Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 'EXP/MS04-028.JPEG.A' [exploit]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.02.2010, 13:33   #1
IKHG
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Gestern wollte ich eine tiff Datei mit Photoscape als jpg speichern, bekam dann folgende Meldung von Avira

Zitat:
In der Datei 'C:\Users\***\AppData\Local\Temp\Unbenannt-5.jpg'
wurde ein Virus oder unerwünschtes Programm 'EXP/MS04-028.JPEG.A' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Habe mit Avira einen Scan gemacht, wurde aber nichts gefunden. Ebenso hat auch HijackThis nichts entdecken können.
Habe Photoscape daraufhin deinstalliert und die ganze Sache mit Paint nochmal versucht. Selbes Ergebnis. Habe einzelne tiff Dateien mir Avira und Virustotal geprüft - kein Fund. Das Problem tritt nur auf wenn ich tiff Dateien als jpg speichern will. tiff in gif oder BMP ist kein Problem, auch jpg als jpg speichern funktioniert.
Gestern Abend habe ich nochmal Malwarebytes' Anti-Malware drüber laufen lassen - Kein Fund.
Habe dann heute morgen mit Samsung Recovery Solution Laufwerk C löschen, und den Anfangszustand wiederherstellen lassen. Habe dann wieder versucht eine .tiff Datei via Paint als .jpg zu speichern - unverändert. Bekomme noch immer die Warnung. Zu dem Zeitpunkt nach der Wiederherstellung hatte ich übrigens noch nicht Avira am laufen, sondern das vorinstallierte McAfee hat angeschlagen.
Habe dann gleich mit Avira einen Scan gemacht - ohne Befund

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 23. Februar 2010 10:47

Es wird nach 1265407 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.0.1 2048 Bytes 06.11.2009 06:35:56
VBASE002.VDF : 7.10.0.2 2048 Bytes 06.11.2009 06:35:58
VBASE003.VDF : 7.10.0.3 2048 Bytes 06.11.2009 06:36:02
VBASE004.VDF : 7.10.0.4 2048 Bytes 06.11.2009 06:36:04
VBASE005.VDF : 7.10.0.5 2048 Bytes 06.11.2009 06:36:08
VBASE006.VDF : 7.10.0.6 2048 Bytes 06.11.2009 06:36:12
VBASE007.VDF : 7.10.0.7 2048 Bytes 06.11.2009 06:36:16
VBASE008.VDF : 7.10.0.8 2048 Bytes 06.11.2009 06:36:18
VBASE009.VDF : 7.10.0.9 2048 Bytes 06.11.2009 06:36:22
VBASE010.VDF : 7.10.0.10 2048 Bytes 06.11.2009 06:36:30
VBASE011.VDF : 7.10.0.11 2048 Bytes 06.11.2009 06:36:34
VBASE012.VDF : 7.10.0.12 2048 Bytes 06.11.2009 06:36:38
VBASE013.VDF : 7.10.0.13 2048 Bytes 06.11.2009 06:36:40
VBASE014.VDF : 7.10.0.14 2048 Bytes 06.11.2009 06:36:44
VBASE015.VDF : 7.10.0.15 2048 Bytes 06.11.2009 06:36:46
VBASE016.VDF : 7.10.0.16 2048 Bytes 06.11.2009 06:36:48
VBASE017.VDF : 7.10.0.17 2048 Bytes 06.11.2009 06:36:50
VBASE018.VDF : 7.10.0.18 2048 Bytes 06.11.2009 06:36:54
VBASE019.VDF : 7.10.0.19 2048 Bytes 06.11.2009 06:36:56
VBASE020.VDF : 7.10.0.20 2048 Bytes 06.11.2009 06:36:58
VBASE021.VDF : 7.10.0.21 2048 Bytes 06.11.2009 06:37:00
VBASE022.VDF : 7.10.0.22 2048 Bytes 06.11.2009 06:37:04
VBASE023.VDF : 7.10.0.23 2048 Bytes 06.11.2009 06:37:06
VBASE024.VDF : 7.10.0.24 2048 Bytes 06.11.2009 06:37:10
VBASE025.VDF : 7.10.0.25 2048 Bytes 06.11.2009 06:37:12
VBASE026.VDF : 7.10.0.26 2048 Bytes 06.11.2009 06:37:14
VBASE027.VDF : 7.10.0.27 2048 Bytes 06.11.2009 06:37:16
VBASE028.VDF : 7.10.0.28 2048 Bytes 06.11.2009 06:37:18
VBASE029.VDF : 7.10.0.29 2048 Bytes 06.11.2009 06:37:20
VBASE030.VDF : 7.10.0.30 2048 Bytes 06.11.2009 06:37:22
VBASE031.VDF : 7.10.0.33 2048 Bytes 06.11.2009 06:37:24
Engineversion : 8.2.1.59
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 08.11.2009 06:38:48
AESCN.DLL : 8.1.2.5 127346 Bytes 08.11.2009 06:38:46
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.2 479604 Bytes 08.11.2009 06:38:42
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.178 2093431 Bytes 08.11.2009 06:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 08.11.2009 06:38:30
AEGEN.DLL : 8.1.1.71 364916 Bytes 08.11.2009 06:38:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.8.2 184694 Bytes 08.11.2009 06:38:24
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Dienstag, 23. Februar 2010 10:47

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '13654' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPNOT~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McNASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSCKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcmscsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rezip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OberonGameConsoleService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msksrver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mcshield.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McSACore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '62' Prozesse mit '62' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '26' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <DRIVE_D>


Ende des Suchlaufs: Dienstag, 23. Februar 2010 11:22
Benötigte Zeit: 35:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

20266 Verzeichnisse wurden überprüft
262808 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
262806 Dateien ohne Befall
2336 Archive wurden durchsucht
2 Warnungen
2 Hinweise
13654 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Hijackthis war auch wieder Ergebnislos

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:34, on 23.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\windows\system32\taskeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
C:\windows\system32\taskhost.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\PROGRA~1\samsung\SAMSUN~2\SUPNOT~1.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - C:\Program Files\McAfee\MSK\MskAPBho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{40B2D3C8-BFA2-4791-B607-F686A35B4E27}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Oberon Media Game Console service (OberonGameConsoleService) - Unknown owner - C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe
O23 - Service: Rezip - Unknown owner - C:\windows\SYSTEM32\Rezip.exe

--
End of file - 6257 bytes


Malwarebytes' Anti-Malware konnte ebenso nichts finden.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3779
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23.02.2010 13:07:25
mbam-log-2010-02-23 (13-07-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 219135
Laufzeit: 44 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Gestern habe ich auch im abgesicherten Modus mit Avira suchen lassen, nichts gefunden.
Die Bilder habe ich übrigens selber geschossen, mit CS3 bearbeitet und dann per USB Stick auf mein Notebook gebracht... falls das wichtig sein sollte.
Der Stick war auch angeschlossen als ich Malwarebytes' Anti-Malware suchen ließ - hat nichts finden können.

Alt 23.02.2010, 15:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Hallo und

Werte mal so eine angebliche virulente .jpg bei Virustotal.com aus und poste den Ergebnislink.

Zitat:
Die Bilder habe ich übrigens selber geschossen, mit CS3 bearbeitet
Was sind das für Versionen von CS3 und Photoscape? Ist das ein Bürorechner? Eine Adobe-CS3-Lizenz ist nämlich nicht gerade billig,...
__________________

__________________

Alt 23.02.2010, 16:01   #3
IKHG
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Wenn ich eine tiff als jpg speichern will bekomm ich neben der Warnung von Antivir noch eine Fehlermeldung

Zitat:
D:\TIFF\Unbenannt-1.tiff
Diese Datei kann nicht gespeichert werden.
Der Speichervorgang wurde unterbrochen. Die Datei wurde nicht gespeichert.
Habe dann auf dem Desktop sozusagen eine leere jpg Datei die bei Virustotal auch nicht angezeigt wird.

Photoscape habe ich schonwieder deinstalliert, und CS3 gehört nicht mir. Befindet sich auf einem Privat Rechner.

Habe eben nochmal mit dem symantec check mein System geprüft - Nichts gefunden.

Edit

Habe jetzt mal die Tiff als PNG gespeichert, und dann als Jpg. Funktionierte problemlos.
__________________

Geändert von IKHG (23.02.2010 um 16:10 Uhr)

Alt 23.02.2010, 16:11   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Zitat:
D:\TIFF\Unbenannt-1.tiff
Diese Datei kann nicht gespeichert werden.
na ist doch logisch warum, AntiVir verweigert ja auch den Zugriff auf die Datei. Ignorier die Meldung mal und werte die Datei bei Virustotal.com aus.

Zitat:
und CS3 gehört nicht mir.
Sach nicht, dass es ne gecrackte Version ist
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.02.2010, 16:18   #5
IKHG
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Habe die Meldung ignoriert, Datei wird trotzdem nicht gespeichert.

