| |
| |||||||
Log-Analyse und Auswertung: richtig- oder falsch-positiv? kompromittiert ja oder nein?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.01.2008, 19:54
| #1 |
  |  richtig- oder falsch-positiv? kompromittiert ja oder nein? Verehrtes Forum! Ich poste erstmalig hier und habe einige miteinander zusammenhängende Fragen, die ich mit Hilfe von googl und mit der Frorums-Suchfunktion nicht beantwortet bekam: Wie kann man sicher unterscheiden, ob ein Virenbefund richtig- oder falsch-positiv ist? Muß jeder Virenfund - "Virenfund" gefixt oder sogar durch Neuinstallation beseitigt werden? Darf ich meinen online Zahlungsverkehr weiterführen? Meine Ausgangsbedingungen: Computer Pentium II, Windows Me, Internetzugang: Versatel DSL4000 Flat Browser: Firefox mit folgenden Add-ons: Adblock Plus, CookieCuller, DownThemAll!, Fasterfox, Flashblock, LinkChecker, NoScript, SpoofStick und Talkback Firewall: Sygate Virenprogramm avast Anti-Spyware-Scanner: AdAware weitere Sicherheitsprogramme: ****************, Hijackthis, MWAV-e-scan außerdem: Ccleaner Mein Problem: Ich war auf der Suche nach der Ursache, daß die DSL-Verbindung regelmäßig alle 5 bis 30 Minuten abbricht, seit ich vor 2 Jahren von T-DSL1000 auf das schnellere VersatelDSL umgestiegen bin. Außerdem laden die Internetverbindungen unterschiedlich schnell. Ich wollte wissen, ob ein Virus dahinter steckt und suchte in verschiedenen Foren nach einer Antwort. Dabei kam schnell heraus, daß ein Virencheck mit einem Scanner wenig aussagt und die Virusentfernung mit einem Remover nicht sicher sei, weil der Trojaner möglicherweise schon mehrere Hintertüren geöffnet haben und weiter Malware heruntergeladen haben könne. Also: Hijckthis. Die Logfile Auswertung war widersprüchlich: Auszug aus der Logfileauswertung C:\WINDOWS\SYSTEM\MSTASK.EXE Sehr sicher Sehr sicher Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft. ________________________________________________________________________________________________ C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE Sehr sicher Sehr sicher Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\wbem\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. ________________________________________________________________________________________________ O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ Sicher Sicher Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden. Ende des Auszugs. Auffällig ist allerdings, daß der Versatel Updater immer auf das Internet zugreifen will, solange er nicht von der Firewall daran gehindert wird. Allerdings ist er im Online-Virencheck frei von Viren. __________________________________________________________________________________________ __________________________________________________________________________________________ Wegen der Widersprüchlichkeit habe ich MWAV-e-scan laufen lassen. Siehe da: es kam schon sehr schnell die Meldung, daß ein Virus mit Namen " W32/Kraze-B " sowie einige Spywareprogrammen gefunden wurden. Siehe Auszug des Scanergebnisses: . . . . Mon Jan 07 18:43:15 2008 => Indexed Spyware Databases Successfully Created... Mon Jan 07 18:43:26 2008 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\winpopup !!! Mon Jan 07 18:43:54 2008 => Object "winpopup Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Mon Jan 07 18:43:57 2008 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!! Mon Jan 07 18:43:57 2008 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Mon Jan 07 18:44:00 2008 => Offending file found: C:\WINDOWS\TEMP\versatel\versatel\dialer\1.exe Mon Jan 07 18:44:00 2008 => System found infected with topbrowsing Adware (1.exe)! Action taken: Keine Aktion vorgenommen. Mon Jan 07 18:44:02 2008 => Offending file found: C:\WINDOWS\SYSTEM\usbmonit.exe Mon Jan 07 18:44:02 2008 => System found infected with purityscan Spyware/Adware (usbmonit.exe)! Action taken: Keine Aktion vorgenommen. Mon Jan 07 18:44:30 2008 => Checking CLSID Reference Entries... Mon Jan 07 18:44:36 2008 => Checking Module Usage Entries... Mon Jan 07 18:44:36 2008 => Checking User Trusted External App Entries... Mon Jan 07 18:44:36 2008 => Checking Shared DLL Entries... Mon Jan 07 18:44:37 2008 => Checking Installer Entries... Mon Jan 07 18:44:37 2008 => Checking Shared Tools Entries... Mon Jan 07 18:44:37 2008 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO350" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\DAO350.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Mon Jan 07 18:44:37 2008 => Checking File Extension Entries... Mon Jan 07 18:44:38 2008 => Checking Application Cache Entries... . . . . Dabei ist W32Kraze.b offenbar relativ harmlos, was immer das heißen mag, und auch nur in wenigen Virusdateien zu finden. Auch die Spywareprogramme scheinen AdAware nicht bekannt zu sein. Dagegen kam schon während des Scanvorganges das Angebot als Popup, die Malware mit der gekaufet Version von e-scan zu entfernen. _________________________________________________________________________________ Neue Entwickelung: Ich habe gerade die avast "Intensiv-"Prüfung über das Systam laufen lassen und es wurde ein Trojaner mit Namen *WIN32:AGENT PAP* gefunden und in die Quarantäne verschoben. Deieser Trojaner ist allerdings bei e-scan nicht gefunden worden. !? Ich bin bisher davon ausgegangen, daß ich kein risikobereiter Surfer bin und öffne z.B keine unbekannten e-mail-Anhänge. Möglicherweise fängt man sich ja was ein, wenn man nach Virusproblemen googelt. Also noch mal meine Frage: richtig positiv oder falsch positiv? Risiko für Online Zahlungsverkehr? Vielen Dank für Ihr Interesse und warte mit Spannung auf Ihre Stellungnahme. Viele Grüße harlud PS.: Ich wollte die kompletten Dateien von HijackThis und e-scan als Anhang schicken, die Dateien sind aber zu groß. Bei Bedarf kann ich nachliefern, wenn ich weiß, wies geht. |
| Themen zu richtig- oder falsch-positiv? kompromittiert ja oder nein? |
| .dll, adblock, application, c:\windows\temp, computer, dateisystem, dll, down, dsl, ellung, falsch positiv, falsch-positiv, firefox, frage, hijack, hijackthis, logfile, logfile auswertung, malware, maßnahme, mehrere, nicht gefunden, nicht sicher, object, popup, problem, programm, prozess, quara, registry, software, system, temp, trojaner, unterschiedlich, virus, windows, windows\temp |
Baum-Darstellung