Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Demo runtergeladen - Malware-verseucht? plus Google-Problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.08.2009, 16:42   #1
Bärenmama
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Hi, ich habe da ein paar komische Probleme. Ich habe mir kürzlich eine Demo zu einem Spiel runtergeladen, und zwar hier:
http://www.my-purplehills.com/portfo...f56acceb7c842f

Nach der Installation meldet mein Avira, daß die Datei TurtleOdyssey3.exe heur.malware ist. Ein heuristischer Treffer wurde erzielt. Daraufhin habe ich die Datei bei Virustotal hochgeladen, und nur 2 Scanner haben etwas gemeldet: Avira und McAfee. Beide sagten heur.malware.

In meinem jugendlichen Leichtsinn habe ich die Datei trotzdem ausgeführt, da ich sie direkt beim Hersteller runtergeladen habe, und dachte, das ist ungefährlich. Trotzdem bleibt die Frage, ob es auf meinem Rechner irgendwelche Unstimmigkeiten, vielleicht sogar Trojaner-Befall gibt. Ich habe in den Anhang dieses Postings daher mal die beiden Dateien gepackt, die RSIT erstellt hat.

Außerdem hier noch ein Gmer-Log, das verdächtig ist:

GMER 1.0.15.15020 [eoxfebulasczp0x.exe] - http://www.gmer.net
Rootkit scan 2009-08-27 16:39:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT A88FB6EE ZwCreateKey
SSDT A88FB6E4 ZwCreateThread
SSDT A88FB6F3 ZwDeleteKey
SSDT A88FB6FD ZwDeleteValueKey
SSDT A88FB702 ZwLoadKey
SSDT A88FB6D0 ZwOpenProcess
SSDT A88FB6D5 ZwOpenThread
SSDT A88FB70C ZwReplaceKey
SSDT A88FB707 ZwRestoreKey
SSDT A88FB6F8 ZwSetValueKey
SSDT A88FB6DF ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

Device \Driver\iastor \Device\Ide\iaStor0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\iastor \Device\Ide\IAAStorageDevice-1 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Ich habe heute nämlich noch mal einen Gmer-Scan gemacht und folgende Einträge hat er dabei nicht mehr angezeigt:
Device \Driver\usbstor \Device\00000068 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\0000006b sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Sind das vielleicht ganz gefährliche Rootkits, die sich jetzt sogar vor dem GMER verstecken können?

Probleme habe ich sonst aber fast keine an dem Rechner. Doch, eins. Ich nutze Firefox mit NoScript, BetterPrivacy und LinkExtend. Ich lasse generell alles sperren, auch Google, und schalte bei Bedarf frei. Wenn ich nun aber das Google-Script manuell temporär freischalte und auf der Google-Startseite einen Begriff eingebe, dann wird mein eingegebener Begriff ignoriert und durch den Suchbegriff "hp" ersetzt. Das finde ich sehr unheimlich. Wenn ich dann Firefox schließe und danach neu starte, ist das Problem wieder behoben, aber sobald das Google-Script wieder freischalte, wird mein Suchbegriff auf der Google-Startseite (und NUR da) wieder in den Suchbegriff "hp" geändert. Ein Hinweis auf Trojaner?

Daher stellen sich mir die Fragen, ob diese Turtle-Odyssey3-Datei trojanerversucht sein könnte, ob meine Rsit-Logs sauber sind, ob die Einträge, die GMER am 27.8. noch gefunden hat aber heute nicht mehr, ob die bedenklich sind, und ob das mit NoScript zusammenhängende Google-Problem auf Trojaner hinweist. Über jede Hilfe von den Semi- und Voll-Profis hier würde ich mich sehr freuen.

Edit:
Hier noch das letzte Malwarebytes-Log:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2710
Windows 5.1.2600 Service Pack 3

28.08.2009 20:08:11
mbam-log-2009-08-28 (20-08-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 164701
Laufzeit: 44 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Angehängte Dateien
Dateityp: txt log.txt (55,9 KB, 283x aufgerufen)
Dateityp: txt info.txt (18,5 KB, 413x aufgerufen)

Alt 31.08.2009, 17:43   #2
DeeWayne
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Hallo und

Also die heuristischen Treffer liegen wohl damit zusammen - da dein Antiviren Programm bestimmte Programmstrukturen wie der einer Malware erkennt.

