Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kaspersky erkennt Windowsdateien als Malware (https://www.trojaner-board.de/74730-kaspersky-erkennt-windowsdateien-malware.html)

Lapilala 02.07.2009 00:20
Kaspersky erkennt Windowsdateien als Malware
 
Hallo zusammen,

Ich war vor kurzem so dumm und hab ausversehen auf eine exe geklickt, bei der "anscheinend" nichts passiert ist :>

Seit dem komm ich nicht mehr auf Antiviren Homepages und mein Kaspersky kriegt keine Updates mehr (keine Verbindung zum Server).
Aber ich habe komischer Weise auf alles HPs von verschieden Antiviren abietern keinen Zugang mehr.

Und außerdem spinnt mein Kaspersky rum.
Er findet durchgehend Maleware, aber die Dateien sind normale Windows Dateien wie z.B. :

C:\WINDOWS\system32\ntsd.exe
C:\WINDOWS\wmplayer.exe
C:\WINDOWS\system32\progman.exe
C:\WINDOWS\system32\rundll32.exe

usw....

Könnt ihr mir sagen was ich mir da geholt hab??
Und vor allem wie kriegt man das wieder weg??

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:24, on 03.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\services.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\reader_s.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\7.tmp
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [FightPad] "C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe" -1
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\***\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe

--
End of file - 3901 bytes
Ich bitte um Hilfe!!

Danke Mfg Lapilala

Kaos 02.07.2009 01:26
Zitat:
C:\WINDOWS\System32\reader_s.exe
C:\Dokumente und Einstellungen\***\reader_s.exe
Diese reader_s.exe Einträge sind fast immer Virut Dateien und wenn Kaspersky reguläre Windowsdateien als Schädlingerkennt, ist es sicher, dass es eine Virutvariante ist.

Virut ist ein aggressiver, polymorpher Fileinfektor, der sich ändert und alle ausführbaren Dateien infiziert, es ist sehr schwer Virut wieder aus dem System zu bekommen, da bei einer Desinfektion keine Datei infiziert bleibern darf, andernfalls kommt es auf kurz oder lang zu einer Reinfektion.
Virut erstellt auch eine Autorun.inf, die dafür sorgt, das externe Medien z.B. externe Festplatten und USB-Stick, wenn sie infiziert sind, Virut automatisch starten. Deshalb ist es wichtig, die Autorunfunktion für alle Laufwerke zu deaktivieren.

Zitat:
C:\WINDOWS\services.exe
Desweiteren hast du dir einen Password-Stealer und zwar den hier
Ändere unbedingt all deine Passwörter, die du online verwendest. Onlinebanking, Ebay, E-Mail usw.

Zitat:
C:\WINDOWS\system32\7.tmp
Das ist noch eine weitere schädliche Datei, die aktuell ausgeführt wird.


Um eine Neuinstallation des Systems wirst du nicht herumkommen. Lese dir die Anleitung gut durch und halte dich daran.

Prüfe allerdings deine Festplatten vorher mit mbr.exe. Speichere sie am besten direkt auf "C:\" und führe sie aus. Danach wird eine mbr.log ebenfalls auf "C:\" erstellt.

Wenn im mbr.log folgendes steht:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
dann ist alles in Ordnung, anderenfalls melde dich nochmal hier und poste die Logfile.

mfg, Kaos

Lapilala 02.07.2009 14:17
ok, danke für die recht schnelle Antwort.

Jetzt muss ich das System schon wieder neu aufsetzten, hab es erst vorgestern gemacht^^.

Aber na ja, danke noch mal :rolleyes:

KarlKarl 02.07.2009 17:16
Hi,

bei Virutproblemen ist die Gefahr ziemlich groß, ziemlich oft neu zu installieren. Nämlich dann wenn man irgendeine infizierte Datei vom alten ins neue System mitnimmt. die kann auch auf einer USB-Platte, einem Stick, einer gebrannten CD, usw. liegen. Dazu eine autorun.inf-Datei und sie startet sogar von selber und schon ist das neue System wieder tot.Alles platt machen ist die sicherere Variante, die solche Pannen vermeidet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19