Verehrtes Forum! Ich poste erstmalig hier und habe einige miteinander zusammenhängende Fragen, die ich mit Hilfe von googl und mit der Frorums-Suchfunktion nicht beantwortet bekam:
Wie kann man sicher unterscheiden, ob ein Virenbefund richtig- oder falsch-positiv ist?
Muß jeder Virenfund - "Virenfund" gefixt oder sogar durch Neuinstallation beseitigt werden?
Darf ich meinen online Zahlungsverkehr weiterführen?

Meine Ausgangsbedingungen:
Computer Pentium II, Windows Me,
Internetzugang: Versatel DSL4000 Flat
Browser: Firefox mit folgenden Add-ons:
Adblock Plus, CookieCuller, DownThemAll!, Fasterfox, Flashblock, LinkChecker, NoScript, SpoofStick und Talkback
Firewall: Sygate
Virenprogramm avast
Anti-Spyware-Scanner: AdAware
weitere Sicherheitsprogramme: ****************, Hijackthis, MWAV-e-scan
außerdem: Ccleaner

Mein Problem:
Ich war auf der Suche nach der Ursache, daß die DSL-Verbindung regelmäßig alle 5 bis 30 Minuten abbricht, seit ich vor 2 Jahren von T-DSL1000 auf das schnellere VersatelDSL umgestiegen bin. Außerdem laden die Internetverbindungen unterschiedlich schnell. Ich wollte wissen, ob ein Virus dahinter steckt und suchte in verschiedenen Foren nach einer Antwort. Dabei kam schnell heraus, daß ein Virencheck mit einem Scanner wenig aussagt und die Virusentfernung mit einem Remover nicht sicher sei, weil der Trojaner möglicherweise schon mehrere Hintertüren geöffnet haben und weiter Malware heruntergeladen haben könne.


Also: Hijckthis. Die Logfile Auswertung war widersprüchlich:

Auszug aus der Logfileauswertung

C:\WINDOWS\SYSTEM\MSTASK.EXE

Sehr sicher Sehr sicher

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

________________________________________________________________________________________________

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

Sehr sicher Sehr sicher

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\wbem\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

________________________________________________________________________________________________


O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/

Sicher Sicher
Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.

Ende des Auszugs.
Auffällig ist allerdings, daß der Versatel Updater immer auf das Internet zugreifen will, solange er nicht von der Firewall daran gehindert wird. Allerdings ist er im Online-Virencheck frei von Viren.
__________________________________________________________________________________________
__________________________________________________________________________________________


Wegen der Widersprüchlichkeit habe ich MWAV-e-scan laufen lassen. Siehe da: es kam schon sehr schnell die Meldung, daß ein Virus mit Namen " W32/Kraze-B " sowie einige Spywareprogrammen gefunden wurden.

Siehe Auszug des Scanergebnisses:

. . . .
Mon Jan 07 18:43:15 2008 => Indexed Spyware Databases Successfully Created...

Mon Jan 07 18:43:26 2008 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\winpopup !!!
Mon Jan 07 18:43:54 2008 => Object "winpopup Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Mon Jan 07 18:43:57 2008 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Mon Jan 07 18:43:57 2008 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Mon Jan 07 18:44:00 2008 => Offending file found: C:\WINDOWS\TEMP\versatel\versatel\dialer\1.exe
Mon Jan 07 18:44:00 2008 => System found infected with topbrowsing Adware (1.exe)! Action taken: Keine Aktion vorgenommen.

Mon Jan 07 18:44:02 2008 => Offending file found: C:\WINDOWS\SYSTEM\usbmonit.exe
Mon Jan 07 18:44:02 2008 => System found infected with purityscan Spyware/Adware (usbmonit.exe)! Action taken: Keine Aktion vorgenommen.

Mon Jan 07 18:44:30 2008 => Checking CLSID Reference Entries...
Mon Jan 07 18:44:36 2008 => Checking Module Usage Entries...
Mon Jan 07 18:44:36 2008 => Checking User Trusted External App Entries...
Mon Jan 07 18:44:36 2008 => Checking Shared DLL Entries...
Mon Jan 07 18:44:37 2008 => Checking Installer Entries...
Mon Jan 07 18:44:37 2008 => Checking Shared Tools Entries...
Mon Jan 07 18:44:37 2008 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO350" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\DAO350.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Mon Jan 07 18:44:37 2008 => Checking File Extension Entries...
Mon Jan 07 18:44:38 2008 => Checking Application Cache Entries...
. . . .


Dabei ist W32Kraze.b offenbar relativ harmlos, was immer das heißen mag, und auch nur in wenigen Virusdateien zu finden. Auch die Spywareprogramme scheinen AdAware nicht bekannt zu sein. Dagegen kam schon während des Scanvorganges das Angebot als Popup, die Malware mit der gekaufet Version von e-scan zu entfernen.

_________________________________________________________________________________

Neue Entwickelung: Ich habe gerade die avast "Intensiv-"Prüfung über das Systam laufen lassen und es wurde ein Trojaner mit Namen *WIN32:AGENT PAP* gefunden und in die Quarantäne verschoben. Deieser Trojaner ist allerdings bei e-scan nicht gefunden worden. !?


Ich bin bisher davon ausgegangen, daß ich kein risikobereiter Surfer bin und öffne z.B keine unbekannten
e-mail-Anhänge. Möglicherweise fängt man sich ja was ein, wenn man nach Virusproblemen googelt.
Also noch mal meine Frage: richtig positiv oder falsch positiv? Risiko für Online Zahlungsverkehr?

Vielen Dank für Ihr Interesse und warte mit Spannung auf Ihre Stellungnahme. Viele Grüße harlud


PS.: Ich wollte die kompletten Dateien von HijackThis und e-scan als Anhang schicken, die Dateien sind aber zu groß. Bei Bedarf kann ich nachliefern, wenn ich weiß, wies geht.

Hi,
ich vermute deine Auszüge aus dem Hijackthislog sind von der Seite Hijackthis.de?

Bei den ersten 2 Einträgen wird bemängelt, dass die Dateien statt im Ordner system32 in system liegen. Da ich dein System nicht kenne (ein Betriebssystem wär zb schön), kann ich nicht viel dazu sagen.
Ich vermute aber, dass das alles seine Ordnung hat.

Der 3. Eintrag betrifft die Startseite beim InternetExplorer, auch da seh ich keinerlei Gefahr.

Die von eScan gefundenen Dateien: usbmonit.exe, 1.exe halte ich auch für ungefährlich. usbmonit.exe dürfte folgende Datei sein: klick und die andere Datei dürfte zu Versatel gehören.
Wenn du ganz sicher gehen willst, kannst du die Datei auch bei virustotal auswerten lassen.

Könntest du bitte die genaue Meldung von Avast angeben? Wo wurde die Datei gefunden, wie heißt die Datei.

Poste bitte, den Richtlinien entsprechend, ein Hijackthislog, würde mir das gern mal ansehen.

lg myrtille

Hallo myrtille! Danke für die Antwort. Ich wollte den HijackLog und das Ergebnis von e-scan zusammen senden, da hat der Server wegen zu großer Datenmenge gestreikt. Hier die Meldung von avast von gestern und der HijackLog von heute. Und was haben die Virusmeldungen von e-scan zu bedeuten? Hat da ein Scanner irgendwelche Viren aus der Erkennungsdatei des anderen Scanners gefunden? Viele Grüße harlud

09.01.2008 18:10:42 1199898642 Harlud 4294812465 Sign of "Win32:Agent-PAP [Trj]" has been found in "c:\W9XUNDO.DAT" file.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:44, on 10.01.2008
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMME\****************\****************.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\VERSATEL\VERSATEL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Versatel.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Versatel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [****************] C:\PROGRAMME\****************\****************.EXE
O4 - HKUS\.DEFAULT\..\Run: [****************] C:\PROGRAMME\****************\****************.EXE (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O20 - Winlogon Notify: !SASWinLogon - C:\PROGRAMME\****************\SASWINLO.DLL

--
End of file - 3726 bytes

Der Onlinescanner von eScan ist bekannt für seine FalsePositives. Er arbeitet zb mit Namen, das heißt alle Dateien die "1.exe" heißen, werden als topbrowsing-adware erkannt., egal wo sich die Datei befindet. Allerdings hat der Scanner dadurch auch eine hohe Erkennungsrate.
Das Log von eScan ist immer sehr lang, dementsprechend gibt es in der Anleitung im Forum auch die find.bat um das Log zusammenzukürzen.

Das Hijackthislog sieht soweit sauber aus, allerdings kenne ich mich mit ME nicht so aus. Das Betriebssystem erklärt allerdings, dass der Ordner system und nicht system32 heißt. Die Kommentare bei Hijackthis.de beziehen sich meist auf XP.

Der Fund von Avast ist verwunderlich. Wie lange hast du Avast schon? Seit wann wird die Datei gefunden?
Lade die Datei bitte bei virustotal hoch und poste das Ergebnis mit SHA1 und MD5 hier.

Eigentlich sollte es sich um eine Systemdatei handeln (zum deinstallieren von ME), daher könnte es sich auch hier um einen FP handeln. Ich gehe in dem Fall aber lieber sicher.

lg myrtille

Hallo myrtille! Danke für die Antwort. Ich habe avast seit Nov 2007, seit Antivie den Support von Win ME eigestellt hat. Die Fehlermeldung bei avast kam erstmalig, nachdem ich den Scan mit der Einstellung "Intensiv-Prüfung" habe laufen lassen (davor immer "Standard"), also vor ca. 2 Tagen. Ich habe die angegebene Datei mit der Funktion "Suchen" nicht finden können, sie wurde ja auch gelöscht. Ich habe heute noch mal avast mit der Intensiv-Suche im abgesicherten Modus laufen lassen. Das hat ewig gedauert und ich habe bei der ca. 130000sten Datei folgrnde Fehlermeldung bekommen:

10.01.2008 23:25:20 1200003920 4294781121 Sign of "Win32:Agent-PAP [Trj]" has been found in "c:\Programme\Alwil Software\Avast4\DATA\moved\W9XUNDO.DAT.vir" file.

Die Datei ließ sich nicht verschieben, also habe ich sie gelöscht. Jetzt ist sie wieder nicht mehr auffindbar und lässt sich daher auch nicht bei virustotal auswerten. Ich glaube, daß sich da avira selber gefangen hat. Viele Grüße harlud

Ehrlich gesagt würde ich keinem Programm trauen, dass seine eigenen in Quarantäne verschobenen Dateien als Viren erkennt:

Zitat:

c:\Programme\Alwil Software\Avast4\DATA\moved

Insofern hast du ganz recht.

Das die Datei von Avast nicht gelöscht werden konnte, liegt daran, dass Avast jeglichen Zugriff von außen auf die Datei verhindert und sich selbst also auch keinen Zugriff gestattet.
(Das geschieht damit, Malware nicht einfach nach dem verschieben aus dem Quarantäneordner weiter funktionieren kann)


Die Datei ist für das deinstallieren von ME notwendig, zumindest laut google, du brauchst sie also vorher nicht.
Du solltest also zusehen, dass du vor einem Betriebssystemwechsel die Datei wiederbekommst. Sollte zb mit der Installationscd oder ähnlichem gehen, am besten suchst du dir allerdings entweder bei jemandem der sich mit ME auskennt Infos, oder schaust nochmal im Netz.
Ich kann dir dazu leider nichts sagen. Hab ME nie besessen.

lg myrtille

Hallo myrtille! Danke für die Antwort. Mein Computer ist mittlerweile 9 Jahre alt(mit einem PentiumII Prozessor), da wird ein Wechsel auf XP nicht sinnvoll sein. Leider gibt es für ME immer weniger Support, so auch von Virenscannern. Deshalb der Umstieg auf avast. Ich werde wohl in absehbarer Zeit den Computer mit geladenem Betriebssystem beerdigen müssen, weil das W9XUNDO.DAT fehlt. Solange mein Internetzugang mit Wikipedia, google und ebay noch funktioniert, möchte ich mir jedoch keinen neuen Computer kaufen, wenn die Sicherheit ausreicht. Der ganzen Diskussion habe ich bisher entnommen, daß ein Sicherheitsproblem nicht nachzuweisen ist. Vielen Dank dafür!. Trotzdem habe ich inzwischen meine Passwörter geändert. Viele Grüße harlud

Hi,
das Sicherheitsproblem besteht meines Erachtens hauptsächlich darin, dass ME auch von Windows nicht mehr unterstützt wird, das heißt, dass auch sicherheitsrelevante Updates nicht mehr für ME verfügbar sind, andererseits ist es dafür gut möglich, dass einige Viren unter ME nicht richtig funktionieren.

Ein regelmäßiges Ändern der Passwörter ist auf jeden Fall zu befürworten, bringt als "Sicherheitsmaßnahme nach einem Befall" allerdings nur dann etwas, wenn der Befall zwischendurch entfernt wurde.
Ansonsten wird das neue Passwort genauso ausgelesen, wie das alte.

Allerdings denke ich nicht, dass bei dir da derzeit ein großes Risiko besteht.

lg myrtille

Hallo myrtille! Mit einem Restrisiko muß man immer zurechtkommen.Ich kann mit dem derzeigen Restrisiko leben, wede aber weiter aufpassen und Euer Forum besuchen. Ihr habt mir jedenfalls geholfen. Danke und tschüß, harlud

harlud, wenn Du den PC behalten magst, aber ein moderneres Betriebssystem haben möchtest, denke mal an Windows 2000.

