hier wird ja Malwarebytes oft empfohlen, ebenfalls das sofortige Löschen der Funde.

Hier mal mein Log:

Zitat:

mbam-log-7-17-2008 (00-05-42).txt
Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 71356
Scan Dauer: 7 minute(s), 34 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSys2 (Trojan.Agent) -> No action taken.
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Programme\BPK\bpk.exe (Keylogger) -> No action taken.
C:\Programme\BPK\bpkhk.dll (Keylogger) -> No action taken.
C:\Programme\BPK\bpkr.exe (Keylogger) -> No action taken.
C:\Programme\BPK\bpkwb.dll (Keylogger) -> No action taken.
C:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.

Der Keylogger ist ok, und auch WinSys2.exe ist in meinem Fall nichts schlimmes, gehört bei mir zur Grafik-Karte.
Winsys2.exe Application Error | What is WINSYS2.EXE

OK, WinSys2.exe könnte auch was weniger schönes sein, aber hier eben nicht.
Nur zur Info.

PS: XP Pro Sp2, ohne Antivirus und ohne Firewall, als Browser wird der IE7 genutzt, ja, und ich nutze immer den Admin-Account.

Zitat:

OK, WinSys2.exe könnte auch was weniger schönes sein, aber hier eben nicht.
Nur zur Info.

.. danke.

Aber woher soll das Programm auch wissen, dass Du einen Keylogger auf deinem System haben willst. Jemand anders wird der heimlich untergeschoben, der Mensch erwartet dann zu Recht, dass das Programm ihn findet. Ist also kein Fehlalarm, der Fehler ist die Aufforderung, alles löschen zu lassen. Pauschal alles löschen zu lassen, ist immer gefährlich (aber eben auch so einfach, wenn man auf einen Thread antwortet, ohne sich dabei die Mühe machen zu wollen, jeden einzelnen Fund zu recherchieren). Man muss sich schon die Liste der Funde ansehen und dann entscheiden.

Zur Funktionsweise des Programms noch dieser Thread: Malwarebytes Anti-Malware ist eine Ver...ung - Viren und andere Sicherheitsrisiken - Avira Support Forum Es wird also nur auf Namen von Dateien und Verzeichnissen geschaut. Sehr einfach, heißt aber auch Fehlalarme provozieren.

KarlKarl, ich habe doch geschrieben, der Keyloggerfund ist ok. Nur die WinSys2.exe ist der Fehlalarm.

Datei-Erkennung am Namen? Ich hätte dem Keylogger bei der Installation auch einen anderen Namen geben können, wenn er dann schon nicht mehr gemeldet wird, sehr bedenklich. Der Nutzen des Programmes ist dann nicht sehr hoch, aus meiner Sicht.

Zitat:

Zur Funktionsweise des Programms noch dieser Thread: Malwarebytes Anti-Malware ist eine Ver...ung - Viren und andere Sicherheitsrisiken - Avira Support Forum Es wird also nur auf Namen von Dateien und Verzeichnissen geschaut. Sehr einfach, heißt aber auch Fehlalarme provozieren.

das kann ich nicht bestätigen.
Hab's grade ausprobiert wie A.Novize scheinbar auch.

Zitat:

Infizierte Dateien:
C:\Dokumente und Einstellungen\Heike\Desktop\123.exe (Keylogger) -> No action taken.
C:\Programme\BPK\bpk.exe (Keylogger) -> No action taken.
C:\Programme\BPK\bpkhk.dll (Keylogger) -> No action taken.
C:\Programme\BPK\bpkr.exe (Keylogger) -> No action taken.
C:\Programme\BPK\bpkwb.dll (Keylogger) -> No action taken.
C:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.

die bpk.exe wird als 123.exe auf dem Desktop erkannt, also kann die Erkennung nicht nur nach Namen erfolgen.

Ok, das hatte ich falsch interpretiert: Hatte es so verstanden, Du wolltest sagen, dass der Keylogger für dich ok ist auf deinem System und daher fälschlich erkannt ist.

winsys2.exe: Da gibt es z.B. diese Seite. Bei Millionen von Malwaredateien die es gibt (viele davon wiederum mit Unmengen Varianten) kann selbst die größte Firma nicht mehr jede Datei tsten und analysieren, sondern ist darauf angewiesen, Informationen zu übernehmen. Gewisse Seiten im Internet halten eine Menge Falschinformationen. Bei Greatis und Prevx stolpere ich oft bei Recherchen darüber. Und da die Firmen oft noch nicht einmal Samples der Datei haben, bleibt ihnen dann garnichts anders übrig, ihre Erkennung auf dem Dateinamen aufzubauen. Wenn sie gut sind, dann schauen sie wenigstens noch, in welchem Ordner der ist (Gegenbeispiel Escan). Ich hab es ausprobiert, der Beitrag im Aviraforum ist nicht Fiktion. Leere 0-Byte-Dateien triggern den Alarm. Bei Dateien, die keinen Inhalt haben, bleibt doch nur noch, dass ihr Vorhandensein mit einem bestimmten Namen in einem bestimmten Ordner das Kriterium ist. Vielleicht nicht das einzige, um das genauer herauszubekommen müsste man den Scanner analysieren.

Folgendes passiert, wenn man erst eScan und anschließend Malwarebytes im Schnellscanmodus über den Rechner laufen lässt:

Zitat:

Malwarebytes' Anti-Malware 1.21
Datenbank Version: 966
Windows 5.1.2600 Service Pack 3

13:27:28 19.07.2008
mbam-log-7-19-2008 (13-27-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 39403
Laufzeit: 5 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

Muss ich dazusagen, dass es sich bei den gefundenen "Dateien" um Ordner handelt?

Ich bekam ebenfalls eine ähnliche Meldung wie die von myrtille beschriebene Meldung.

-------------------------------------
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 967
Windows 5.1.2600 Service Pack 3

18:47:16 19.07.2008
mbam-log-7-19-2008 (18-47-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 106782
Laufzeit: 34 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.
----------------------------

Habe anschließend entsprechend der Anleitung von Malwarebytes auf "alle entfernen" (o.ä.) gedrückt.

Ja, es sind bei mir wie bei myrtille auch Ordner -leer.
(Ich habe an irgendeinem Tag vorher eScan laufen lassen. )
Was ist zu tun?

Grüße RJB

Wenn Du, äh dein Rechner, keine anderen Beschwerden hat, nichts. Es ist glücklicherweise nur eine Simulation von Malware und keine echte.

Zitat:

Zitat von KarlKarl

Wenn Du, äh dein Rechner, keine anderen Beschwerden hat, nichts. Es ist glücklicherweise nur eine Simulation von Malware und keine echte.

bisher keine anderen Beschwerden -dann OK
Vielen Dank zunächst an KarlKarl
Frage: wie erkennt der Laie, wie ich, dass es nur eine Simulation von Malware ist und keine echte ?
Oder anders: wenn ich wieder so eine Meldung von Malwarebytes bekomme, woher weiß ich (Laie) ob echt "gefahr" oder nicht?

grüße RJB

Zitat:

Frage: wie erkennt der Laie, wie ich, dass es nur eine Simulation von Malware ist und keine echte ?

Durch näheres Analysieren der Datei, z.B. googlen oder Hochladen bei Virustotal.

Zitat:

Oder anders: wenn ich wieder so eine Meldung von Malwarebytes bekomme, woher weiß ich (Laie) ob echt "gefahr" oder nicht?

Siehe oben
Manchmal erkennt man auch anhand des Dateinamen, ob diese bewusst angelegt sind oder von einem Schadprogramm stammen.

mfg