
Adobe Flash Player (ActiveX Control)
Adobe Flash Player (General Plug-in)
Sun Java JRE
VLC media player

Antwort

Themen zu C:/Fauxvirus/carny_ride.exe
bedrohung, datei, gefunde, gesuch, gesucht, google, hjt-log, installier, installierte, interne, internet, internet security, konnte, kriege, norton, norton internet security, ordner, problem, programm, schädlich, security, seltsam, vollständige, welchem, wirkliche




Zum Thema C:/Fauxvirus/carny_ride.exe - Hallo! Auf einem (nicht meinem) PC habe ich mit dem darauf installierten Norton Internet Security eine vollständige Systemprüfung durchgeführt. Dabei ist mir aufgefallen, dass es "C:/FAUXVIRUS/carny_ride.exe" überprüft hat. Das kam - C:/Fauxvirus/carny_ride.exe...
Archiv
Du betrachtest: C:/Fauxvirus/carny_ride.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.