Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner oder False Positiv?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.02.2010, 22:25   #1
josy1982
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Hallo,

Ich habe ebend mal MBAM drüber laufen lassen, was ich jeden tag mache. Da hat sich ein Eintrag eingeschlichen. Ich habe dann mal mit nod32 gescannt dieser sagt mir keinen Fund (nod32 läuft immer also nie deaktiviert im hintergrund). Könnt ihr bitte einmal nachschauen .... und bitte beachtet naja ihr wisst es ja sowieso ich hab ein 64 bit system.


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3786
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

24.02.2010 23:16:17
mbam-log-2010-02-24 (23-16-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 113421
Laufzeit: 2 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\RLOFRDec.ax (Trojan.Hiloti) -> No action taken.
         
Hijackthis

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:21:05, on 24.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10e.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\SysWOW64\explorer.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\josy\Desktop\joschies345vvZZrds8579.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O13 - Gopher Prefix: 
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 6078 bytes
         

Alt 25.02.2010, 00:59   #2
Argus
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Wir warten gemeinsam auf Antwort von Malwarebytes.org ,OK?
__________________


Alt 25.02.2010, 01:19   #3
josy1982
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Hallo,

ja machen wir
__________________

Alt 25.02.2010, 01:28   #4
Argus
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Prüfe mal diese Datei(en) bei Virustotal
Zitat:
C:\Windows\System32\RLOFRDec.ax
Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Ergebnisse

Alt 25.02.2010, 10:23   #5
josy1982
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Hallo,

das hbe ich gemacht kein einziger Fund. Ausserdem ist diese Datei schon länger auf meinem PC ist ein Audio Decoder aus Cole2k Codec Pack. Wie gesagt MBAM mekerte erst seit den gestriegen Update vorher nicht. Ich denke mal ist ein Fehlalarm aber ich weiss es nicht 100 pro.


Alt 25.02.2010, 10:34   #6
Argus
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Mann hat bei MBAM die moeglichkeit Daten zu Ignorieren beim scannen

Scanne nochmal bei C:\Windows\System32\RLOFRDec.ax rechtermausklick
waehle : Zur Ignorierlieste hinzufügen


Alt 25.02.2010, 10:38   #7
Argus
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Eine Antwort von MBAM ist auch schon da

Update MBAM
Zitat:
Fixed in the next update , thanks for the sample to compare

Alt 25.02.2010, 10:55   #8
josy1982
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Ja habe es gerade gelesen. Dann kann ich ja mein Codec Pack wieder installieren hatte es erstmal runter geschmissen :

Alt 25.02.2010, 11:02   #9
Argus
 
Trojaner oder False Positiv? - Standard

Trojaner oder False Positiv?



Schoenes Wochenende

Antwort

Themen zu Trojaner oder False Positiv?
acrobat, acronis, adobe, antivirus, bho, dateien, downloader, eset nod32, explorer, hijack.displayproperties, hintergrund, ie deaktiviert, logfile, lsass.exe, malwarebytes, malwarebytes' anti-malware, microsoft, nvidia, registrierungsschlüssel, rundll, rundll32.exe, server, software, spoolsv.exe, start, system32, syswow64, trojan.hiloti, trojaner, userinit, vista, windows vista



Ähnliche Themen: Trojaner oder False Positiv?


  1. False Positive? Dr. Web Cureit erkennt Treiber von Dell als Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.02.2015 (5)
  2. TROJANER ? Ich bin bereit 50 Euro für eine positiv abgeschlossene zu spenden.
    Plagegeister aller Art und deren Bekämpfung - 25.09.2014 (10)
  3. BSI Sicherheitstest Positiv
    Plagegeister aller Art und deren Bekämpfung - 08.04.2014 (1)
  4. BSI Scan positiv
    Plagegeister aller Art und deren Bekämpfung - 25.01.2014 (10)
  5. BSI Scan positiv
    Plagegeister aller Art und deren Bekämpfung - 23.01.2014 (1)
  6. VBS:FlufferMiner-D [Trj] : Echte Bedrohung oder False Positive?
    Log-Analyse und Auswertung - 15.11.2013 (2)
  7. False Positives oder echte Bedrohung? Vereinzelte Treffer je Datei bei Virustotal
    Antiviren-, Firewall- und andere Schutzprogramme - 10.04.2013 (3)
  8. False Positive? MBAM erkennt SVKP.sys als Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (1)
  9. Stolen.Data False Positive oder Malware?
    Log-Analyse und Auswertung - 15.09.2011 (29)
  10. Trojaner, HiJACK log Positiv, mehr geht nicht!
    Log-Analyse und Auswertung - 28.04.2010 (5)
  11. Malewarebytes false positiv?
    Antiviren-, Firewall- und andere Schutzprogramme - 28.07.2009 (13)
  12. Trojaner oder False Positive?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2009 (9)
  13. avg findet trojaner. false positive?
    Log-Analyse und Auswertung - 24.01.2009 (3)
  14. HEUR/Malware-Umfrage-Öfters gefährlich oder öfters false positive ?
    Diskussionsforum - 28.04.2008 (8)
  15. richtig- oder falsch-positiv? kompromittiert ja oder nein?
    Log-Analyse und Auswertung - 26.01.2008 (12)
  16. Trojan.win32.patched.g false positiv bei F-Secure?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2007 (1)
  17. Win32.Monitor.Perflogger.163 Trojaner oder false posivite ?? Bitte um Hilfe !!
    Plagegeister aller Art und deren Bekämpfung - 20.12.2006 (2)

Zum Thema Trojaner oder False Positiv? - Hallo, Ich habe ebend mal MBAM drüber laufen lassen, was ich jeden tag mache. Da hat sich ein Eintrag eingeschlichen. Ich habe dann mal mit nod32 gescannt dieser sagt mir - