| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Demo runtergeladen - Malware-verseucht? plus Google-ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.08.2009, 16:42
| #1 |
| |  Demo runtergeladen - Malware-verseucht? plus Google-Problem Hi, ich habe da ein paar komische Probleme. Ich habe mir kürzlich eine Demo zu einem Spiel runtergeladen, und zwar hier: http://www.my-purplehills.com/portfo...f56acceb7c842f Nach der Installation meldet mein Avira, daß die Datei TurtleOdyssey3.exe heur.malware ist. Ein heuristischer Treffer wurde erzielt. Daraufhin habe ich die Datei bei Virustotal hochgeladen, und nur 2 Scanner haben etwas gemeldet: Avira und McAfee. Beide sagten heur.malware. In meinem jugendlichen Leichtsinn habe ich die Datei trotzdem ausgeführt, da ich sie direkt beim Hersteller runtergeladen habe, und dachte, das ist ungefährlich. Trotzdem bleibt die Frage, ob es auf meinem Rechner irgendwelche Unstimmigkeiten, vielleicht sogar Trojaner-Befall gibt. Ich habe in den Anhang dieses Postings daher mal die beiden Dateien gepackt, die RSIT erstellt hat. Außerdem hier noch ein Gmer-Log, das verdächtig ist: GMER 1.0.15.15020 [eoxfebulasczp0x.exe] - http://www.gmer.net Rootkit scan 2009-08-27 16:39:10 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT A88FB6EE ZwCreateKey SSDT A88FB6E4 ZwCreateThread SSDT A88FB6F3 ZwDeleteKey SSDT A88FB6FD ZwDeleteValueKey SSDT A88FB702 ZwLoadKey SSDT A88FB6D0 ZwOpenProcess SSDT A88FB6D5 ZwOpenThread SSDT A88FB70C ZwReplaceKey SSDT A88FB707 ZwRestoreKey SSDT A88FB6F8 ZwSetValueKey SSDT A88FB6DF ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- Device \Driver\iastor \Device\Ide\iaStor0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) Device \Driver\iastor \Device\Ide\IAAStorageDevice-1 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Ich habe heute nämlich noch mal einen Gmer-Scan gemacht und folgende Einträge hat er dabei nicht mehr angezeigt: Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce)) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Sind das vielleicht ganz gefährliche Rootkits, die sich jetzt sogar vor dem GMER verstecken können?  Probleme habe ich sonst aber fast keine an dem Rechner. Doch, eins. Ich nutze Firefox mit NoScript, BetterPrivacy und LinkExtend. Ich lasse generell alles sperren, auch Google, und schalte bei Bedarf frei. Wenn ich nun aber das Google-Script manuell temporär freischalte und auf der Google-Startseite einen Begriff eingebe, dann wird mein eingegebener Begriff ignoriert und durch den Suchbegriff "hp" ersetzt. Das finde ich sehr unheimlich. Wenn ich dann Firefox schließe und danach neu starte, ist das Problem wieder behoben, aber sobald das Google-Script wieder freischalte, wird mein Suchbegriff auf der Google-Startseite (und NUR da) wieder in den Suchbegriff "hp" geändert. Ein Hinweis auf Trojaner? Daher stellen sich mir die Fragen, ob diese Turtle-Odyssey3-Datei trojanerversucht sein könnte, ob meine Rsit-Logs sauber sind, ob die Einträge, die GMER am 27.8. noch gefunden hat aber heute nicht mehr, ob die bedenklich sind, und ob das mit NoScript zusammenhängende Google-Problem auf Trojaner hinweist. Über jede Hilfe von den Semi- und Voll-Profis hier würde ich mich sehr freuen. Edit: Hier noch das letzte Malwarebytes-Log: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2710 Windows 5.1.2600 Service Pack 3 28.08.2009 20:08:11 mbam-log-2009-08-28 (20-08-11).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 164701 Laufzeit: 44 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
| Themen zu Demo runtergeladen - Malware-verseucht? plus Google-Problem |
| anti-malware, avira, datei, dateien, driver, filter, firefox, folge, frage, gmer-log, gmer-scan, google, heuristischer treffer, installation, microsoft, neu, nicht mehr, rechner, registrierungsschlüssel, rootkits, rsit, scan, seite, starforce, system, temporär, version, virus, virustotal |
Baum-Darstellung