Nein, ist keine gecrackte Version.


Alt 23.02.2010, 16:57   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Dann deaktiviere den Virenscanner.
__________________
--> 'EXP/MS04-028.JPEG.A' [exploit]

Alt 23.02.2010, 17:03   #7
IKHG
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Oh man... ich sitz schon zu lang vor der Kiste.
Virenscanner habe ich deaktiviert, als ich die jpg speichern wollte kam wieder diese Meldung -

Zitat:
D:\TIFF\Unbenannt-2.tiff
Diese Datei kann nicht gespeichert werden.
Der Speichervorgang wurde unterbrochen. Die Datei wurde nicht gespeichert.

Alt 23.02.2010, 23:02   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
'EXP/MS04-028.JPEG.A' [exploit] - Standard

'EXP/MS04-028.JPEG.A' [exploit]



Zitat:
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
Da ist ja auch noch McAfee aktiv
Deinstallieren! zwei Virenscanner mit hintergrundwächter bringen Probleme! (Eine Ausnahme ist Malwarebytes, das wurde für Parallelbetrieb konzipiert)
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu 'EXP/MS04-028.JPEG.A' [exploit]
0 bytes, 1.exe, antivir, antivir guard, audiodg.exe, avgnt.exe, bho, ccc.exe, desktop, dwm.exe, firefox, hijack, hijackthis, internet, internet explorer, laufwerk c, local\temp, malwarebytes' anti-malware, menu.exe, mom.exe, mozilla, msiexec.exe, nt.dll, phishing, problem, programm, prozesse, realtek, registrierungsschlüssel, registry, rundll, scan, sched.exe, siteadvisor, software, stick, suchlauf, svchost.exe, taskhost.exe, usb, versteckte objekte, verweise, virus, virus gefunden, windows




Ähnliche Themen: 'EXP/MS04-028.JPEG.A' [exploit]


  1. Windows 8.1 mit Bing (Laptop) : Avira findet den Virus 'EXP/MS04-028.JPEG.A' [exploit] in der Datei C:\Users\...\TranscodedWallpaper
    Log-Analyse und Auswertung - 22.10.2015 (7)
  2. 'EXP/MS04-028.JPEG.A' [exploit] gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.03.2014 (18)
  3. Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen
    Log-Analyse und Auswertung - 18.07.2012 (3)
  4. Avria findet EXP/MS04-028.JPEG.A
    Log-Analyse und Auswertung - 21.05.2012 (1)
  5. EXP/MS04-028.JPEG.A! - Fehlalarm oder gefährlich?
    Log-Analyse und Auswertung - 21.12.2011 (1)
  6. Infizierung durch .jpeg- Datei?
    Plagegeister aller Art und deren Bekämpfung - 10.11.2011 (1)
  7. EXP/MS04-028.JPEG.A Avira Fehlalarm?
    Log-Analyse und Auswertung - 19.09.2011 (5)
  8. wo werden .jpeg/.avi etc. icons gespeichert?
    Alles rund um Windows - 21.07.2009 (1)
  9. EXP/Exploit.MS04-28.JPEG.A beim Drehen von Bildern
    Log-Analyse und Auswertung - 10.12.2008 (8)
  10. Jpeg zu BMP umformen
    Alles rund um Windows - 17.08.2006 (7)
  11. JPEG.MS05-036!Exploit!Trojan
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (11)
  12. TR/Exploit.MS04-28.JPEG.A
    Antiviren-, Firewall- und andere Schutzprogramme - 11.07.2005 (6)
  13. Bilder vom Trojanische Pferd TR/Exploit.JPEG.C befallen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (9)
  14. erste Jpeg-Trojaner??
    Log-Analyse und Auswertung - 27.11.2004 (40)
  15. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)
  16. Microsoft Security Bulletin MS04-025
    Alles rund um Windows - 31.07.2004 (1)

Zum Thema 'EXP/MS04-028.JPEG.A' [exploit] - Gestern wollte ich eine tiff Datei mit Photoscape als jpg speichern, bekam dann folgende Meldung von Avira Zitat: In der Datei 'C:\Users\***\AppData\Local\Temp\Unbenannt-5.jpg' wurde ein Virus oder unerwünschtes Programm 'EXP/MS04-028.JPEG.A' [exploit] - 'EXP/MS04-028.JPEG.A' [exploit]...
Archiv
Du betrachtest: 'EXP/MS04-028.JPEG.A' [exploit] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.