Meist liegt das damit zusammen wenn man Avira auf einer hohen Heuristikstufe ausführt - meist kommen dann solche Dinger zustande.

Wenn du Software o.ä. auf der Herstellerseite oder seriösen Seiten runterlädst - besteht keine Gefahr, dass du dir etwas eingefangen hast ;o)

Allerdings finde ich diese 2 Einträge bei HJT ziemlich komisch.

Code:
ATTFilter
 C:\Dokumente und Einstellungen\Vanessa\Desktop\dasgutersit.exe
	
C:\Programme\Trend Micro\nugebuge\Vanessa.exe
         
__________________

__________________

Alt 31.08.2009, 17:56   #3
Bärenmama
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Hallo,

vielen Dank für die Antwort, das beruhigt mich ein bisschen.

Zu den Hijack-This-Einträgen:
C:\Dokumente und Einstellungen\Vanessa\Desktop\dasgutersit.exe
Das ist das Programm RSIT, das ich zur Sicherheit umbenannt hatte.


C:\Programme\Trend Micro\nugebuge\Vanessa.exe
Das ist das Programm HijackThis. Ich hatte das zur Sicherheit in nugebuge.exe umbenannt. Als Vanessa bin ich angemeldet und RSIT hat komischerweise eine weitere HijackThis-Ausführungsdatei unter dem Namen Vanessa.exe erstellt, anstatt die nugebuge.exe zu verwenden. Ist das verdächtig?

Und wie sieht es sonst aus, sind die GMER-Sachen mit fltmgr verdächtig, die plötzlich nicht mehr da sind? Und am unheimlichsten finde ich immer noch die Sache mit Google, NoScript und den Suchbegriffen, die selbstständig in den Begriff "HP" verändert werden, wenn die das Scipt von Google.de mit NoScirpt erlaube.
__________________

Alt 31.08.2009, 18:14   #4
DeeWayne
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Hallo,

Die 2 Einträge die bei GMER nicht mehr auftauchen deuten wohl eher auf einen USB-Stick hin und nicht auf ein Rootkit

Und fltmgr.sys führt Systemfunktionen auf niedriger Hardware-Ebene aus (z.B. zur Ansteuerung von Grafikkarte oder Drucker)

Bei dem Problem mit den Suchbegriffen kann ich dir leider nicht weiterhelfen.
Da würde mir nur eine Neuinstallation von FireFox in den Sinn kommen - oder NoScript ganz entfernen.
__________________
Für alle Hilfesuchenden!

Alt 31.08.2009, 18:28   #5
nochdigger
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Hallo

Zitat:
Die 2 Einträge die bei GMER nicht mehr auftauchen deuten wohl eher auf einen USB-Stick hin und nicht auf ein Rootkit
die beiden Einträge aus GMER dürften von einem Kopierschutz stammen, der sich
StarForce nennt und mit allergrößter Wahrscheinlichkeit zu dem Spiel FrontLine gehört.

MFG

__________________
Kein Support per PN - Bitte im Forum posten.

Alt 31.08.2009, 19:31   #6
Bärenmama
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Total nett, daß ihr mir da weitergeholfen habt. Wenn das RSIT sonst gut aussieht, ist sonst eigentlich auch alles geklärt, oder? Oder ist da noch was komisch in Rsit-Log und der Rsit-Info-Datei? Irgendwas, was nicht drin sein sollte? 4 Mal ctfmon kommt mir z.B. komisch vor, darf man das auch löschen oder fährt Windows dann nicht mehr hoch? Und sonst noch was Komisches da drin? Xpnetdiag vielleicht? Das war nach Installation von Service Pack 3 plötzlich einfach da drin...

Bei dem Problem mit dem "HP" bei der Google-Suche bin ich jedenfalls weiter gekommen: Als ich NoScript komplett deaktiviert habe, war das Problem mit dem veränderten Suchbegriff auf der Google-Startseite dauerhaft da. Alles, was ich auf der Google-Startseite als Suchbegriff eingegeben habe, wurde anschließend bei der Suche in "HP" verändert. Daraufhin habe ich das Firefox-Addon "LinKExtend" deaktiviert und der Fehler mit "HP" war behoben. Er trat gar nicht mehr auf?

Aber was bedeutet das jetzt? Hat "LinkExtend" einen Bug? Oder ist "LinkExtend" bei mir womöglich trojanerverseucht? Ich hab mal was von DNS-Changer gehört, hat das damit zu tun? Sollte ich LinkExtend besser abschalten, da es gefährlich sein könnte? Jede weitere Hilfe ist willkommen und für die bisherige Hilfe bin ich äusserst dankbar.

Alt 31.08.2009, 19:44   #7
DeeWayne
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



ctfmon.exe ist eine Art alternative Benutzereingabe Tool.

Bremst aber nur ältere Systeme merklich aus.
Wenn du es aber gerne löschen möchtest - dann mit dem Tool CTFMON Remover
Ansonsten gibts nix mehr zu beanstanden ;o)
__________________
Für alle Hilfesuchenden!

Alt 31.08.2009, 20:55   #8
Bärenmama
 
Demo runtergeladen - Malware-verseucht? plus Google-Problem - Standard

Demo runtergeladen - Malware-verseucht? plus Google-Problem



Vielen lieben Dank für die Hilfe, hat mich sehr gefreut. Ctfmon kommt dann noch weg.

Antwort

Themen zu Demo runtergeladen - Malware-verseucht? plus Google-Problem
anti-malware, avira, datei, dateien, driver, filter, firefox, folge, frage, gmer-log, gmer-scan, google, heuristischer treffer, installation, microsoft, neu, nicht mehr, rechner, registrierungsschlüssel, rootkits, rsit, scan, seite, starforce, system, temporär, version, virus, virustotal



Ähnliche Themen: Demo runtergeladen - Malware-verseucht? plus Google-Problem


  1. SPYHUNTER4 runtergeladen wg. Malware- wie kriege ich es wieder los?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2016 (20)
  2. Laptop+Iphone+Usb Sticks verseucht? Langsam, Recapcha von Google + unbekannte Prozesse.
    Plagegeister aller Art und deren Bekämpfung - 17.10.2015 (22)
  3. Windows 7: malware packet runtergeladen
    Log-Analyse und Auswertung - 22.03.2015 (13)
  4. Problem mit Google-Anzeigen; Winzip Malware Protector Installation
    Log-Analyse und Auswertung - 29.05.2014 (11)
  5. Win7 mit Malware verseucht, läuft langsamer als üblich
    Plagegeister aller Art und deren Bekämpfung - 07.03.2014 (13)
  6. Eigene Webseite mit Malware verseucht
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (70)
  7. gvu problem Netbook verseucht wegen wgsdgsdgdsgsd.exe
    Plagegeister aller Art und deren Bekämpfung - 12.01.2013 (3)
  8. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  9. Mein PC ist verseucht zB. Malware iexplore.exe etc.
    Plagegeister aller Art und deren Bekämpfung - 14.11.2011 (1)
  10. Google-Link-Problem -- Acht Malware.Packer
    Log-Analyse und Auswertung - 14.11.2011 (4)
  11. Malware, verstecke Objekte -> Laptop verseucht
    Log-Analyse und Auswertung - 07.11.2011 (29)
  12. Facebook Trojaner runtergeladen und Antivir findet andauernd neue Malware
    Plagegeister aller Art und deren Bekämpfung - 01.11.2011 (18)
  13. ,,Google Virus" Problem bei google suche und PC extrem langsam
    Log-Analyse und Auswertung - 20.10.2010 (17)
  14. Malware, die Google-Suche betrifft und Malware-Entfernungsprogramme blockiert
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (2)
  15. Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (14)
  16. Verseucht malware auch die wiederherstellungs partition?
    Log-Analyse und Auswertung - 20.02.2009 (0)
  17. Google verseucht!+
    Log-Analyse und Auswertung - 12.08.2005 (2)

Zum Thema Demo runtergeladen - Malware-verseucht? plus Google-Problem - Hi, ich habe da ein paar komische Probleme. Ich habe mir kürzlich eine Demo zu einem Spiel runtergeladen, und zwar hier: http://www.my-purplehills.com/portfo...f56acceb7c842f Nach der Installation meldet mein Avira, daß die - Demo runtergeladen - Malware-verseucht? plus Google-Problem...
Archiv
Du betrachtest: Demo runtergeladen - Malware-verseucht? plus Google-Problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.