Hi, ich habe da ein paar komische Probleme. Ich habe mir kürzlich eine Demo zu einem Spiel runtergeladen, und zwar hier:
http://www.my-purplehills.com/portfo...f56acceb7c842f

Nach der Installation meldet mein Avira, daß die Datei TurtleOdyssey3.exe heur.malware ist. Ein heuristischer Treffer wurde erzielt. Daraufhin habe ich die Datei bei Virustotal hochgeladen, und nur 2 Scanner haben etwas gemeldet: Avira und McAfee. Beide sagten heur.malware.

In meinem jugendlichen Leichtsinn habe ich die Datei trotzdem ausgeführt, da ich sie direkt beim Hersteller runtergeladen habe, und dachte, das ist ungefährlich. Trotzdem bleibt die Frage, ob es auf meinem Rechner irgendwelche Unstimmigkeiten, vielleicht sogar Trojaner-Befall gibt. Ich habe in den Anhang dieses Postings daher mal die beiden Dateien gepackt, die RSIT erstellt hat.

Außerdem hier noch ein Gmer-Log, das verdächtig ist:

GMER 1.0.15.15020 [eoxfebulasczp0x.exe] - http://www.gmer.net
Rootkit scan 2009-08-27 16:39:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT A88FB6EE ZwCreateKey
SSDT A88FB6E4 ZwCreateThread
SSDT A88FB6F3 ZwDeleteKey
SSDT A88FB6FD ZwDeleteValueKey
SSDT A88FB702 ZwLoadKey
SSDT A88FB6D0 ZwOpenProcess
SSDT A88FB6D5 ZwOpenThread
SSDT A88FB70C ZwReplaceKey
SSDT A88FB707 ZwRestoreKey
SSDT A88FB6F8 ZwSetValueKey
SSDT A88FB6DF ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

Device \Driver\iastor \Device\Ide\iaStor0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\iastor \Device\Ide\IAAStorageDevice-1 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Ich habe heute nämlich noch mal einen Gmer-Scan gemacht und folgende Einträge hat er dabei nicht mehr angezeigt:
Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Sind das vielleicht ganz gefährliche Rootkits, die sich jetzt sogar vor dem GMER verstecken können?

Probleme habe ich sonst aber fast keine an dem Rechner. Doch, eins. Ich nutze Firefox mit NoScript, BetterPrivacy und LinkExtend. Ich lasse generell alles sperren, auch Google, und schalte bei Bedarf frei. Wenn ich nun aber das Google-Script manuell temporär freischalte und auf der Google-Startseite einen Begriff eingebe, dann wird mein eingegebener Begriff ignoriert und durch den Suchbegriff "hp" ersetzt. Das finde ich sehr unheimlich. Wenn ich dann Firefox schließe und danach neu starte, ist das Problem wieder behoben, aber sobald das Google-Script wieder freischalte, wird mein Suchbegriff auf der Google-Startseite (und NUR da) wieder in den Suchbegriff "hp" geändert. Ein Hinweis auf Trojaner?

Daher stellen sich mir die Fragen, ob diese Turtle-Odyssey3-Datei trojanerversucht sein könnte, ob meine Rsit-Logs sauber sind, ob die Einträge, die GMER am 27.8. noch gefunden hat aber heute nicht mehr, ob die bedenklich sind, und ob das mit NoScript zusammenhängende Google-Problem auf Trojaner hinweist. Über jede Hilfe von den Semi- und Voll-Profis hier würde ich mich sehr freuen.

Edit:
Hier noch das letzte Malwarebytes-Log:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2710
Windows 5.1.2600 Service Pack 3

28.08.2009 20:08:11
mbam-log-2009-08-28 (20-08-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 164701
Laufzeit: 44 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und

Also die heuristischen Treffer liegen wohl damit zusammen - da dein Antiviren Programm bestimmte Programmstrukturen wie der einer Malware erkennt.

Meist liegt das damit zusammen wenn man Avira auf einer hohen Heuristikstufe ausführt - meist kommen dann solche Dinger zustande.

Wenn du Software o.ä. auf der Herstellerseite oder seriösen Seiten runterlädst - besteht keine Gefahr, dass du dir etwas eingefangen hast ;o)

Allerdings finde ich diese 2 Einträge bei HJT ziemlich komisch.

