Avira meldet Spy/Trojaner bei Ultraiso.exe

ReacT · 08.07.2009, 09:59

Guten Tag zusammen,

also ich habe folgende Sache auf dem Herzen, mein Avira meldet seit ca. vorgestern das die UltraIso.exe mit einem Trojaner/Spybot infiziert sei. Natürlich habe ich das dann sofort geprüft, Quarantäne und programm deinstalliert. Im anschluss darauf habe ich die komplette Registry mehrmals gereinigt und UltraIso neu installiert. Was geschah? Genau, erneut diese Meldung.

Hier mal die Reportdatei (Problem ist Rot eingefärbt):

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 8. Juli 2009  10:54

Es wird nach 1475195 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : ReacT
Computername   : ECLIPSE

Versionsinformationen:
BUILD.DAT      : 9.0.0.403     17961 Bytes  03.06.2009 17:00:00
AVSCAN.EXE     : 9.0.3.6      466689 Bytes  09.06.2009 14:48:23
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 17:56:33
ANTIVIR2.VDF   : 7.1.4.173    306688 Bytes  02.07.2009 17:47:59
ANTIVIR3.VDF   : 7.1.4.197    430592 Bytes  07.07.2009 17:48:14
Engineversion  : 8.2.0.204
AEVDF.DLL      : 8.1.1.1      106868 Bytes  08.05.2009 17:01:15
AESCRIPT.DLL   : 8.1.2.13     426362 Bytes  02.07.2009 17:48:15
AESCN.DLL      : 8.1.2.3      127347 Bytes  15.05.2009 16:45:43
AERDL.DLL      : 8.1.2.2      438642 Bytes  02.07.2009 17:48:10
AEPACK.DLL     : 8.1.3.18     401783 Bytes  28.05.2009 15:57:44
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  18.06.2009 07:52:21
AEHEUR.DLL     : 8.1.0.137   1823095 Bytes  26.06.2009 17:51:18
AEHELP.DLL     : 8.1.3.6      205174 Bytes  12.06.2009 07:31:30
AEGEN.DLL      : 8.1.1.48     348532 Bytes  02.07.2009 17:48:02
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.6.12     180599 Bytes  28.05.2009 15:57:44
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  09.06.2009 14:48:23
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\ReacT\LOKALE~1\Temp\48459956.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Auszulassende Dateien.................: H:\Eve-Online\cache\Pictures\Gids\SM_3_0_HI_317_1_64.dds, H:\Homeworld2\bie.exe, 
Abweichende Gefahrenkategorien........: +JOKE,+PCK,
Erweiterte Sucheinstellungen..........: 0x08300432

Beginn des Suchlaufs: Mittwoch, 8. Juli 2009  10:54

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Programme\UltraISO'
C:\Programme\UltraISO\
  History.txt
  License.txt
  Readme.txt
  ultraiso.chm
  UltraISO.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.864256.3
  unins000.dat
  unins000.exe
C:\Programme\UltraISO\lang\
  lang_ar.dll
  lang_bg.dll
  lang_br.dll
  lang_by.dll
  lang_cn.dll
  lang_ct.dll
  lang_cz.dll
  lang_de.dll
  lang_dk.dll
  lang_es.dll
  lang_et.dll
  lang_fi.dll
  lang_fr.dll
  lang_gr.dll
  lang_he.dll
  lang_hr.dll
  lang_hu.dll
  lang_it.dll
  lang_kr.dll
  lang_lt.dll
  lang_lv.dll
  lang_mk.dll
  lang_nl.dll
  lang_no.dll
  lang_pl.dll
  lang_pt.dll
  lang_ro.dll
  lang_ru.dll
  lang_se.dll
  lang_si.dll
  lang_sk.dll
  lang_tr.dll
  lang_tw.dll
  lang_ua.dll
  lang_yu.dll

Beginne mit der Desinfektion:
C:\Programme\UltraISO\
  UltraISO.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.864256.3


Ende des Suchlaufs: Mittwoch, 8. Juli 2009  10:55
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      3 Verzeichnisse wurden überprüft
    134 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    133 Dateien ohne Befall
      1 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise

Andere Scanner habe ich jedoch noch nicht ausprobiert, kann es vllt. sein das Avira da ein wenig bockmist gebaut hat und es eine Fehlmeldung ist?

