![]() |
|
Plagegeister aller Art und deren Bekämpfung: System Infiziert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() System Infiziert? Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen. Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet? Bei den weiteren Funden reagiert Kapersky über, das sind zwar berechtigte Meldungen, aber es handelt sich dabei um Vorgänge, die auch von normalen Programmen in Anspruch genommen werden. (Etwa sendet HelpCtr.exe Informationen ans Internet, wenn du um Hilfe fragst, weil es dir weitere Artikel aus der Microsoftdatabase anbieten können will. Also: Eine Microsoftdatei kontaktiert auf deinen Wunsch hin Microsoft um dir bei Microsoft Informationen rauszusuchen. Es öffnet sich dabei nur kein Fenster in dem groß "Ich geh ins Internet steht". Das macht es nicht zu einem Trojaner.) Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast. Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen? Mir fehlt das Log von "C:\", also direkt von deiner Partition, das steht auch im ursprünglichen filelist.txt drin, du hast es wahrscheinlich beim "aussortieren" der alten Einträge einfach übersehen. bad_kitty.exe ist wahrscheinlich auch nicht infiziert, die Meldung bezieht sich nur darauf wie die Datei gepackt war... lg myrtille |
![]() | #2 | |
![]() ![]() ![]() | ![]() System Infiziert?Zitat:
2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky 06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation). 3. Ich war auf der Seite weil ich ein Remove Tool für den Trojaner der in cftmon.exe sitzt downloaden wollte. Nein ich lasse mir von keinem anderen im Board helfen. Und hier ist noch ein auszug aus Kaspersky wegen dem Selbsschutz und so. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2028 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:26:35 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:26:36 Der Versuch von Prozess mit PID 2356 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:29:58 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:32:45 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:46:19 Datei C:\PROGRA~1\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 00:13:11 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 04.03.2008 16:58:43 Schutz des Computers ist aktiv. 04.03.2008 16:59:42 Das Update wurde erfolgreich abgeschlossen 04.03.2008 17:00:21 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 19:19:36 Das Update wurde erfolgreich abgeschlossen 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1612 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:24 Der Versuch von Prozess mit PID 1512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:32 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 05.03.2008 17:52:11 Schutz des Computers ist aktiv. 05.03.2008 17:52:43 Der Versuch von Prozess mit PID 1396 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 3196 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 968 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. Hoffe du kannst damit erstmal was anfangen. Ich nicht ![]()
__________________ |
![]() | #3 | |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() System Infiziert?Zitat:
![]() Auch hier gilt wieder: Nicht alles was als böse angezeigt wird ist auch böse! Programme die gegen Trojaner vorgehen wollen, müssen ähnlich rabiate Methoden verwenden wie die Trojaner selbst und werden deshalb oft fälschlich als bösartig erkannt. Mit den restlichen meldungen kann ich auch nicht viel anfangen, da ich nicht genau weiß welches Programm da auf Kaspersky zugreifen will. Das dürfte allerdings auch ncihts dramatisches gewesen sein. zB das Indizierungsprogramm von Windows, damit die Windowssuche funktioniert oder eines der Programme, die wir dich zur Kontrolle haben ausführen lassen. lg myrtille Mit MD5/SHA1 kann man jeder Datei eine eindeutige Zahlenfolge zuweisen. Sind die Zahlen nicht komplett identisch, dann sind auch die Dateien nicht identisch: Das ist hier der Fall, weil ich XP pro in englisch hab und du nicht. Es handelt sich in beiden Fällen aber um Zahlenfolgen, die einer legitimen Version der ctfmon.exe zugeordnet werden können. Ich wollte damit illustrieren (weil ich weiß, dass mein Rechner sauber ist), dass eSafe sich irrt, wenn es bei der ctfmon.exe als einziger einen Trojaner entdeckt. |
![]() | #4 |
![]() ![]() ![]() | ![]() System Infiziert? Aber der Zugriff kommt an manchen Tagen häufiger vor wie an anderen Tagen...Aber das ist ja nicht so wichtig. Mal eine kleine Frage an dich, sollte ich mit meinem Rechner besser mit eingeschränktem Benuzerkonto Surfen oder ist das übertriebener größenwahn? ![]()
__________________ http://de.youtube.com/watch?v=5O14JsggUFI |
![]() | #5 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() System Infiziert? Ein eingeschränktes Benutzerkonto kann nicht schaden. ![]() Wobei ich hier insgesamt eher von Paranoia als von Größenwahn sprechen würde. ![]() lg myrtille |
![]() | #6 | |
![]() ![]() ![]() | ![]() System Infiziert?Zitat:
![]() 1000 dank myrtille ![]() ![]()
__________________ --> System Infiziert? |
![]() | #7 |
![]() ![]() ![]() | ![]() System Infiziert? Dieses Thema kann in den Müll. ![]() mfg cartman123 @ Admin GUA
__________________ http://de.youtube.com/watch?v=5O14JsggUFI |
![]() | #8 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() System Infiziert? Hi, ich hab jetzt mal meine Datei hochgeladen: ctfmon.exe Die Datei wird ebenfalls von eSafe (und nur von eSafe! Sollte es sich wirklich um den Agent handeln, würde er auch von vielen anderen Programmen erkannt werden) als bösartig erkannt, ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.) Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert. lg myrtille |
![]() | #9 | |
![]() ![]() ![]() | ![]() System Infiziert?Zitat:
![]() ![]() ![]()
__________________ http://de.youtube.com/watch?v=5O14JsggUFI |
![]() | #10 | |
![]() ![]() ![]() | ![]() System Infiziert?Zitat:
![]()
__________________ http://de.youtube.com/watch?v=5O14JsggUFI |
![]() |
Themen zu System Infiziert? |
abges, file, grund, hjt-log, infiziert, infiziert?, liebe, neuer, pc infiziert, sache, sachen, system, troja, trojaner, verdacht, virus, ziemlich |