Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Malwarebytes' Anti-Malware 1.46; Rogue.Installer oder Fehlalarm (https://www.trojaner-board.de/89860-malwarebytes-anti-malware-1-46-rogue-installer-fehlalarm.html)

xanvader 23.08.2010 15:01

Malwarebytes' Anti-Malware 1.46; Rogue.Installer oder Fehlalarm
 
Hallo Freunde des Virenfreien Windows, folg. ist heute beim Durchlauf zum Check eines USB-Sticks von Malwarebytes' Anti-Malware 1.46 erkannt worden:
Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.08.2010 14:33:30
mbam-log-2010-08-23 (14-33-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
G:\XP\Programme\WinXP--Makagiga\makagiga-3.8.6.exe (Rogue.Installer) -> No action taken.

Zum Thema Malwarebytes und Rogue.Installer habe ich eigentlich nur diesen Link http://www.trojaner-board.de/88882-s...-jetzt-ok.html und keine fuer mich Aussage kraeftigere Links gefunden.

Diesen Download habe ich unter Linux Ubuntu gemacht, von folg. Webseite:
hxxp://makagiga.sourceforge.net/

.. den Link habe ich vorher mit hxxp://www.drweb-online.com/deu/link-checker.asp?rpid=
Dr.Web als Plug-in für ihren Browser — ein neuer kostenloser Virenscan-Service! gecheckt, mit diesem Ergebnis:
Code:

Checking: hxxp://pagead2.googlesyndication.com/pagead/show_ads.js
File size: 49.72 KB
File MD5: ec01192f2be4403831f08d978a740075

hxxp://pagead2.googlesyndication.com/pagead/show_ads.js - Ok

Checking: hxxp://makagiga.sourceforge.net/download.html
Engine version: 5.0.2.3300
Total virus-finding records: 1602714
File size: 7189 bytes
File MD5: e2f0ef0d13486888525772bb7ccdb4e1

hxxp://makagiga.sourceforge.net/download.html - archive HTML
>hxxp://makagiga.sourceforge.net/download.html/Script.0 - Ok
>hxxp://makagiga.sourceforge.net/download.html/Script.1 - Ok
>hxxp://makagiga.sourceforge.net/download.html/Script.2 - Ok
>hxxp://makagiga.sourceforge.net/download.html/Script.3 - Ok
hxxp://makagiga.sourceforge.net/download.html - Ok

Nun wollte ich nach dem entfernen des USB-Sticks natuerlich wissen ob mein System korumpiert ist und habe einen Durchlauf mit "Trend Micro HijackThis v2.0.2" laufen lassen, mit folg. Ergebnis:
Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:32, on 23.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\FSC\Wireless Utility\WirelessSelector.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\PicPick\picpick.exe
E:\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Programme\HomeCinema\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\6.5"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1273848982102
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1273850621125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 4797 bytes

Ein Durchlauf mit Microsoft Security Essentials und Tool zum Entfernen bösartiger Software; mrt.exe sagt das alles I.O. zu sein scheint.

Ich habe nicht die grosse Ahnung, so wie es ausschaut, scheint das, das System in Ordnung ist, oder ?

Mein System ist Windows XP Professional Service Pack 3, mit Aktuellem Stand der Updates.

Da ich das Programm noch nicht install. habe, meine 2. frage:
Was kann ich jetzt tun oder ist es von Malwarebytes' Anti-Malware 1.46 ein Fehlalarmund ich kann das Programm installieren ?

Im voraus danke fuer eure Rueckmeldung/en

cosinus 25.08.2010 12:11

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131