Mit freundlichen Grüßen
ReacT

kira · 08.07.2009, 14:41

Hallo ReacT

1.
Fund von Antivir bitte bei *virustotal* prüfen:

Code:

ATTFilter

C:\Programme\UltraISO\
  UltraISO.exe

auf "Durchsuchen" klicken-> Datei hochladen-> abwarten bis alle Scanner fertig-> die ganze Ergebnis wie Du es bekommst da reinkopieren

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
dann starten--> "Do a system scan and save a logfile" klicken--> das erhaltene Logfile "markieren" --> "kopieren"--> hier in deinem Thread (rechte Maustaste) "einfügen"

am besten nutze den Code-Tags für deinen Post:
vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]

gruß
Coverflow

ReacT · 08.07.2009, 15:08

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06:24, on 08.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Globe Software\StatBar\StatBar.exe
C:\Programme\EXPERTool\TBPanel.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
I:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [StatBar] C:\Programme\Globe Software\StatBar\StatBar.exe
O4 - HKCU\..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe /A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {389C55D1-0AA6-4631-8EBD-FB4BA34E682A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {389C55D1-0AA6-4631-8EBD-FB4BA34E682A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6265 bytes

+

Code:

ATTFilter

Datei UltraISO.exe empfangen 2009.07.08 14:15:27 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/41 (31.71%)

a-squared	4.5.0.18	2009.07.08	Trojan.Generic!IK
AhnLab-V3	5.0.0.2	2009.07.08	-
AntiVir	7.9.0.204	2009.07.08	TR/Spy.864256.3
Antiy-AVL	2.0.3.1	2009.07.08	-
Authentium	5.1.2.4	2009.07.08	-
Avast	4.8.1335.0	2009.07.07	-
AVG	8.5.0.386	2009.07.08	-
BitDefender	7.2	2009.07.08	Trojan.Generic.886337
CAT-QuickHeal	10.00	2009.07.08	Trojan.Agent.IRC
ClamAV	0.94.1	2009.07.08	-
Comodo	1578	2009.07.08	-
DrWeb	5.0.0.12182	2009.07.08	-
eSafe	7.0.17.0	2009.07.08	-
eTrust-Vet	31.6.6602	2009.07.08	-
F-Prot	4.4.4.56	2009.07.07	-
F-Secure	8.0.14470.0	2009.07.08	-
Fortinet	3.117.0.0	2009.07.03	-
GData	19	2009.07.08	Trojan.Generic.886337
Ikarus	T3.1.1.64.0	2009.07.08	Trojan.Generic
Jiangmin	11.0.706	2009.07.08	-
K7AntiVirus	7.10.786	2009.07.07	-
Kaspersky	7.0.0.125	2009.07.08	-
McAfee	5669	2009.07.07	-
McAfee+Artemis	5669	2009.07.07	Artemis!4D6009D222E6
McAfee-GW-Edition	6.8.5	2009.07.08	Heuristic.LooksLike.Trojan.Dropper.K
Microsoft	1.4803	2009.07.08	-
NOD32	4224	2009.07.08	-
Norman	6.01.09	2009.07.07	-
nProtect	2009.1.8.0	2009.07.08	-
Panda	10.0.0.14	2009.07.08	Suspicious file
PCTools	4.4.2.0	2009.07.08	Trojan.generic.A!ct
Prevx	3.0	2009.07.08	-
Rising	21.37.24.00	2009.07.08	-
Sophos	4.43.0	2009.07.08	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.07.08	Trojan-Downloader.Generic
Symantec	1.4.4.12	2009.07.08	-
TheHacker	6.3.4.3.363	2009.07.08	-
TrendMicro	8.950.0.1094	2009.07.08	PAK_Generic.002
VBA32	3.12.10.7	2009.07.08	-
ViRobot	2009.7.8.1824	2009.07.08	-
VirusBuster	4.6.5.0	2009.07.07	-

