Virenfund heute - Avira hat keine Infos dazu

MightyMarc · 21.07.2008, 21:28

Suche per Windowssuchfunktion die Datei "48fc787f.qua", lade diese bei virustotal.com hoch, lasse sie prüfen und poste den vollständigen Scanreport hier.

%ComSpec%

bertlchen · 21.07.2008, 21:36

Danke werde ich sofort machen!
Am Logfile was zu erkennen?

MightyMarc · 21.07.2008, 21:53

Zitat:

Zitat von bertlchen

Am Logfile was zu erkennen?

Ja, dass bei Dir alles im Autostart hängt was nicht rechtzeitig die Flucht ergreifen konnte.
Der Autostarteintrag der von Avira gefundenen Schädlings ist noch da und zwei drei Einträge deren Herkunft mir nicht klar ist:

Code:

ATTFilter

C:\APPS\PB_TB\EULALauncher.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe

%ComSpec%

bertlchen · 21.07.2008, 22:44

Ok, was kann ich gegen das Autostart-Problem tun?
Suche nach der Datei läuft immer noch, poste sobald ich was habe.
Was soll ich mit den von Dir angesprochenen Einträgen tun?
Sorry aber ich bin echt kein Profi!

bertlchen · 22.07.2008, 00:08

Zitat:

Zitat von %ComSpec%

Suche per Windowssuchfunktion die Datei "48fc787f.qua", lade diese bei virustotal.com hoch, lasse sie prüfen und poste den vollständigen Scanreport hier.

%ComSpec%

So habe jetzt diese Datei an virustotal.com gesendet und hier ist das Ergebnis:

Datei 48fc787f.qua empfangen 2008.07.22 01:00:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/34 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 -
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 -
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.22 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
weitere Informationen
File size: 20758 bytes
MD5...: 634326f4d5474532589dac7e9f6982c7
SHA1..: 5a6162d9586122f35510d7dd9c39d5cd00d4f126
SHA256: bcab538bc983b704c05f3349ca960d9c37ffcf1e92ecf5b69d804a344035c7dc
SHA512: 97ebce95bb36705276c5749f4b648d5df92313300ff860fe1a2853c9b6666a93
a3ad4abe7c81a757f6581fdbb5bbb4c0c411083d4ee7c0cb18e7e97d8446da0a
PEiD..: -
PEInfo: -

Jetzt habe ich im Ordner wo sich diese Datei befand noch zwei weitere entdeckt und habe diese ebenfalls überprüfen lassen:

Datei 48b484e9.qua empfangen 2008.07.22 01:05:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/34 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 -
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 -
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.22 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
weitere Informationen
File size: 20898 bytes
MD5...: bc3e0c5c2b715cb558c120556c578e2c
SHA1..: 0ebadf52e05b701e9dd27729a6a55d66676d7524
SHA256: 48b7de413db06b24ea1a4d32a06c82a12c62d03f031defd7e384069c1de3eee1
SHA512: 7e1f4d590cdc53fd7267114a532097ca6c431f42427b203c34a4ec1f9202abd8
1630b7c6d6b5f43c59646fab90f032a153945b0ce4a32ab42a701d931561de6a
PEiD..: -
PEInfo: -

Datei 46e477da.qua empfangen 2008.07.22 01:06:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/34 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 -
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 -
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.22 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
weitere Informationen
File size: 214554 bytes
MD5...: 7d690012a4221e3a60ba5796223cc5f4
SHA1..: b029edc929a37722ffbf3fa8f3b2be669d17cbf6
SHA256: 3aadc1042d1a92692c5f297c2b8d278c670742d26804ebf9576c8780a606d83e
SHA512: c4476c822a23bb319a2a87a8f174b1bcf765834cc6836f9dd39e47236155ab0e
0a6f816e19b78f700d7c744754d2639dd4ffde2f41fdabce2b4a709711327518
PEiD..: -
PEInfo: -

Was muß oder kann ich jetzt machen?
Danke für die Hilfe ;-)

bertlchen · 22.07.2008, 00:22

Diese Dateien sind folgendes:

C:\APPS\PB_TB\EULALauncher.exe - Der Prozess gehört zur Software unbekannt der Firma Fujitsu-Siemens.

C:\APPS\SMP\SmpSys.exe - Der SmpSys.exe Prozess gehört zur Software Setup my PC oder SMP der Firma Packard Bell BV.

C:\WINDOWS\tsnpstd3.exe - gehört zur Webcam

C:\WINDOWS\vsnpstd3.exe - gehört zur Webcam

Habe ich von file.net.

bertlchen · 22.07.2008, 00:58

So hab jetzt auch noch mal Malwarebytes laufen lassen.
Es wurde eine infizierte Datei entdeckt.

Im folgenden das Protokoll:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 976
Windows 5.1.2600 Service Pack 2

01:57:22 22.07.2008
mbam-log-7-22-2008 (01-57-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 126159
Laufzeit: 2 hour(s), 56 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

MightyMarc · 22.07.2008, 01:14

Ich bin etwas unschlüssig was diese Datei angeht. Es besteht die Möglichkeit, dass diese zu einer Ho Chi Mingh Webcam gehört. Es kann sich dabei aber auch um Schadsoftware handeln. Das Web ist sich da auch nicht einig und Informationen zu einer Datei mit dem gleichen MD5-Hash habe ich nicht gefunden.

An dieser Stelle sollte mal einer der Regulars übernehmen, die geübter sind in der Bewertung solcher Geschichten. Ich persönlich vermute einen Fehlalarm von Avira aber auf ein Bauchgefühl sollte man sich bei sowas nicht verlassen.

%ComSpec%

bertlchen · 22.07.2008, 01:21

Danke für die Antwort!
Hast Du die ganzen vorigen Posts von mir gelesen,
ist da noch etwas anderes was beachtet werden muß?
Und was soll ich mit den von Dir erwähnten AutoStart-Problem machen?

MightyMarc · 22.07.2008, 02:39

Zitat:

Zitat von bertlchen

Hast Du die ganzen vorigen Posts von mir gelesen,
ist da noch etwas anderes was beachtet werden muß?
Und was soll ich mit den von Dir erwähnten AutoStart-Problem machen?

Erstmal muss geklärt werden, wie der Zustand Deines Systems ist. Der Rogue-Installer - sofern es wirklich einer war - ist nichts wildes. Aktiv war er wohl nicht sonst hättest Du jetzt schön viel Bling Bling auf Deinem Bildschirm. Die erste bemängelte Datei eghört wohl zu einer chinesischen Billigwebcam und was auch immer in der Systemwiederherstellung steckt scheint erstens unbedenklich zu sein und ist zweitens leicht zu entfernen (Systemwiederherstellung deaktvieren und wieder aktivieren).

Jetzt warte erstmal bis jemand Dein System begutachtet hat und dann kümmern wir uns um Deine ellenlange Autostartliste.

%ComSpec%

bertlchen · 22.07.2008, 17:22

Habe heute morgen sofort nochmal Virenscan gemacht,
dort erschien TR/TrashGen., wurde in die Quarantäne verschoben.
Hab mit CC-Cleaner alles geputzt, Computer läuft schneller
und beim neuerlichen Scan ist nix mehr gefunden worden.
An wen soll ich mich wenden, um das System mal anschauen zu lassen?

Virenfund heute - Avira hat keine Infos dazu

Plagegeister aller Art und deren Bekämpfung: Virenfund heute - Avira hat keine Infos dazu