Ist schön klein, läuft sehr stabil und ist ja mittlerweile günstig zu bekommen.


myrtille hat Recht, viele Viren und Trojaner laufen auf Windows ME nicht.

Hallo Heike! Win 2000 als Alternative zu Win ME war ein guter Tip. Ich habe mir jedenfalls gerade ein Upgrade ME auf Win 2000 gekauft. Mal sehn. Gruß harlud

Hallo zusammen! Ich möchte noch den weiteren Verlauf mitteilen: Ich habe also das Windows ME mit einem Windows 2000 Updateprogramm zu Windows 2000 transformiert. Ich habe Antivir heruntergeladen, aber mich entschieden, vor dem Update erst die Windows-Patches zu laden. Ich hatte zwar die Sygate Firewall an, wusste aber nicht, welche Windows-Programme während des Updates auf meinen Computer zurückgreifen müssen. Also habe ich die Erlaubnis großzügig erteilt. Der Update dauerte ewig lange, kaum ein Fortschritt zu erkennen und in mir keimte die Frage, ob das wohl noch normal sein könne. Aber Windows ist ja eine vertrauenswürdige Website und die Patches sind riesig, müssen nicht nur heruntergeladen werden sondern auch installiert werden!. Und dann passierte es plötzlich: das noch ursprüngliche und nicht aktualisierte Antivir meldete mehrere Viren/Trojaner hintereinander und dann blieb der Computer stehen, ließ sich nicht mehr bedienen oder von CD starten, nichts. Ich habs mal mit der Knoppix CD versucht: ging gut. Die Dateien und alles waren noch da. Nur ich kann nicht Knoppix. Und wen fragen, wenn der Computer steht. Also Autonuke mit dem Programm DBAN von Diskette. Windows neu geladen, neu partitioniert, Downloads mit Antivir und Sygate und Firefox von einem Freund besorgt, zuerst Antivir aktualisiert, dann nach und nach den Internet-Explorer und die Windows Sicherheitspacks 1 bis 4 heruntergeladen. Und wieder kamen Anfragen von Sygate, ob ich mir unbekannten Programmen den Zugriff auf den Computer erlauben wolle. Musste ich wohl mit mulmigem Gefühl, damit das Update überhaupt lief. Plötzlich kam ein Popup mit der Nachricht, in meiner Registry seien 63 Fehler, die für 19 Dollar online repariert werden könnten. Das mit den Registry-Fehlern schien zu stimmen, aber was haben solche Lümmel in meiner Registry zu suchen? Eine spätere Untersuchung/Behandlung mit dem Programm registryfix scheint die Probleme behoben zu haben. Und der virusfreie Download schien diesesmal auch geklappt zu haben, jedenfalls war die Virensuche ohne Befall. Ich war jedoch die ständigen Fragen von Sygate nach Dingen leid, die ich entscheiden sollte, ohne Ahnung davon zu haben. Also ersteigerte ich einen Router der Firma Z. mit eingebauter Firewall. der ließ sich jedoch nicht installieren. Vom technischen Support der Fa. Z. kam sehr schnell die folgende Auskunft:
"Der von Ihnen angebotene Firewallrouter ist in Deutschland nicht verwendbar, weil hier nur Annex B Anschlüsse existieren, es sich bei dem Gerät aber um ein Annex A erforderndes Gerät handelt." Mittlerweile habe ich vom Computerladen um die Ecke einen passenden Router mit Firewall für Annex B (siehe Wikipedia), der nach einigen Schwierigkeiten bei der Installation läuft. Sygate ist auf " allow all" gestellt und zeichnet nur Traffic-Protokolle auf. keiner fragt unverständlichen Kram, Windows hat inzwischen weitere 61 Updates heruntergeladen und das Sytem läuft so gut wie nie!
Meine persönlich gemachte Erfahrung daraus?
Ein frisch installiertes Windows 2000 ist wie ein neugeborenes Kind: völlig schutzlos. Die Programme Firefox, Antivir und Sygate lässt man sich daher besser von einem Freund brennen und lädt sie nicht mit dem unfertigen Windows selber herunter. Eine Hardwarefirewall schont beim Download die Nerven, wenn sie denn läuft. Das Neukonfigurieren des Routers geht auch von mal zu mal schneller und ist möglicherweise wegen meiner derzeitig häufigen Wechsel zwischen den Benutzerstaten erforderlich. Gruß harlud

Hallo! Eine Korrektur: Das vorlaute Registryprogramm, welches sich plötzlich in meinem Computer betätigt hat war "Registryfix". Benutzt habe ich die Trialversion von "Regsupreme". Gruß harlud