Nun hat gerade mein Avira die gleiche Signatur des Trojaners auch im System Volumen endeckt:

Code:

ATTFilter

In der Datei 'C:\System Volume Information\_restore{00A06664-0C9C-4CED-BA6E-A12D26FA362E}\RP586\A0114782.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.864256.3' [trojan] gefunden.

kira · 08.07.2009, 16:13

Lade mal bitte die Datei für weitere Analyse hoch:

Datei Upload

Klicke bitte auf diesen Link UploadMalware.com

Gib im obersten Feld deinen Namen ein
Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/74969-a...raiso-exe.html)
Lade dann diese Datei von deinem Rechner hoch:

C:\Programme\UltraISO\UltraISO.exe

Gib im Kommentarfeld Folgendes an:
"Unknown file"
deine eMail Adresse, damit du benachrichtigt werden kannst, um was es sich bei dieser Datei handelt.
diese Information:

Code:

ATTFilter

Datei UltraISO.exe empfangen 2009.07.08 14:15:27 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/41 (31.71%)

a-squared	4.5.0.18	2009.07.08	Trojan.Generic!IK
AhnLab-V3	5.0.0.2	2009.07.08	-
AntiVir	7.9.0.204	2009.07.08	TR/Spy.864256.3
Antiy-AVL	2.0.3.1	2009.07.08	-
Authentium	5.1.2.4	2009.07.08	-
Avast	4.8.1335.0	2009.07.07	-
AVG	8.5.0.386	2009.07.08	-
BitDefender	7.2	2009.07.08	Trojan.Generic.886337
CAT-QuickHeal	10.00	2009.07.08	Trojan.Agent.IRC
ClamAV	0.94.1	2009.07.08	-
Comodo	1578	2009.07.08	-
DrWeb	5.0.0.12182	2009.07.08	-
eSafe	7.0.17.0	2009.07.08	-
eTrust-Vet	31.6.6602	2009.07.08	-
F-Prot	4.4.4.56	2009.07.07	-
F-Secure	8.0.14470.0	2009.07.08	-
Fortinet	3.117.0.0	2009.07.03	-
GData	19	2009.07.08	Trojan.Generic.886337
Ikarus	T3.1.1.64.0	2009.07.08	Trojan.Generic
Jiangmin	11.0.706	2009.07.08	-
K7AntiVirus	7.10.786	2009.07.07	-
Kaspersky	7.0.0.125	2009.07.08	-
McAfee	5669	2009.07.07	-
McAfee+Artemis	5669	2009.07.07	Artemis!4D6009D222E6
McAfee-GW-Edition	6.8.5	2009.07.08	Heuristic.LooksLike.Trojan.Dropper.K
Microsoft	1.4803	2009.07.08	-
NOD32	4224	2009.07.08	-
Norman	6.01.09	2009.07.07	-
nProtect	2009.1.8.0	2009.07.08	-
Panda	10.0.0.14	2009.07.08	Suspicious file
PCTools	4.4.2.0	2009.07.08	Trojan.generic.A!ct
Prevx	3.0	2009.07.08	-
Rising	21.37.24.00	2009.07.08	-
Sophos	4.43.0	2009.07.08	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.07.08	Trojan-Downloader.Generic
Symantec	1.4.4.12	2009.07.08	-
TheHacker	6.3.4.3.363	2009.07.08	-
TrendMicro	8.950.0.1094	2009.07.08	PAK_Generic.002
VBA32	3.12.10.7	2009.07.08	-
ViRobot	2009.7.8.1824	2009.07.08	-
VirusBuster	4.6.5.0	2009.07.07	-

Drücke nun auf den Button "Send File"
**Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
.

