Hallo!
war vor einiger zeit schonmal hier, da ich probleme mit einigen trojanern hatte und Neuaufsetzen musste.dies habe ich vor längerer zeit getan.nun habe ich mir Malwarebytes runtergeladen zum gelegentlichen scannen.habe es heut zum ersten mal durchlaufen lassen und beim scan fand er eine infizierte datei im programm qip.dieses hatte mir ein freund empfohlen und ich konnte es über den chip-server downloaden.habe mir also nichts dabei gedacht und das programm selbst läuft auch einwandfrei.mir ist auch nichts auffälliges beim surfen o.ä. aufgefallen.deshalb die frage, ob es nur ein fehlalarm ist, oder ob doch etwas ernsteres dahintersteckt.für hilfe wäre ich sehr dankbar.habe leider immer noch nicht viel mehr erfahrung

hier die logfile von malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

14.11.2008 21:38:23
mbam-log-2008-11-14 (21-38-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80980
Laufzeit: 38 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> No action taken.
         

und noch ein hjt-file

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:05, on 14.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\o2flash.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224616602815
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224616594425
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 5103 bytes
         

lg gagsman

Hi,

poste bitte das komplette Log: Also mitsamt der Versionsnummer und der Definitionsnummer von Malwarebytes.

Der Fehlalarm bezüglich des qip-installers sollte vor einem Monat behoben worden sein... Es wäre daher notwendig zu wissen, von wann die Defintionen de sProgramms sind.

lg myrtille

hi!
danke für deine hilfe, aber ich glaube, dass problem hat sich erledigt.ich habe "schlauerweise" den log gepostet, bevor ich auf "fehler beheben" gegangen bin.hier der tatsächliche log von malwarebytes:

[code]
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1398
Windows 5.1.2600 Service Pack 3

14.11.2008 21:38:51
mbam-log-2008-11-14 (21-38-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80980
Laufzeit: 38 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.


habe dann nochmal nachdem ich den laptop neugestartet habe einen scan durchlaufen lassen und da war wieder alles ok (hoffe ich )

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1398
Windows 5.1.2600 Service Pack 3

15.11.2008 00:41:26
mbam-log-2008-11-15 (00-41-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80957
Laufzeit: 37 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

hoffe, damit hat sich das problem erledigt?!ist den dieses qip wirklich gut, oder ist es doch sinnvoller, wieder auf icq umzusteigen?

danke nochmal

lg gagsman

ach ja, das programm habe ich ende oktober heruntergeladen, falls das hilft

bis denn.lg gagsman

Hi,

ob du lieber qip oder icq nutzt ist egal, du hast grad den uninstaller von qip gelöscht. Das kannst du jetzt eh nicht mehr entfernen.

Nein, im Ernst, ich bin eher ein Freund von alternativen Messengern wie QIP, Miranda, Pigdin und Co.

Ich würde dir empfehlen die Datei wiederherzustellen und bei der nächsten Erkennung auf "Ignore" zu klicken.. danach wird die Datei von Malwarebytes nicht mehr erkannt.

lg myrtille

Hi,

es handelt sich bei der Datei um einen Fehlalarm. Der Fehlalarm sollte mit einem der nächsten Updates behoben werden.

Also die Datei aus der Quarantäne wiederherstellen und nach den nächsten Updates von Malwarebytes nochmal kontrollieren, ob die Datei immernoch erkannt wird.

lg myrtille

Hi,

mit der Definition 1400 erhalte ich keinen Fehlalarm mehr. Wie siehts bei dir aus?

lg myrtille

hallo.sorry, war den tag unterwegs.habe Malwarebytes zwar upgedatet, aber dann ist mir aufgefallen, dass ich honk die datei in der quarantäne schon gelöscht habe
mist.dann muss ich wohl für die nächste zeit definitiv mit qip leben oder gibt es noch ne andere lösung, die datei wieder herzustellen?
lg gagsman

Zitat:

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

...Java ist veraltet, ein Update sollte durchgeführt werden...

Hi,

deswegen sollte man Dateien aus der Quarantäne nicht löschen.

Du kannst, wenn du QIP deinstallieren willst, auch einfach von Hand die Dateien und Registryeinträge löschen.
Ansonsten hilft es evtl QIP vor der Deinstallation erneut zu installieren, damit wird die Datei wieder an ihren "üblichen" Ort gepackt und du kannst anschließend problemlos deinstallieren.

Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt), alle nicht aktuelle Software bitte aktualisieren.

lg myrtille

hi

wieder was dazugelernt danke für deine tipps.werde die seite besuchen und updates machen lassen.dann noch nen schönen sonntag.

lg gagsman