| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Alarm von a-squared, aber in Virustotal kein Fund !!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.03.2009, 17:04
| #1 |
| |  Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Menmers, wer kann mir helfen? Habe unter XP beim Scan mit a-squared verschiedene Meldungen erhalten: Virus.win32.messoum!Ik Virus.win32.patched!B.IK Trojan.win32.VB!IK Win32.Luder!Ik Win32.Sensinf!Ik Win32.Starter.A!Ik Allerdings findet Virustotal beim Scannnen der angeblich befallenen Dateien keinen Befall ! Interessanterweise auch nicht a-squared und auch nicht Ikarus. Kann mir jemand sagen, ob es sich hier um einen Fehlalarm handelt oder sich ein echter Trojaner auf meinem system eingenistet hat. Grüße und besten Dank Killtrojan Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:04:29, on 28.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\programme\a-squared free\a2service.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Dokumente und Einstellungen\Detlef\Lokale Einstellungen\Anwendungsdaten\xp-AntiSpy\xp-AntiSpy.exe C:\Programme\a-squared Free\a2free.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139139154145 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5175 bytes |
|
28.03.2009, 19:10
| #2 | |||||
  | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo und
__________________ Zitat:
Zitat:
Zitat:
Zitat:
 Zitat:
 Besuche bitte diese Seite mit dem Internet Explorer Microsoft Windows Update und installiere alle verfügbaren Updates. Arbeite aber bitte zuerst diese Anleitung ab (ohne Hijackthis) http://www.trojaner-board.de/69886-a...-beachten.html und poste die Logs hierher. MFG
__________________ |
|
29.03.2009, 11:36
| #3 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hllao Nochdigger,
__________________erstmal vielen Dank für die Antwort ! Folgende Dateien sind betroffen: C:\WINDOWS\$NtServicePackUninstall$\services.exe Quarantäne Win32.Starter.A!IK C:\WINDOWS\$NtServicePackUninstall$\sens.dll Quarantäne Win32.Sensinf!IK C:\WINDOWS\$NtServicePackUninstall$\rdshost.exe Quarantäne Win32.Luder!IK C:\WINDOWS\$NtServicePackUninstall$\osk.exe Quarantäne Virus.Win32.Luder.B!IK C:\WINDOWS\$NtServicePackUninstall$\wbemtest.exe Quarantäne Virus.Win32.Luder.B!IK [2904] C:\Programme\SpywareGuard\sgmain.exe Quarantäne Trojan.Win32.VB!IK [3100] C:\Programme\SpywareGuard\sgbhp.exe Quarantäne Trojan.Win32.VB!IK C:\Programme\SpywareGuard\sgbhp.exe Quarantäne Trojan.Win32.VB!IK [1748] C:\WINDOWS\system32\spoolsv.exe Quarantäne Virus.Win32.Patched.B!IK [1020] c:\windows\system32\dmserver.dll Quarantäne Virus.Win32.Messoum!IK [1020] c:\windows\system32\wuauserv.dll Quarantäne Virus.Win32.Messoum!IK Die Registry habe ich per XP-Antispy unterbunden ! Die Patches hatte ich eigentlich regelmäßig per Winfuture runtergeladen und installiert. Allerdings nicht IE, da ich ausschließlich per Firefox unterwegs bin. Inzwischen überlege ich, ob ich nicht einfach das System sicherheitshalber neu aufsetze ? Wenn ich C plattmache und neu aufsetze, ist dann ein auf D: installiertes Vista-Betriebssystem sauber ? Ich werde jedoch mal Deine Aufgabe an mich abarbeiten und melde mich wieder ! Grüße Killtrojan P.S. Ich habe die verdächtigen Dateien natürlich an a-squared (Emsisoft) übermittelt ! |
|
29.03.2009, 14:52
| #4 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo stell die Dateien bitte auf den Desktop wieder her und lass sie dann hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde. Lade dir bitte Malwarebytes runter und lass dein System prüfen, poste anschließend alle Logs/Ergebnisse oder Links hierher. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
29.03.2009, 23:08
| #5 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Nochdigger, leider schon etwas spät heute. Deshalb werde ich erst morgen dazu kommen. Ich habe auch auf meinem Laptop dieselben Meldungen gehabt, allerdings wurde nach einem einmaligen "in-Quarantäne-Stellen" nichts mehr gefunden. Habe mit sämtlichen Online-Scannern, Pestpatrol, Ad-Aware, meinem Kaspersky, usw. nichts mehr gefunden. Ebenso hatte ich alle angeblich befallenen Dateien bei Virustotal gescannt. Nur bei einer von ca. 8 Dateien wurde bei 1/39 Scannern ein Fund gemeldet. Alle Dateien waren interessanterweise bei Virustotal in A-Squared und Ikarus negativ, obwohl sie ja vorher bei A-Squared auf dem PC gefunden wurden. kann sich ein Trojaner nach Erstdetektion verstecken oder kann man von einer Elimination ausgehen, sofern es nicht nur ein Fehlalarm war. Gegen Fehlalarm spricht jedoch PC und Laptop Fund. Sollte ich einfach das Sytem neu aufsetzen. Sind dann die anderen Partitionen (Vista-Partition) auf der Festplatte mit befallen, oder reicht Neuinstallation von C mit Windows XP ? Danke und Gruß Killtrojan P.S. Warte gespannt, ob sich A-squared meldet, da ich ja die Dateien hochgeladen hatte. |