Code: Alles auswählenAufklappen

ATTFilter

 C:\Dokumente und Einstellungen\Vanessa\Desktop\dasgutersit.exe
	
C:\Programme\Trend Micro\nugebuge\Vanessa.exe
         

Hallo,

vielen Dank für die Antwort, das beruhigt mich ein bisschen.

Zu den Hijack-This-Einträgen:
C:\Dokumente und Einstellungen\Vanessa\Desktop\dasgutersit.exe
Das ist das Programm RSIT, das ich zur Sicherheit umbenannt hatte.


C:\Programme\Trend Micro\nugebuge\Vanessa.exe
Das ist das Programm HijackThis. Ich hatte das zur Sicherheit in nugebuge.exe umbenannt. Als Vanessa bin ich angemeldet und RSIT hat komischerweise eine weitere HijackThis-Ausführungsdatei unter dem Namen Vanessa.exe erstellt, anstatt die nugebuge.exe zu verwenden. Ist das verdächtig?

Und wie sieht es sonst aus, sind die GMER-Sachen mit fltmgr verdächtig, die plötzlich nicht mehr da sind? Und am unheimlichsten finde ich immer noch die Sache mit Google, NoScript und den Suchbegriffen, die selbstständig in den Begriff "HP" verändert werden, wenn die das Scipt von Google.de mit NoScirpt erlaube.

Hallo,

Die 2 Einträge die bei GMER nicht mehr auftauchen deuten wohl eher auf einen USB-Stick hin und nicht auf ein Rootkit

Und fltmgr.sys führt Systemfunktionen auf niedriger Hardware-Ebene aus (z.B. zur Ansteuerung von Grafikkarte oder Drucker)

Bei dem Problem mit den Suchbegriffen kann ich dir leider nicht weiterhelfen.
Da würde mir nur eine Neuinstallation von FireFox in den Sinn kommen - oder NoScript ganz entfernen.

Hallo

Zitat:

Die 2 Einträge die bei GMER nicht mehr auftauchen deuten wohl eher auf einen USB-Stick hin und nicht auf ein Rootkit

die beiden Einträge aus GMER dürften von einem Kopierschutz stammen, der sich
StarForce nennt und mit allergrößter Wahrscheinlichkeit zu dem Spiel FrontLine gehört.

MFG

Total nett, daß ihr mir da weitergeholfen habt. Wenn das RSIT sonst gut aussieht, ist sonst eigentlich auch alles geklärt, oder? Oder ist da noch was komisch in Rsit-Log und der Rsit-Info-Datei? Irgendwas, was nicht drin sein sollte? 4 Mal ctfmon kommt mir z.B. komisch vor, darf man das auch löschen oder fährt Windows dann nicht mehr hoch? Und sonst noch was Komisches da drin? Xpnetdiag vielleicht? Das war nach Installation von Service Pack 3 plötzlich einfach da drin...

Bei dem Problem mit dem "HP" bei der Google-Suche bin ich jedenfalls weiter gekommen: Als ich NoScript komplett deaktiviert habe, war das Problem mit dem veränderten Suchbegriff auf der Google-Startseite dauerhaft da. Alles, was ich auf der Google-Startseite als Suchbegriff eingegeben habe, wurde anschließend bei der Suche in "HP" verändert. Daraufhin habe ich das Firefox-Addon "LinKExtend" deaktiviert und der Fehler mit "HP" war behoben. Er trat gar nicht mehr auf?

Aber was bedeutet das jetzt? Hat "LinkExtend" einen Bug? Oder ist "LinkExtend" bei mir womöglich trojanerverseucht? Ich hab mal was von DNS-Changer gehört, hat das damit zu tun? Sollte ich LinkExtend besser abschalten, da es gefährlich sein könnte? Jede weitere Hilfe ist willkommen und für die bisherige Hilfe bin ich äusserst dankbar.

ctfmon.exe ist eine Art alternative Benutzereingabe Tool.

Bremst aber nur ältere Systeme merklich aus.
Wenn du es aber gerne löschen möchtest - dann mit dem Tool CTFMON Remover
Ansonsten gibts nix mehr zu beanstanden ;o)

Vielen lieben Dank für die Hilfe, hat mich sehr gefreut. Ctfmon kommt dann noch weg.