Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC wahrscheinlich infiziert, bitte um Hilfe und Prüfung (https://www.trojaner-board.de/74935-pc-wahrscheinlich-infiziert-bitte-um-hilfe-pruefung.html)

john.doe 11.07.2009 20:58

Es geht nicht um die Version, sondern um die Einstellungen. Du kannst Kaspersky auf scharf einstellen, dann ist zwar die Gefahr von Fehlalarmen größer aber die Erkennung ist auch besser.

ciao, andreas

shirocko 12.07.2009 00:24

Liste der Anhänge anzeigen (Anzahl: 2)
provx:
(screenshot als anhang)

kurze nebenfrage:
is es normal dass kaspersky sich selbst als hacker tool erkennt oO

john.doe 12.07.2009 00:39

Lade die drei Dateien, die prevx erkannt hat, bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Die erste gehört zu Super und ist eine Falschmeldung. Werde ich mal Prevx melden, das nervt so langsam. Die anderen beiden sehen verdächtig aus.
Zitat:

is es normal dass kaspersky sich selbst als hacker tool erkennt oO
Das meinte ich mit Fehlalarmen. :D

Oder ist das keine Originallizenz?

ciao, andreas

shirocko 12.07.2009 00:41

doch ist ne originallizenz
ich mach gleihch weiter mit dem hochladen...

die ersten beiden brauch ich nicht hochladen, beim 1. sagst ja es geört zu SUPER
und die zweite is ein tool und passwort felder sichtbar zu machen, dies ist gewollt und kein virus, benutzt ich auch nur selbst auf meinem pc

edit://
okay datei is hochgeladen

john.doe 12.07.2009 01:06

Hat mich schon gewundert, warum die auf dem Desktop war. :)

Lade Mota trotzdem hoch, damit ich die an Prevx schicken kann.

ciao, andreas

shirocko 12.07.2009 01:22

okay datei is auch oben
morgen send ich dann noch die ergebnisse der anderen beiden scans

gn8

john.doe 12.07.2009 12:00

Jetzt weiß ich, was das für eine Datei ist. Bitte beantworte mir drei Fragen:

1.) Ist das dein Rechner?

2.) Arbeitest du allein mit dem Rechner oder wird der von mehreren benutzt?

3.) Wie alt bist du?

ciao, andreas

shirocko 12.07.2009 12:02

die datei is von windows parent control richtig?
ja es is mein rechner ich bin 19 und der pc gehört mir allein :P

john.doe 12.07.2009 12:11

Genauer: Parents Friend, sie war aber nicht aktiv, stutzig machte sie mich trotzdem. Es ist ein Keylogger, der sich schwer in der Grauzone bewegt.

ciao, andreas

shirocko 12.07.2009 12:15

wenn ich mich net ganz irre hatte ich den glaub ich ma zu testzwecken drauf.

hm also datei kann ich löschen denk ich oder?

p.s. kaspersky udn panda active scan laufen noch xD schon seit zig stunden

und kaspersky hatte sich bei meinem laptop aus versehen selbst die lizenz weg gehaun xD
gut dass ich die datei vorher gesichert hab->ab in abgesicherten modus und wieder zurück gespielt :D

naja ich lass die ma weiter scannen

john.doe 12.07.2009 12:19

Wenn du es sauber machen möchtest, dann deinstalliere das Programm. Die einzige Möglichkeit ist das Verwaltungsprogramm aufzurufen (Kennwort solltest du kennen) und anschließend Klick auf De-Install.

ciao, andreas

shirocko 12.07.2009 15:37

kaspersky log:
Code:

Virensuche : abgeschlossen
--------------------------
Untersucht:        3081175
Gefunden:        1
Nicht bearbeitet:        1
Start:        12.07.2009 00:48:12
Dauer:        15:26:07
Ende:        12.07.2009 16:14:19


