| |
| |||||||
Log-Analyse und Auswertung: Eine Kontrolle meines Notebooks wegen einem exe. ProgrammWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
05.02.2010, 17:58
| #1 |
| |  Eine Kontrolle meines Notebooks wegen einem exe. Programm Hallo zusammen. Ich möchte euch um Hilfe bitten. Ich habe von einem aus dem Internet ein exe Programm bekommen. Dieser eine schickt per internet über einen server die erlaubnis oder eine sogenante Validation, das ich das programm nutzen darf. Nun mach ich mir sorgen ob da vielleicht was drin stecken könnte. Das programm wurde mit Visual basic erstellt und ich hab in youtube gesehen, das man damit auch dreckige sachen programmieren kann. andersrum ist das programm wichtig für mich, weil es mir bei der arbeit zum automatischen aktialisieren der website hilft usw... Kann man mit einem antivir oder trojan programm rausfinden ob eine exe datei trojaner enthält? Ich hab irgendwie das gefühl das der typ die websiten die ich in der .exe datei ausführe auslesen kann. Lässt sich das irgendwie nachweisen? Ich hab ein log mit HijackThis gemacht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:36:08, on 05.02.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVG\AVG9\avgchsvx.exe C:\Programme\AVG\AVG9\avgrsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVG\AVG9\avgwdsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVG\AVG9\avgemc.exe C:\Programme\AVG\AVG9\avgnsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ7.0\ICQ.exe D:\esipil\Shoeses.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4210 bytes Die sogenante exe datei ist: D:\esipil\Shoeses.exe ich kenn mich mit trojaner nicht aus, aber wenn es eine möglichkeit gibt sowas auszuspüren. Ich möchte nicht eine lösung, ich möchte nur versuchen irgendwie rauszukriegen ob die exe irgendetwas schlimmes macht bzw etwas von mir ausspioniert, dann würde ich sie sofort löschen. Falls mir jemand weiterhelfen kann, nehme ich jeden tipp und trick mit dank an.  MFG |
|
05.02.2010, 21:43
| #2 |
  | Eine Kontrolle meines Notebooks wegen einem exe. Programm Hi,
__________________wenn die Software neu ist (und ev. darin enthaltene Malware), dann gibt es erstmal keine "passende" Signatur. d. h. die Malware kann nur über heuristische Verfahren (die fehleranfällig sind) erkannt werden (vielleicht). Du kannst die Datei bei Virustotal.com prüfen lassen (hochladen und scannen lassen). Weiterhin würde ich dir empfehlen, die SW in einer Sandbox laufen zu lassen (z.B. Sandboxie: http://www.sandboxie.com/). Damit wird verhindert dass sich ev. vorhandene Malware auf dem Rechner festsetzt. Über Tools kannst Du dann auch prüfen, was die SW so alles anstellt (z.B. welche RegKeys verändert werden, Files erstellt/geändert etc. werden)... Da Du das Programm aber schon ausgeführt hast, bitte MAM installieren und scannen lassen: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Fullscan und alles bereinigen lassen! Log posten. DAs HJ-Log gibt nicht so viel her... chris
__________________ |
|
06.02.2010, 12:30
| #3 |
| | Eine Kontrolle meines Notebooks wegen einem exe. Programm Hallo und danke für die antwort. Ich habe jetzt das MAM druchlaufen lassen:
__________________Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3696 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 06.02.2010 10:46:29 mbam-log-2010-02-06 (10-46-23).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 147729 Laufzeit: 35 minute(s), 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\WebMoney\WebMoney.exe (Spyware.WebMoney) -> No action taken. <<<<keine ahnung warum er bei webmoney etwas gefunden hat, auf jeden fall hab ich das reinigen lassen und nochmal einen vollständigen scan gemacht: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3696 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 06.02.2010 12:22:12 mbam-log-2010-02-06 (12-22-12).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 147708 Laufzeit: 30 minute(s), 49 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) <<<<<sieht sauber aus  Wollt noch hinzufügen das Sandboxie ein sehr gutes programm ist, würde ich jedem nutzer empfehlen  |
|
| Themen zu Eine Kontrolle meines Notebooks wegen einem exe. Programm |
| .exe datei, adobe, antivir, ausspioniert, avg, avg free, bho, e-mail, exe, exe datei, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, object, programm, rundll, server, software, system, trick, trojan, trojaner, windows, windows xp |
Linear-Darstellung
