Hallo,

da KAV(Version7.0.0.125) immer eine verdächtige Aktion(Keylogger) beim Start von Skype gemeldet hat, hab ich mich mal zu einem Onlinescan entschlossen.
Inzwischen weiß ich, daß der Keylogger kein Problem darstellt, allerdings wurde beim Onlinscan obengenannter Virus auf folgendem Pfad gefunden:
C:\Programme\InstallShield Installation Information\{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}\Setup.exe
Auf Viruslist.com exisitiert dazu keine Beschreibung, auch findet mein KAV nichts verdächtiges an dieser Datei.
Zudem kann ich den Pfad keinem bestimmten Programm zuordnen, weiß also nicht, wofür dieser Eintrag steht.
Wie kann ich diesem Problem nun zu Leibe rücken, ohne meinen Rechner unbrauchbar zu machen?

mfg
Kurt

Zitat:

Zitat von Kurt Dunzinger

Hallo,

da KAV(Version7.0.0.125) immer eine verdächtige Aktion(Keylogger) beim Start von Skype gemeldet hat, hab ich mich mal zu einem Onlinescan entschlossen.
Inzwischen weiß ich, daß der Keylogger kein Problem darstellt, allerdings wurde beim Onlinscan obengenannter Virus auf folgendem Pfad gefunden:
C:\Programme\InstallShield Installation Information\{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}\Setup.exe
Auf Viruslist.com exisitiert dazu keine Beschreibung, auch findet mein KAV nichts verdächtiges an dieser Datei.
Zudem kann ich den Pfad keinem bestimmten Programm zuordnen, weiß also nicht, wofür dieser Eintrag steht.
Wie kann ich diesem Problem nun zu Leibe rücken, ohne meinen Rechner unbrauchbar zu machen?

mfg
Kurt

Hallo!
Oje, mein Antivirus-Programm (G DATA) hat soeben auch den Virus "P2P-Worm.Win32.Bacteraloh.bb" auf meinem Rechner gemeldet auf einem ähnlichen Pfad: C:\Program Files\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}
Ich erstelle gerade meine Bachelorarbeit und wäre wirklich verzweifelt, wenn dieser Virus grösseren Schaden in meinen Dateien anrichtet. Da ich leider wenig Ahnung von Virenbekämpfung habe, bin ich auch dringend auf Hilfe angewiesen. Wer weiss Rat?

Lieben Dank im Voraus! Grüsse
Myriame

@ Myriame
bitte erstelle doch einen eigenen Thread
so kann Verwirrung vermieden werden
erstelle auch gleich einen HijackThis Log und poste zusätzlich den Bericht von Avira.

Bitte führe auch einen vollständigen Scan mit Malwarebytes durch.

Hallo Kurt,

eine Freundin hatte das gleiche Problem. Mit F-Secure (6.01) wurden 8 infizierte Dateien gefunden und gelöscht (6 davon in ähnlichen Pfaden wie von Dir gepostet). Mich interesiert jedoch, was der Wurm genau anstellt/angestellt hat und ob er mit dem einfachen Löschen wirklich komplett entfernt ist.

Wenn Du noch die Setup.exe hast, würde ich mich freuen, wenn Du Sie mir zukommen lässt, damit ich beobchten kann, wie sich der Wurm einnistet und welche Daten er evtl. sammelt.

Grüße
45cl3p1u5

Lieber Jig Saw
Leider bin ich nicht so ein PC-Crack, entschuldige. Habe auch nicht alle deine Anweisungen verstanden... Auf jeden Fall habe ich meinen PC jetzt mit Malwarebytes gecheckt und es wurde nichts "Bösartiges" mehr gefunden. Hat über 2.5 Stunden gedauert. Inzwischen habe ich auch erfahren, dass wahrscheinlich das Antivirusprogramm G DATA den Wurm selbst gelöscht hat, da er gemeldet wurde aber nicht in der Quarantäne zu finden war (so hoffe ich jedenfalls).

Danke für deine Hilfe! En schöne Obig
Myriame

Myriame das ist ganz einfach außerdem wenn du etwas nicht verstanden hast dann musst du dich nicht entschuldigen dafür sind wir doch da lieber fragen als nacher versagen

also erstell doch ein eigenes Thema und beschreibst dein Problem ganz genau. Ich kenne mich mit G Data leider nicht aus aber vielleicht kannst du den Bericht finden von G Data.