ReacT · 08.07.2009, 16:18

Your file (UltraISO.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

Somit wurde die Datei erfolgreich hochgeladen.
Jungs ihr seid klasse, super schnelle hilfe, macht weiter so, vielen dank :aplaus:
Mal sehen was nun kommt :-)

raman · 08.07.2009, 16:19

Lad die Datei bitte auch bei Antivir hoch. Als Typ waehle "verdacht auf Fehlalarm".
Hier ist der Link zum senden der DAtei an Antivir: Submit your sample

ReacT · 08.07.2009, 16:29

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25393015 UltraISO.exe 844 KB MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
UltraISO.exe MALWARE

Die Datei 'UltraISO.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Spy.864256.3 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.
--------------
Sagt Avira, wobei ich nun auch nicht verstehe, wie sich das ding auch im Systemvolumen festsetzen kann :-/

Mit freundlichen Grüßen
ReacT

p.s.: klasse, bin von euch begeistert

raman · 08.07.2009, 16:36

Das mit der Systemwiederherstellung ist normal, da sichert XP halt teile des Systems...

Das mit dem beseitigen des Fehlalarms wird wohl noch bis morgen dauern. Die neuste version von Ultraiso erzeugt den Fehlalarm nicht, im zweifel deinstalliere das Programm via Software, wenn du es nutzt, aktualisiere es mit der neusten Version.

Sophos war wohl der erste, der die Datei eingepflegt hat, da diese Datei mit ASpack gepackt ist und etwas gepatcht wurde.
Da Ende des Monats Abgabe fuer einen groesseren Test ist, durchsuchen alle AV Firmen ihre Sammlungen, die sie von anderen AV Firmen bekommen, nach verpassten Samples. Darum haeuft sich das zur Zeit durch das Massenhafte einpflegen von Dateien.
So war das auch der Fall mit dem Googletoolbar Fehlalarm.....

ReacT · 09.07.2009, 17:20

Ok, habe eine Antowrt von Avira erhalten;

"The file 'UltraISO.exe' has been determined to be 'FALSE POSITIVE'. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Detection will be removed from our virus definition file (VDF) with one of the next updates. "

Somit wäre das "Kapitel" beendet

Ihr seid ne super hilfe, macht ihr einfach klasse, weiter so

Mit freundlichen Grüßen
ReacT

kira · 09.07.2009, 23:54

hi

Um den Boot-Vorgang zu beschleunigen - Tipps:
Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows
Du sollst unnötige Programme abschalten, die nicht so wichtig sind, selten brauchst herausnehmen, bzw. nach deinen Bedürfnissen anpassen (es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht)
"Start--> ausführen--> "msconfig" (reinschreiben ohne ""--> OK" - it-academy.cc - pqtuning.de
bei allem Häkchen weg was nicht starten soll,aber immer nur einen deaktivieren (Haken weg),also Schrittweise --> Neustart...wirst Du sehen,dass Du deinen Rechner wieder flotter bekommst

Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen,da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
Nach einem Neustart des PC´s starten diese gewählten Programm dann nicht mehr mit Windows. (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
Falls Du mal brauchst, kannst manuel auch starten

Code:

ATTFilter

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {389C55D1-0AA6-4631-8EBD-FB4BA34E682A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {389C55D1-0AA6-4631-8EBD-FB4BA34E682A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)

- Nicht benötigte Dienste auf manuell stellen: "Start -> Ausführen -> "Services.msc" --> (reinschreiben ohne "")-> OK

Code:

ATTFilter

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

gruß
Coverflow

Avira meldet Spy/Trojaner bei Ultraiso.exe

Plagegeister aller Art und deren Bekämpfung: Avira meldet Spy/Trojaner bei Ultraiso.exe