|
Code: gefunden: Virus Heur.Invader (Modifikation) URL: http://download.bleepingcomputer.com.../catchme.cfexe |
Was mir mehr sorgen macht , das vielleicht sich ein Virus sich in der CTFMON.Exe eingeschlichen hat. Es könnte eine Kopie sein , aber vielleicht ist die Windows-Anwendung verseucht... |
[QUOTE=myrtille;326538]Hast du in letzter Zeit Combofix ausgeführt? Wenn ja wieso? Und kann ich das Log sehen?QUOTE] :eek:Ähm, was ist den Combofix?? Und wie kann ich die ergebnisse von Blacklight Kopieren?:confused: mfg cartman123 |
Zitat:
|
Zitat:
Kann es möglich sein (ich hoffe ich blamiere mich nicht), das der Trojaner Kasperskys selbstschutz irgendwie geknackt hat und mir nun sagt das Tools die ihn gefährlich sein könnten, schädlich für mich sind????:confused: |
Zitat:
mfg cartman123 |
Hhmm... Noch eine Frage: Warum sagt Kaspersky potenziell gefährdete Software? Das ist doch offensichtlich ein Trojaner. Oder?:( gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SymLCSVC.EXE |
Ratsam wäre, du entschärfst die Scaneinstellungen/ resp. den "proaktiven Schutz" von Kaspersky + schaust ins Handbuch zu Kaspersky, was "potentiell"/"Invader" heißt :rolleyes: bzw. nutzt ein AVP, dessen Meldungen du verstehst. So bringt das null. Alles was Kaspersky angemeckert hat, sind Prozesse, die ein mit Malware vglb. Verhalten an den Tag legen, d.h. aber nicht, dass es sich um malware handelt. Bei den "Funden" im Kaspersky-log handelt es sich um bekannte Prozesse, allesamt ungefährlich. Grüße |
Zitat:
Datei ctfmon.exe empfangen 2008.03.07 18:21:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 13. Geschätzte Startzeit is zwischen 80 und 115 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.07 - AntiVir 7.6.0.73 2008.03.07 - Authentium 4.93.8 2008.03.07 - Avast 4.7.1098.0 2008.03.07 - AVG 7.5.0.516 2008.03.07 - BitDefender 7.2 2008.03.07 - CAT-QuickHeal 9.50 2008.03.07 - ClamAV 0.92.1 2008.03.07 - DrWeb 4.44.0.09170 2008.03.07 - eSafe 7.0.15.0 2008.03.06 Win32.Agent.dgo eTrust-Vet 31.3.5595 2008.03.07 - Ewido 4.0 2008.03.07 - FileAdvisor 1 2008.03.07 - Fortinet 3.14.0.0 2008.03.07 - F-Prot 4.4.2.54 2008.03.07 - F-Secure 6.70.13260.0 2008.03.07 - Ikarus T3.1.1.20 2008.03.07 - Kaspersky 7.0.0.125 2008.03.07 - McAfee 5247 2008.03.07 - Microsoft 1.3301 2008.03.07 - NOD32v2 2930 2008.03.07 - Norman 5.80.02 2008.03.07 - Panda 9.0.0.4 2008.03.06 - Prevx1 V2 2008.03.07 - Rising 20.34.42.00 2008.03.07 - Sophos 4.27.0 2008.03.07 - Sunbelt 3.0.930.0 2008.03.05 - Symantec 10 2008.03.07 - TheHacker 6.2.92.236 2008.03.07 - VBA32 3.12.6.2 2008.03.05 - VirusBuster 4.3.26:9 2008.03.07 - Webwasher-Gateway 6.6.2 2008.03.07 - weitere Informationen File size: 15360 bytes MD5: 7ce20569925df6789c31799f0c538f29 SHA1: fdf70fcac4bb0c39bc0e2c8faaf81d4742f1fdde PEiD: - :heulen: |
Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen. Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet? Bei den weiteren Funden reagiert Kapersky über, das sind zwar berechtigte Meldungen, aber es handelt sich dabei um Vorgänge, die auch von normalen Programmen in Anspruch genommen werden. (Etwa sendet HelpCtr.exe Informationen ans Internet, wenn du um Hilfe fragst, weil es dir weitere Artikel aus der Microsoftdatabase anbieten können will. Also: Eine Microsoftdatei kontaktiert auf deinen Wunsch hin Microsoft um dir bei Microsoft Informationen rauszusuchen. Es öffnet sich dabei nur kein Fenster in dem groß "Ich geh ins Internet steht". Das macht es nicht zu einem Trojaner.) Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast. Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen? Mir fehlt das Log von "C:\", also direkt von deiner Partition, das steht auch im ursprünglichen filelist.txt drin, du hast es wahrscheinlich beim "aussortieren" der alten Einträge einfach übersehen. bad_kitty.exe ist wahrscheinlich auch nicht infiziert, die Meldung bezieht sich nur darauf wie die Datei gepackt war... lg myrtille |
Zitat:
2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky 06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation). 3. Ich war auf der Seite weil ich ein Remove Tool für den Trojaner der in cftmon.exe sitzt downloaden wollte. Nein ich lasse mir von keinem anderen im Board helfen. Und hier ist noch ein auszug aus Kaspersky wegen dem Selbsschutz und so. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2028 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:26:35 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:26:36 Der Versuch von Prozess mit PID 2356 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:29:58 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:32:45 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:46:19 Datei C:\PROGRA~1\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 00:13:11 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 04.03.2008 16:58:43 Schutz des Computers ist aktiv. 04.03.2008 16:59:42 Das Update wurde erfolgreich abgeschlossen 04.03.2008 17:00:21 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 19:19:36 Das Update wurde erfolgreich abgeschlossen 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1612 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:24 Der Versuch von Prozess mit PID 1512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:32 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 05.03.2008 17:52:11 Schutz des Computers ist aktiv. 05.03.2008 17:52:43 Der Versuch von Prozess mit PID 1396 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 3196 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 968 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. Hoffe du kannst damit erstmal was anfangen. Ich nicht:balla: |
Hi, ich hab jetzt mal meine Datei hochgeladen: ctfmon.exe Die Datei wird ebenfalls von eSafe (und nur von eSafe! Sollte es sich wirklich um den Agent handeln, würde er auch von vielen anderen Programmen erkannt werden) als bösartig erkannt, ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.) Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert. lg myrtille |
Zitat:
|
Zitat:
|
Zitat:
Zitat:
Auch hier gilt wieder: Nicht alles was als böse angezeigt wird ist auch böse! Programme die gegen Trojaner vorgehen wollen, müssen ähnlich rabiate Methoden verwenden wie die Trojaner selbst und werden deshalb oft fälschlich als bösartig erkannt. Mit den restlichen meldungen kann ich auch nicht viel anfangen, da ich nicht genau weiß welches Programm da auf Kaspersky zugreifen will. Das dürfte allerdings auch ncihts dramatisches gewesen sein. zB das Indizierungsprogramm von Windows, damit die Windowssuche funktioniert oder eines der Programme, die wir dich zur Kontrolle haben ausführen lassen. lg myrtille Mit MD5/SHA1 kann man jeder Datei eine eindeutige Zahlenfolge zuweisen. Sind die Zahlen nicht komplett identisch, dann sind auch die Dateien nicht identisch: Das ist hier der Fall, weil ich XP pro in englisch hab und du nicht. Es handelt sich in beiden Fällen aber um Zahlenfolgen, die einer legitimen Version der ctfmon.exe zugeordnet werden können. Ich wollte damit illustrieren (weil ich weiß, dass mein Rechner sauber ist), dass eSafe sich irrt, wenn es bei der ctfmon.exe als einziger einen Trojaner entdeckt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board