Hi,

An Software oder unerwünschter Adaware etc. fällt mir derzeit in meinem System nichts auf, doch trotzdem habe ich mal aus Routine ein Log ausgewertet, in dem ein Eintrag schädlich sein soll...

Zitat:

O4 - HKCU\..\Policies\Explorer\Run: [{38149C32-0A64-1031-0317-051018200031}] "C:\Programme\Gemeinsame Dateien\{38149C32-0A64-1031-0317-051018200031}\Update.exe" te-110-12-0000073

Kann mir jemand erklären, was "Fuzzy Algorithmusprüfung (2.45 / 5.00)" ist?



Hier mal ein Gesamt-Log das den "angeblich" schädlichen Eintrag beinhaltet

Zitat:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 05:14:48, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\SYSTEM32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\PESTPA~1\ppcontrol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\Policies\Explorer\Run: [{38149C32-0A64-1031-0317-051018200031}] "C:\Programme\Gemeinsame Dateien\{38149C32-0A64-1031-0317-051018200031}\Update.exe" te-110-12-0000073
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_46.cab
O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_39.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f003.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.gutchat.de/control/msnchat45.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_34.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_34.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7038 bytes

Über eine Antwort wäre ich dankbar.



LG Terayaki

Und? Hast du mit der öminösen update.exe im Gepäck schon mal bei Virustotal vorbeigeschaut?
Zum Thema "Fuzzy" gibt es hier was.

Hallo Franz,

Zitat:

Hast du mit der öminösen update.exe im Gepäck schon mal bei Virustotal vorbeigeschaut?

Ich schätze deine Hilfe wirklich sehr, (auch die von anderen Administratoren bzw. Helfern der Viren-Probleme) doch ich halte von den Online Viren-Scannern sogut wie nicht viel. Der Grund dafür ist, dass Sie oft Fehlerhafte Berichte erstatten.
Außerdem, egal ob ich meine Firewall ausschalte oder verschiedene Einstellungen fürs Internet de oder aktiviere kann die Datei nicht gescannt werden wegen diesen 0 Bytes...

Ich Frage mich nur ob ich dieses Fuzzy brauche...eigentlich könnte ich es doch fixen oder?

Zitat:

Zitat von terayaki

Der Grund dafür ist, dass Sie oft Fehlerhafte Berichte erstatten.

Kein AV-Programm ist unfehlbar.

Zitat:

Außerdem, egal ob ich meine Firewall ausschalte oder verschiedene Einstellungen fürs Internet de oder aktiviere kann die Datei nicht gescannt werden wegen diesen 0 Bytes...

Ich fürchte, das liegt eher an der verdächtigen Datei als an den Scannern, die Virustotal zur Verfügung stellt. Gibt es einen zu der update.exe gehörigen Prozess, der sich beenden lässt? Lässt sie sich umbenennen bzw. kopieren? Hast du versucht, den zugehörigen Pfad in das Eingabefeld auf der Virustotal-Internetseite zu kopieren?

Zitat:

Ich Frage mich nur ob ich dieses Fuzzy brauche...eigentlich könnte ich es doch fixen oder?

Du sollst "Fuzzy" auch nicht fixen. "Fuzzy" ist nicht die Bezeichnung des verdächtigen Programms, sondern eine Art Prüfroutine auf der hijackthis-Webseite, die Dateien anhand ihrer Namen und Pfade als schädlich oder unschädlich zu klassifizieren versucht. Hast du meinen Link nicht gelesen?

Ja ich habe versucht es ins Eingabefeld zu kopieren...und nein es gibt keinen dazugehörigen Prozess.

Alle Prozesse laufen Normal und ich Finde auch sonst nichts auffälliges. Kann es denn sein, dass die "Fuzzy" Meldung nur ein Fehler ist, da ich nämlich zuvor etwas installiert habe und es mit einem Patch ausgeführt habe...? Vielleicht eine heuristische Fehlermeldung? Kann das denn sein?

Ja, natürlich kann das sein (nun lies doch endlich den Link!). Ob update.exe mit dem von dir installierten Programm zu tun hat, können weder Kollege Fuzzy noch ich ihr ansehen.

Allerdings wundert es mich, dass sie 0 Bytes groß sein soll.

:aplaus:

Also um auf deine vielen Verweise des Links bin ich dir schon dankbar, ich habe es aber shon gelesen Deshalb stellte ich ja die Frage ob es damit etwas zutun haben könnte

So, nun wie kann ich denn die Meldung von "Fuzzy" in der Auswertung wegbekommen? garnicht? wegen des Patches bzw. dieser Sofware? (wäre ja nicht weiter schlimm)

Und wie kann ich Die 0Byte Meldung bei viustotal oder Jotti abstellen? Normalerweise geht das doch über die Browser Einstellungen über Erweitert oder die Firewall? Oder nicht?

Wir reden aneinander vorbei.

Zitat:

So, nun wie kann ich denn die Meldung von "Fuzzy" in der Auswertung wegbekommen?

Solange die update.exe in deinen Starteinträgen steht, nicht. Die Frage ist: Ist update.exe schädlich, oder hängt update.exe mit deinem Patch zusammen? Fuzzy sagt: Ich weiß es nicht, aber sie könnte schädlich sein, denn sie steht in keiner Datenbank, und sie hat so'n auffälligen Namen.
Vorschlag: Deinstalliere das Programm (den Patch), von dem du sprichst, und installiere es neu. Vielleicht verschwindet dann der Eintrag, denn möglicherweise war die vorherige Installation nicht sauber.
Und wenn du von Schädlingsbefall ausgehst, dann mach einen eScan. Der findet eigentlich immer was.

Dane vorerst mal FRanz für deine Hilfe.

Also ich werde erstmal einen e-scan machen, den Report hier hinposten und dann mal hoffen ob etwas auffälliges zu finden ist. Doch das ganze erst morgen, denn soviel Zeit habeich heute dafür nich mehr

Danke nochmals für die Hilfe, we gesagt mit Heuristik und dazugehörige Felern (wens das ist) kenn ich mich echt nch besodrsaus ^^


LG