Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: System Infiziert?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.03.2008, 18:53   #1
myrtille
/// TB-Ausbilder
 
System Infiziert? - Standard

System Infiziert?



Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen.
Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet?

Bei den weiteren Funden reagiert Kapersky über, das sind zwar berechtigte Meldungen, aber es handelt sich dabei um Vorgänge, die auch von normalen Programmen in Anspruch genommen werden.
(Etwa sendet HelpCtr.exe Informationen ans Internet, wenn du um Hilfe fragst, weil es dir weitere Artikel aus der Microsoftdatabase anbieten können will. Also: Eine Microsoftdatei kontaktiert auf deinen Wunsch hin Microsoft um dir bei Microsoft Informationen rauszusuchen. Es öffnet sich dabei nur kein Fenster in dem groß "Ich geh ins Internet steht". Das macht es nicht zu einem Trojaner.)

Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast.
Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen?

Mir fehlt das Log von "C:\", also direkt von deiner Partition, das steht auch im ursprünglichen filelist.txt drin, du hast es wahrscheinlich beim "aussortieren" der alten Einträge einfach übersehen.

bad_kitty.exe ist wahrscheinlich auch nicht infiziert, die Meldung bezieht sich nur darauf wie die Datei gepackt war...

lg myrtille

Alt 07.03.2008, 19:11   #2
cartman123
 
System Infiziert? - Standard

System Infiziert?



Zitat:
Zitat von myrtille Beitrag anzeigen
Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet?

Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast.

Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen?
1. Kaspersky hat nichts gemeldet. Aber weil mein PC ziemlich langsamer geworden ist (troz besserer CPU) hab ich jedes Programm im meinem Log-File (so 10 stück) einzeln bei Virustotal überprüft.


2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky

06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation).


3. Ich war auf der Seite weil ich ein Remove Tool für den Trojaner der in cftmon.exe sitzt downloaden wollte. Nein ich lasse mir von keinem anderen im Board helfen.

Und hier ist noch ein auszug aus Kaspersky wegen dem Selbsschutz und so.

03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2028 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:26:35 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:26:36 Der Versuch von Prozess mit PID 2356 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
03.03.2008 22:29:58 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:32:45 Die Anwendung HL2.EXE wurde verändert
03.03.2008 22:46:19 Datei C:\PROGRA~1\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
04.03.2008 00:13:11 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
04.03.2008 16:58:43 Schutz des Computers ist aktiv.
04.03.2008 16:59:42 Das Update wurde erfolgreich abgeschlossen
04.03.2008 17:00:21 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
04.03.2008 19:19:36 Das Update wurde erfolgreich abgeschlossen
04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1612 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 20:50:24 Der Versuch von Prozess mit PID 1512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
04.03.2008 20:50:32 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
05.03.2008 17:52:11 Schutz des Computers ist aktiv.
05.03.2008 17:52:43 Der Versuch von Prozess mit PID 1396 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
05.03.2008 17:52:45 Der Versuch von Prozess mit PID 3196 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
05.03.2008 17:52:45 Der Versuch von Prozess mit PID 968 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.


Hoffe du kannst damit erstmal was anfangen. Ich nicht
__________________

__________________

Alt 07.03.2008, 19:20   #3
myrtille
/// TB-Ausbilder
 
System Infiziert? - Standard

System Infiziert?



Zitat:
Zitat von cartman123 Beitrag anzeigen


2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky
Zitat:
06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation).
Deswegen hatte ich nach Combofix gefragt!
Auch hier gilt wieder: Nicht alles was als böse angezeigt wird ist auch böse! Programme die gegen Trojaner vorgehen wollen, müssen ähnlich rabiate Methoden verwenden wie die Trojaner selbst und werden deshalb oft fälschlich als bösartig erkannt.


Mit den restlichen meldungen kann ich auch nicht viel anfangen, da ich nicht genau weiß welches Programm da auf Kaspersky zugreifen will.
Das dürfte allerdings auch ncihts dramatisches gewesen sein. zB das Indizierungsprogramm von Windows, damit die Windowssuche funktioniert oder eines der Programme, die wir dich zur Kontrolle haben ausführen lassen.

lg myrtille

Mit MD5/SHA1 kann man jeder Datei eine eindeutige Zahlenfolge zuweisen. Sind die Zahlen nicht komplett identisch, dann sind auch die Dateien nicht identisch: Das ist hier der Fall, weil ich XP pro in englisch hab und du nicht. Es handelt sich in beiden Fällen aber um Zahlenfolgen, die einer legitimen Version der ctfmon.exe zugeordnet werden können.
Ich wollte damit illustrieren (weil ich weiß, dass mein Rechner sauber ist), dass eSafe sich irrt, wenn es bei der ctfmon.exe als einziger einen Trojaner entdeckt.
__________________

Alt 07.03.2008, 19:24   #4
cartman123
 
System Infiziert? - Standard

System Infiziert?