Gefunden
--------
Status        Objekt
------        ------
gefunden: potentiell gefährliche Software not-a-virus:Monitor.Win32.ParentsFriend.7004        Datei: C:\Windows\System32\winadmd.exe

active scan log:
Code:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-07-12 16:29:56
PROTECTIONS: 3
MALWARE: 10
SUSPECTS: 6
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
Kaspersky Security Suite CBE                7.0.1.325                    Yes      Yes
Windows-Defender                            1.1.1505.0                    No        Yes
Kaspersky Security Suite CBE                7.0.1.325                    No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@doubleclick[1].txt
00139064  Cookie/Atlas DMT                  TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@atdmt[1].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@tradedoubler[1].txt
00147036  Cookie/Adverserve                  TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@adverserve[2].txt
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@serving-sys[2].txt
00168093  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          D:\Dokumente und Einstellungen\Admin\Cookies\admin@bs.serving-sys[1].txt
00184991  Application/KillApp.B              HackTools          No        0        Yes            No          C:\Users\Admin\Documents\pcwInfoCenter\#Source#\Tools\kill.exe
00623939  Trj/Agent.LSG                      Virus/Trojan        No        1        Yes            No          C:\Users\Admin\Documents\Load!\Load.exe
02058014  Generic Malware                    Virus/Trojan        No        0        Yes            No          C:\Windows\System32\winadmd.exe
03738741  Generic Malware                    Virus/Trojan        No        0        Yes            No          C:\Users\Admin\Documents\Load_0.5\ocr\netload.in\Captcha.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              �����@        �9
;===================================================================================================================================================================================
No        C:\Users\Admin\Documents\ICQ\348812722\ReceivedFiles\369999974 Stephie\Multi-ICQ.exe                                                                                                                                                                                                                                                                                                                                                                                                                                  �����@        �9
No        C:\Users\Admin\Documents\Load!\Plugins\YouCrypt\usercashcom.dll                                                                                                                                                                                                                                                                                                                                                                                                                                                      �����@        �9
No        C:\Users\Admin\Documents\My Skype Received Files\Test.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                            �����@        �9
No        C:\Users\Admin\Pictures\Personen und Tiere\sarah\Test.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                            �����@        �9
No        D:\Programme\InstallShield Installation Information\{4C73B683-B15D-4B94-AC7A-520B70C4FFE9}\data1.cab[KillODSBCApp.exe]
No        E:\Tools\Sceneo Bonavista (0.9)\data1.cab[KillODSBCApp.exe]                                                                                                                                                                                                                                                                                                                                                                                                                                                          �����@        �9
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity  Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                �����@        �9
;===================================================================================================================================================================================
;===================================================================================================================================================================================


wie ruft man nochma das verwaltungsprogramm von parental control auf. ich find keinen ordner mitdem namen im programme verzeichnis und ich bin mir nich ganz sicher ob ich das net sogar schon entfernt hab

john.doe 12.07.2009 16:03

Zitat:

wie ruft man nochma das verwaltungsprogramm von parental control auf.
Das ist das Programm pfadmin im Programmeordner.
Zitat:

ich bin mir nich ganz sicher ob ich das net sogar schon entfernt hab
Kasper hat das Programm auch gefunden, der dritte Teil hat übrigens den Namen winadmkill.exe und befindet sich im selben Ordner wie winadm.exe und winadmd.exe.

Die Funde von Panda gefallen mir weniger. Das erste ist ein Tool und ungefährlich. Ist Load! das Programm von daubner, das zur Berechnung von Verpackungen dient?

Lade bitte die Programme
Zitat:

C:\Users\Admin\Documents\Load!\Load.exe
C:\Users\Admin\Documents\Load_0.5\ocr\netload.in\Captcha.exe
sowie alle unter Suspects
bitte bei uns hoch oder lasse sie bei Virustotal auswerten und poste jeweils die komplette Analyse.

ciao, andreas

shirocko 12.07.2009 16:09

nein load ist mir bekannt was das fürn programm ist, das brauch ich nicht hochladen. das ist nicht schadhaft.
ist auch nicht installiert sondern so startbar, ich hab eh überlegt es runter zu haun...

parent control fin dich im programme oder nicht deshalt auch net die datei pfadmin.exe

john.doe 12.07.2009 16:26

Zitat:

nein load ist mir bekannt was das fürn programm ist, das brauch ich nicht hochladen. das ist nicht schadhaft.
Da bist du dir sicher?

Die letzten beiden unter Suspects kannst du auch weglassen.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19