Nachdem ich wegen Flacor.dat in den letzten Wochen mit viel Aufwand meinen Rechner neu aufgesetzt habe (Danke! nochmals für alle Tipps!), habe ich schon wieder ein Problem.

Eingeloggt war ich als Gast, der IE lief in der Sandbox (noch nicht lizensiert),
als ich von ESET SMART SECURITY folgende Fehlermeldung (dem Log-File entnommen) bekam:

Zitat:

05.11.2010 17:49:03 HTTP-Prüfung Datei hxxp://62.122.72.123/index.php?42622=6ZG8549B9D47II9C3R0EU4OTH&OkH=a2cEeyh5RGNMAkU&g0=gADSt8An52Dyg&64E2=039QY16F6WSc&wn1=UEVzC3wMDn58DncAJlU2IQ==&A2sf=/QmpZUEU4JmskJ&FgFT2=U4DQZnfAttAmQ&4670=8R&1qj7F=80WC25049&JK=E&3b62a=6XYPZ&261=HI4MC7J&B61g=0srUQcwNCZdPz5EQV1UJ0&spm=DaT9jaQdicwlW&aAyy=0OgQDcwMDNnYH Bg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
05.11.2010 17:28:20 HTTP-Prüfung Datei hxxp://62.122.72.122/index.php?56=8WRTZ88E&0w5=756P&Rie=GBZ78J23XQXEYsSAg7&x5a=wGCgl6DwQBAnJ9TTMwMw==&Z3m=UoVxcjUUogVE5MNiVYNUtECH&vgwNm=XVl3N&wXMA1=HFbLVEtcwcPegMOUXZ7BC& pz=cYe3INe&S8=MCZIVxo4I0&86=781B6356JD9VCG3JI&v693=HF3BzZ4O3MmBkR+U1dvaFMEYQxgYDZq&6z07=QG9I0HJ56K170BL5P&eaj=MYBg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
05.11.2010 17:28:19 HTTP-Prüfung Datei hxxp://62.122.72.122/index.php?56=8WRTZ88E&0w5=756P&Rie=GBZ78J23XQXEYsSAg7&x5a=wGCgl6DwQBAnJ9TTMwMw==&Z3m=UoVxcjUUogVE5MNiVYNUtECH&vgwNm=XVl3N&wXMA1=HFbLVEtcwcPegMOUXZ7BC& pz=cYe3INe&S8=MCZIVxo4I0&86=781B6356JD9VCG3JI&v693=HF3BzZ4O3MmBkR+U1dvaFMEYQxgYDZq&6z07=QG9I0HJ56K170BL5P&eaj=MYBg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
05.11.2010 17:28:14 HTTP-Prüfung Datei hxxp://62.122.72.122/index.php?56=8WRTZ88E&0w5=756P&Rie=GBZ78J23XQXEYsSAg7&x5a=wGCgl6DwQBAnJ9TTMwMw==&Z3m=UoVxcjUUogVE5MNiVYNUtECH&vgwNm=XVl3N&wXMA1=HFbLVEtcwcPegMOUXZ7BC& pz=cYe3INe&S8=MCZIVxo4I0&86=781B6356JD9VCG3JI&v693=HF3BzZ4O3MmBkR+U1dvaFMEYQxgYDZq&6z07=QG9I0HJ56K170BL5P&eaj=MYBg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
05.11.2010 17:28:14 HTTP-Prüfung Datei hxxp://62.122.72.122/index.php?56=8WRTZ88E&0w5=756P&Rie=GBZ78J23XQXEYsSAg7&x5a=wGCgl6DwQBAnJ9TTMwMw==&Z3m=UoVxcjUUogVE5MNiVYNUtECH&vgwNm=XVl3N&wXMA1=HFbLVEtcwcPegMOUXZ7BC& pz=cYe3INe&S8=MCZIVxo4I0&86=781B6356JD9VCG3JI&v693=HF3BzZ4O3MmBkR+U1dvaFMEYQxgYDZq&6z07=QG9I0HJ56K170BL5P&eaj=MYBg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
05.11.2010 17:28:09 HTTP-Prüfung Datei hxxp://62.122.72.122/index.php?56=8WRTZ88E&0w5=756P&Rie=GBZ78J23XQXEYsSAg7&x5a=wGCgl6DwQBAnJ9TTMwMw==&Z3m=UoVxcjUUogVE5MNiVYNUtECH&vgwNm=XVl3N&wXMA1=HFbLVEtcwcPegMOUXZ7BC& pz=cYe3INe&S8=MCZIVxo4I0&86=781B6356JD9VCG3JI&v693=HF3BzZ4O3MmBkR+U1dvaFMEYQxgYDZq&6z07=QG9I0HJ56K170BL5P&eaj=MYBg HTML/TrojanDownloader.FraudLoad.NAG Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Gast Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.

Ich habe in der Quarantäne nachgeschaut - da war nichts drin. Ich dachte daher, die Sandbox habe das Kopieren verhindert, habe den IE geschlossen und gewartet, ob sich noch etwas meldet. Es kam nichts mehr.
Heute bekam ich jedoch die Anfrage von ESET, ob ich bereit sei, verdächtige Dateien einzureichen. Ich habe zugestimmt. Nur - wie kann das sein? Google gab nichts substantielles her - alles zwischen Neuaufsetzen und unverständlichen Säuberungsanleitungen, die offensichtlich durch ein Übersetzungsprogramm gelaufen waren.

Im Taskmanager habe ich nachgeschaut, ob alle IE-Prozesse beendet werden, wenn ich den IE schließe - ja. (Das war das einzige, was ich aus Google mitnehmen konnte.)

Ich habe mich dann als Admin eingeloggt und HijackThis laufen lassen. Das Protokoll:

Zitat:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:37:57, on 06.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Intel\AMT\atchksrv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\AMT\UNS.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\AMT\atchk.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\SpeedProject\SpeedCommander 13\SpeedCommander.exe
D:\Zur_Inst\HiJackThis\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [atchk] "C:\Programme\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-725345543-115176313-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Bastian')
O4 - HKUS\S-1-5-21-725345543-115176313-839522115-1003\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe" (User 'Bastian')
O4 - HKUS\S-1-5-21-725345543-115176313-839522115-1003\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (User 'Bastian')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1284494219750
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel - C:\Programme\Intel\AMT\UNS.exe

--
End of file - 8486 bytes

Liegt eine Infektion vor oder ein Risiko?

Vielen Dank für jede Antwort!

Bastian

eset hat den ie ja beendet? lief dieser in der sandbox, du musst dazu immer auf "sandboxed web browser klicken, daher sollte nichts passiert sein.
warum du das nicht in der eset quarantäne gesehen hast, kann ich dir nicht sagen, ich nutze kein eset, die seite funktioniert auch nicht, damit kann ich dir nicht sagen was da drauf war :-) sieht aber aus als wäre alles in ordnung

Das klingt ja gut!
Es war der sandboxed IE und er hatte einen roten Rand.

Danke erst einmal!!!
Das klingt ja gut!

Es war der Sandbox-IE und er hatte den roten Rand.

Aber woher hatte ESET die Daten, wenn die Sandbox das Kopieren verhindern soll?

Viele Grüße
Bastian

P.S.: Oh, zweimal - Sorry!

ok dann leere die sandbox und alles is gut :-)