Aber der Zugriff kommt an manchen Tagen häufiger vor wie an anderen Tagen...Aber das ist ja nicht so wichtig. Mal eine kleine Frage an dich, sollte ich mit meinem Rechner besser mit eingeschränktem Benuzerkonto Surfen oder ist das übertriebener größenwahn?

Alt 07.03.2008, 19:30   #5
myrtille
/// TB-Ausbilder
 
System Infiziert? - Standard

System Infiziert?



Ein eingeschränktes Benutzerkonto kann nicht schaden.

Wobei ich hier insgesamt eher von Paranoia als von Größenwahn sprechen würde.

lg myrtille


Alt 07.03.2008, 19:34   #6
cartman123
 
System Infiziert? - Standard

System Infiziert?



Zitat:
Zitat von myrtille Beitrag anzeigen
Wobei ich hier insgesamt eher von Paranoia als von Größenwahn sprechen würde.
Okay. Danke für die ausführliche un Kompetente beratung zu meinen Fragen. Wenn du glaubst das mein System sauber ist glaub ich dir das und das Thema ist für mich Vorerst erledigt.

1000 dank myrtille
__________________
--> System Infiziert?

Alt 11.03.2008, 22:51   #7
cartman123
 
System Infiziert? - Standard

System Infiziert?



Dieses Thema kann in den Müll.

mfg cartman123
@ Admin GUA

Alt 07.03.2008, 19:11   #8
myrtille
/// TB-Ausbilder
 
System Infiziert? - Standard

System Infiziert?



Hi,
ich hab jetzt mal meine Datei hochgeladen:
ctfmon.exe

Die Datei wird ebenfalls von eSafe (und nur von eSafe! Sollte es sich wirklich um den Agent handeln, würde er auch von vielen anderen Programmen erkannt werden) als bösartig erkannt, ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.)
Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert.

lg myrtille

Alt 07.03.2008, 19:16   #9
cartman123
 
System Infiziert? - Standard

System Infiziert?



Zitat:
Zitat von myrtille Beitrag anzeigen
Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert.

lg myrtille
Danke myrtille das du mich zumindest von diesem Verdacht befreit hast.

Alt 07.03.2008, 19:20   #10
cartman123
 
System Infiziert? - Standard

System Infiziert?



Zitat:
Zitat von myrtille Beitrag anzeigen
ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.
Was hat das zu bedeuten???

Antwort

Themen zu System Infiziert?
abges, file, grund, hjt-log, infiziert, infiziert?, liebe, neuer, pc infiziert, sache, sachen, system, troja, trojaner, verdacht, virus, ziemlich




Ähnliche Themen: System Infiziert?


  1. System durch verschiedenes infiziert
    Plagegeister aller Art und deren Bekämpfung - 04.03.2014 (51)
  2. ist mein System infiziert?
    Log-Analyse und Auswertung - 08.12.2012 (22)
  3. System infiziert mit Hermes_V01: OTL-Dateien
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (2)
  4. Bundestrojaner infiziert Win XP System
    Log-Analyse und Auswertung - 02.04.2012 (3)
  5. System ist infiziert, Sie müssen bezahlen
    Log-Analyse und Auswertung - 08.03.2012 (9)
  6. Infiziert mit "System Check" - System wieder in Ordnung?
    Log-Analyse und Auswertung - 01.03.2012 (24)
  7. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  8. System wahrscheinlich immernoch infiziert?
    Log-Analyse und Auswertung - 27.09.2010 (3)
  9. system infiziert?
    Plagegeister aller Art und deren Bekämpfung - 24.05.2010 (25)
  10. Ist mein System infiziert?
    Log-Analyse und Auswertung - 28.02.2010 (9)
  11. Ist mein Vista System infiziert?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (2)
  12. Achtung Ihr System ist infiziert
    Log-Analyse und Auswertung - 25.11.2008 (0)
  13. System Infiziert, trotz HiJackthis
    Mülltonne - 16.11.2008 (0)
  14. System 32 infiziert :-(
    Plagegeister aller Art und deren Bekämpfung - 05.06.2008 (1)
  15. System Infiziert? Die Zweite.
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (4)
  16. System Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (3)
  17. System infiziert??
    Log-Analyse und Auswertung - 20.05.2007 (3)

Zum Thema System Infiziert? - Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen. Wann und was hat Kaspersky denn in der ctfmon.exe - System Infiziert?...
Archiv
Du betrachtest: System Infiziert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.