Zusätzlich einen HijackThis Logfile erstellen (ist alles in der Anleitung beschrieben) und hier posten.

Auch solltest du den entstandenen Bericht (Logfile) posten von Malwarebytes.

Ich hoff dass alles verständlich ist wenn nicht einfach fragen


PS: bin kein PC- Freak

Zitat:

Zitat von 45cl3p1u5

Hallo Kurt,

eine Freundin hatte das gleiche Problem. Mit F-Secure (6.01) wurden 8 infizierte Dateien gefunden und gelöscht (6 davon in ähnlichen Pfaden wie von Dir gepostet). Mich interesiert jedoch, was der Wurm genau anstellt/angestellt hat und ob er mit dem einfachen Löschen wirklich komplett entfernt ist.

Wenn Du noch die Setup.exe hast, würde ich mich freuen, wenn Du Sie mir zukommen lässt, damit ich beobchten kann, wie sich der Wurm einnistet und welche Daten er evtl. sammelt.

Grüße
45cl3p1u5

Hallo Buchstaben-/Zahlensalat,

ja, ich habe die Datei noch.
Ich sende dir den gezippten Ordner zu.
Da KAV die Datei nicht als infiziert erkannt hat, wurde sie auch nicht unter Quarantäne gestellt.
Ich habe die Datei zur Untersuchung an Kaspersky-Lab gesandt.
Ich möchte nichts löschen, was möglicherweise ein Fehlalarm war...
Inzwischen weiß ich, daß die betroffene Datei ein Treiber (USB to serial), den ich für meinen virtuellen Server(VMWare) benötige, ist.
Also erst schauen, und dann löschen.
Ich schick sie dir per Mail.

edit: Leider kann ich über das Formular keine Anhänge verschicken, lass mir bitte deine Mailadresse zukommen. Danke!

Hallo Kurt,

habe Deine Setup-Datei auf einer virtuellen Maschine (WinXP,kein AV) geöffnet. Backtrack 3 bringt keine Netzwerkaktivitäten zu Tage. Falls es ein Wurm ist, scheint er zumindest keine Daten übertragen zu wollen.
Mit dem Process Monitor 2.3 habe ich alle Prozesse wären des Ausführens der Datei aufgezeichnet. Verdächtig kam mir auf den ersten Blick nur vor, dass er zahlreiche Dateien unter windows\system32 modifiziert/neu erstellt hat. Die Registryeinträge waren unverdächtig.
Alle Dateien waren aber auch auf einem nicht infizierten System unter WinXP vorhanden und ein MD5-Prüfsummencheck brachte das Ergebnis, dass die möglicherweise infizierten Dateien gleich der Originaldateien sind. Ebenso waren die HijackThis-Logfiles des infizierten und Originalsystems identisch.

Ich äußere daher die Vermutung, dass es zumindest bei Dir ein Fehlalarm ist. Wenn jemand die Logfiles einsehen will, sende ich diese gerne zu. Um sie hier zu posten, sind sie eindeutig zu lang!

Grüße
45cl3p1u5

Hallo Leute!


Ich hatte gestern Nachmittag, etwa genau um die gleiche Zeit, die gleiche Meldung ( auch G-Data) wie Myriame

Habe dann das Thema hier verfolgt und ebenfalls einen Scan mit Malwarebytes gemacht und auch mit HiJackthis, keine Funde.


Scheint auch jetzt wieder alles in Ordnung zu sein, ich meld mich nur weil ich es etwas seltsam finde, da es bei mir genauso abgelaufen ist.

Ich behalts mal im Auge, vielleicht wars wirklich nur ein "Fehlalarm"

Lg Nienna

Ok, danke erstmal für den Check, von KAV-Labs habe ich noch keine Rückmeldung erhalten.
Aber so kann ich zumindest beruhigt mein System lassen, wie es ist.
Vielen Dank nochmal!

Hallo,

aller guten Dinge sind drei!


Ich hatte ebenfalls wie Nienna1988 und Myriame die G-Data-Meldung 'P2P-Worm.Win32.Bacteraloh.bb'.

Malwarebytes hat nix gefunden, HiJackThis-Log ist ok.

Bin auf das Ergebnis von KAV-Labs gespannt!


Nexya