|
29.03.2009, 23:18
| #6 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hier der Scan von Virustotal einer ehemals angeblich befallenen Datei : Datei dmserver.dll empfangen 2009.03.30 00:14:02 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.29 - AhnLab-V3 5.0.0.2 2009.03.29 - AntiVir 7.9.0.129 2009.03.29 - Antiy-AVL 2.0.3.1 2009.03.29 - Authentium 5.1.2.4 2009.03.29 - Avast 4.8.1335.0 2009.03.29 - AVG 8.5.0.285 2009.03.29 - BitDefender 7.2 2009.03.29 - CAT-QuickHeal 10.00 2009.03.28 - ClamAV 0.94.1 2009.03.29 - Comodo 1089 2009.03.29 - DrWeb 4.44.0.09170 2009.03.29 - eSafe 7.0.17.0 2009.03.27 - eTrust-Vet 31.6.6421 2009.03.27 - F-Prot 4.4.4.56 2009.03.29 - F-Secure 8.0.14470.0 2009.03.29 - Fortinet 3.117.0.0 2009.03.29 - GData 19 2009.03.29 - Ikarus T3.1.1.48.0 2009.03.29 - K7AntiVirus 7.10.684 2009.03.28 - Kaspersky 7.0.0.125 2009.03.29 - McAfee 5568 2009.03.29 - McAfee+Artemis 5568 2009.03.29 - McAfee-GW-Edition 6.7.6 2009.03.29 - Microsoft 1.4502 2009.03.29 - NOD32 3972 2009.03.28 - Norman 6.00.06 2009.03.27 - nProtect 2009.1.8.0 2009.03.29 - Panda 10.0.0.10 2009.03.29 - PCTools 4.4.2.0 2009.03.29 - Prevx1 V2 2009.03.30 - Rising 21.22.62.00 2009.03.29 - Sophos 4.40.0 2009.03.29 - Sunbelt 3.2.1858.2 2009.03.29 - Symantec 1.4.4.12 2009.03.29 - TheHacker 6.3.3.9.296 2009.03.29 - TrendMicro 8.700.0.1004 2009.03.28 - VBA32 3.12.10.1 2009.03.29 - ViRobot 2009.3.27.1666 2009.03.27 - weitere Informationen File size: 24064 bytes MD5...: fa2d9d1a9f6b5a88d01e1685ce2378ba SHA1..: 7ff8f301cfa28329d6840f2ee958178265569400 SHA256: f792078e8ad346f55a3db77071ad12c50be19c62a39f55026811ee68ec688d2e SHA512: cb98c8251f898730aeb2d7a52392a0bcab6381fb813e729d0be8e694bdd7db61 a9f4a7f76fa2cc043292a3d1a1f88722a946ed792032fc302b5a40c9775e279d ssdeep: 384:tfMwdFCYUslqosF3SscG+stgpSCUeUzW1xcBXo/Jt10r8w4L1vR6nE7GX4D5 W0m8:tf3doYUslqosF3Sf+gp4eUzW1xcBXo/h |
|
30.03.2009, 05:07
| #7 | |||
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Zitat:
Zitat:
Zitat:
Bis die Ergebnisse von A² da sind, kannst du bitte mit Malwarebytes dein System gegenprüfen. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
30.03.2009, 09:34
| #8 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Nochdigger, danke für die schnelle Antwort. Wann allerdings schläfst Du ? Hier die Auswertung von Malwarebytes. Den Security Center hatte ich in XP-Antispy disabled. Habe dies soeben rückgängig gemacht und die Updates von Windows runtergeladen. Bisher hatte ich wie erwähnt immer die Update-Packages von Winfuture verwendet. Grüße Killtrojan Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1916 Windows 5.1.2600 Service Pack 2 30.03.2009 10:26:12 mbam-log-2009-03-30 (10-26-02).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|) Durchsuchte Objekte: 129851 Laufzeit: 38 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
30.03.2009, 16:15
| #9 | |||
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Zitat:
 (kleiner Scherz), nee ich penne meist nur so um die 6 Stunden, dann ist die Nacht vorbei.Zitat:
Traust du M$ nicht? Zitat:
Dann warten wir auf das Ergebnis von A². MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
31.03.2009, 18:57
| #10 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hi Nochdigger, bin jetzt auf aktuellstem Stand. Habe SP 3 installiert und die Updates von MS erhalten. Habe tatsächlich MS bisher nicht getraut, allerdings im Heuristic-Scan von a2 eventuell verdächtige Dateien mit einem Heuristic.Dialer.Ras!A2 festgestellt. Dies war vermutlich aus einem ServicePack von Winfuture. Somit werde ich doch lieber von MS in Zukunft updaten. Leider noch kein Ergebnis von a2 ! Werde mich wohl einfach gedulden müssen und nutze für Internet meinen cleanen PC. Grüße killtrojan |
|
05.04.2009, 17:05
| #11 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo Nochdigger, leider immer noch keine Antwort von a2, aber nie mehr irgendwas entdeckt. Habe alles mit den verschiedensten Virenscannern geprüft. Somit hoffe und vermute ich, daß es ein Fehlalarm war. Gruß Killtrojan |
|
05.04.2009, 17:24
| #12 |
| | Alarm von a-squared, aber in Virustotal kein Fund !! Hallo ich denke auch, dass es sich um Falschmeldungen handelt, damit müssen wir halt leben. Ich würde trotzdem zwischenzeitlich einen Onlinescan bei einem der "großen" Hersteller (z.B. Bitdefender, Kaspersky, Panda) machen. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
| Themen zu Alarm von a-squared, aber in Virustotal kein Fund !! |
| adobe, antivir, avira, bho, canon, dateien, download, einstellungen, explorer, fehlalarm, firefox, handel, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kein fund, microsoft, mozilla, plug-in, programme, scan, software, system, trojaner, virus, windows, windows xp |
