Trojaner-Board - TR/Spy.8192.92 [trojan] von Antivir gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Spy.8192.92 [trojan] von Antivir gefunden (https://www.trojaner-board.de/78992-tr-spy-8192-92-trojan-antivir-gefunden.html)

TR/Spy.8192.92 [trojan] von Antivir gefunden

Huhu!
Bislang hat mitlesen hier im Board immer gereicht, doch heute muss ich mich auch mal melden^^
Ich nutze Antivir auf Win7 Prof und ich bekam folgende meldung:
"
In der Datei 'C:\***\Binaries\reloaded.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.8192.92' [trojan] gefunden.
"
suche ich nach "Spy.8192.92" findet google nur 4 treffer..
diese tatsache macht mich schon sehr skeptisch, ob es wirklich ein virus oder nur ein hirngespinst von Antivir ist.
noch dazu nutzt ein klassenkamerad die gleiche datei und sein virenscanner meldet nichts (weiß leider nicht welchen er hat).

hat schonmal wer von diesem trojaner gehört oder kann ich den getrost ignorieren?

mfg

Hallo und Herzlich Willkommen! :)

derzeit gibt`s reichlich Fehlaram von Antivir, aber wird fleissig daran gearbeitet und sollte das Problem in den nächsten Tagen behoben sein

um sicher gehen:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Here we go:

HiJackThis.log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:16:04, on 01.11.2009

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskhost.exe

C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Pando Networks\Media Booster\PMB.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Opera\opera.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
 

--

End of file - 3527 bytes

Install.txt

Code:

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        25.09.2009        

Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        24.09.2009        

Adobe Reader 9.2 - Deutsch        Adobe Systems Incorporated        13.10.2009        161,3MB

Adobe Shockwave Player 11.5        Adobe Systems, Inc.        24.09.2009        

ATI Catalyst Install Manager        ATI Technologies, Inc.        24.09.2009        13,8MB

Avira AntiVir Personal - Free Antivirus        Avira GmbH        24.09.2009        

Batman: Arkham Asylum        Eidos Interactive Limited        06.10.2009        

Borderlands                26.10.2009        

CCleaner        Piriform        31.10.2009        

Dual-Core Optimizer        AMD        06.10.2009        86,00KB

Free Studio version 4.2        DVDVideoSoft Limited.        28.10.2009        

GUILD WARS                29.10.2009        

HijackThis 2.0.2        TrendMicro        31.10.2009        

Java(TM) 6 Update 16        Sun Microsystems, Inc.        24.09.2009        95,0MB

Microsoft .NET Framework 1.1                12.10.2009        

Microsoft Games for Windows - LIVE        Microsoft Corporation        06.10.2009        9,31MB

Microsoft Games for Windows - LIVE Redistributable        Microsoft Corporation        06.10.2009        33,5MB

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        24.09.2009        2,38MB

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        24.09.2009        0,58MB

NVIDIA PhysX        NVIDIA Corporation        06.10.2009        120,1MB

OpenAL                24.09.2009        

Opera 9.64        Opera Software ASA        24.09.2009        15,7MB

Pando Media Booster        Pando Networks Inc.        12.10.2009        

PowerISO                30.09.2009        

QIP 2005 8095                24.09.2009        

Realtek 8136 8168 8169 Ethernet Driver        Realtek        24.09.2009        

RESIDENT EVIL 5        CAPCOM CO., LTD.        30.09.2009        2.842,9MB

Runes of Magic        Frogster Interactive Pictures        13.10.2009        

Sacred 2        Ascaron Entertainment        25.09.2009        32,5MB

Skype™ 4.1        Skype Technologies S.A.        13.10.2009        25,0MB

Uninstall 1.0.0.1                28.10.2009        

VIA Plattform-Geräte-Manager        VIA Technologies, Inc.        24.09.2009        2,62MB

Warcraft III                29.09.2009        

Warcraft III: All Products                29.09.2009        

WinRAR                24.09.2009

Virenscann läuft noch bzw. hat ewig gedauert zu laden.. aber der einzeldatei onlinescan der befallenen datei war negativ, kein fund.

mfg

zuerst mal dein Log sieht sauber aus:)

Ich würde hier auf einen Fehlalarm tippen, wie er häufiger auftritt, wenn man "modifizierte" Software verwendet. Normal rührt das z.B. von verwendeten Algorythmen und dem Verhalten her, die denen von Viren ähneln, da sie sich z.B. an Prozesse der zu "modifizierenden" Software anhängen. (Wie z.B. bei dieser DLL sehr wahrscheinlich der Fall)
Die Sicherheit solcher "Modifikationen" ist normal von der Quelle abhägig.

Meiner Meinung nach ist von solchen "Modifikationen" aber nicht nur aus Sicherheitsgründen deutlich abzuraten (-;

Fehlalarm ja immer schon gegeben, aber sollte man trotzdem nachprüfen um sicher zu gehen...

- Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben