Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "error safe" malware (https://www.trojaner-board.de/27843-error-safe-malware.html)

suede:::x 26.03.2006 01:04
"error safe" malware
 
nun gut - ich wurde beim surfen mit popups von "errorsafe" konfrontiert - da ich wie immer zu hektisch reagiert habe - bin ich mir nun nicht mehr sicher ob ich immer "abbrechen" bzw alt+F4 gedrückt habe-vorallem weil es gleich 3 popups hintereinander waren...
ich habe dann mein system nach folgendem "rezept" überprüft "http://www.winhilfe.info/Sicherheit/Saeuberung/ErrorSafe_20060129132/"

ich habe keinerlei derartigen aktiven prozesse noch derartige dateien entdeckt.
auch ein scan mit spybotsearchanddestroy war ergebnislos - mein windows xp war auf dem neuestem stand und ich hatte vorher mit spybotsearchanddestroy immunisiert. ich werde gleich noch mit avast antivirus scannen. meint ihr ich sollte meinen pc neu aufsetzen? oder wäre das übertrieben...

anbei das logfile:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 01:00:09, on 26.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vonmireditiert . d e
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C66 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P33 "EPSON Stylus C66 Series (Kopie 1)" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe


DANKE!

BataAlexander 26.03.2006 02:25
Hallo,

in dem Log ist nichts zu sehen von Errorsafe/Winfixer. Desweiteren hat das Programm keine Routine Backdoors etc. zu öffnen.
Du kannst zur Sicherheit einen Online Scan machen, hier z.B.
Neuaufsetzen würde ich in dem Fall etwas übertrieben halten.

Gruß

Schrulli

suede:::x 26.03.2006 14:06
habe jetzt mit panda online gescannt: hier die auswertung:

dürfte nicht so schlimm sein oder ;-) ?!

scan report als txt:Anhang 1135

BataAlexander 26.03.2006 14:10
Hallo,

das sind alles nur Cookies, die kannst Du mit Boradmitteln, je nach Browser löschen oder z.B. mittels Cleanup

Gruß

Schrulli

Wildone 26.03.2006 14:13
Hallo,
kommen bei dir noch Errorsafe Popups? Oder war das nur ein einmaliges Erlebnis?



Grüße Wildone

suede:::x 26.03.2006 14:33
nein - ich habe die popups nur auf einer bestimmten website gehabt -danach nicht mehr..warum fragst du?

und danke euch allen / vor allem Schrulli für die schnelle und kompetente hilfe!

Wildone 26.03.2006 14:36
Hallo,
ich fragte weil es auch Winfixer/Errorsafe Varianten gibt die sich nicht mit einem HijackThis log entdecken lassen. Aber da bei dir alles sauber ist, und auch keine Popups automatisch (unabhängig von der besuchten Seite) eingespielt werden sollte alles in Ordnung sein.


Grüße Wildone

suede:::x 26.03.2006 14:43
ach so nee - danke der nachfrage...:)

allerdings hab ich danach meinen veralteten firefox auf die aktuellste version geupdatet - hoffentlich seh ich nicht deswegen keine errorsafe popups? sondern weil mein system sauber ist?!

kann man eigentlich irgendwo nachsehen ob mein antivirus programm "avast" errorsafe erkennt?

Wildone 26.03.2006 14:51
Hallo,
Zitat:
allerdings hab ich danach meinen veralteten firefox auf die aktuellste version geupdatet - hoffentlich seh ich nicht deswegen keine errorsafe popups? sondern weil mein system sauber ist?!
Da kann ich dich auch beruhigen, normalerweise setzen die Varianten an stellen an, an denen es keinen Unterschied macht ob der Browser aktuell ist, bzw. welchen man verwendet.
Trotzdem sollte natürlich FF immer aktuell gehalten werden damit nicht eine Lücke zur Installation von Malware ausgenutzt wird.

Zitat:
kann man eigentlich irgendwo nachsehen ob mein antivirus programm "avast" errorsafe erkennt?
Das Problem ist das es Errorsafe in verschiedenen Varianten gibt, bis hin zu Rootkits die solche Popups einspielen. Aber wie gesagt bei dir nichts von einem Problem zu erkennen, also mach dir keinen Kopf.


Grüße Wildone

suede:::x 26.03.2006 15:11
Zitat:
Zitat von Wildone
Das Problem ist das es Errorsafe in verschiedenen Varianten gibt, bis hin zu Rootkits die solche Popups einspielen. Aber wie gesagt bei dir nichts von einem Problem zu erkennen, also mach dir keinen Kopf.
Grüße Wildone

...ja das hat mich eben sehr verunsichert - da es einfach manche websites gibt, die pauschal bei errorsafe kontakt das neuaufsetzen des systems befürworten - andere website wie im forum von "http://www.winhilfe.info/" halten dies für nicht notwendig...mhm

ach noch eine letzte frage - diesen online virenscan den mir schrulli empfohlen hat (von panda av) hab ich nicht im abgesicherten modus durchgeführt - ist das schlimm?

danke

Wildone 26.03.2006 15:17
Hallo,
Zitat:
ach noch eine letzte frage - diesen online virenscan den mir schrulli empfohlen hat (von panda av) hab ich nicht im abgesicherten modus durchgeführt - ist das schlimm?
Nein, du kannst ihn auch nicht im abgesicherten modus durchführen, da du dort gar nicht online gehen kannst, diese wäre nur möglich wenn du "Abgesicherter Modus mit Netzwerktreibern" wählst. Für Onlinescans ist es aber nicht notwendig dieses zu tun, bei AVs auf der Festplatte ist es bei konkretem Verdacht jedoch angeraten.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19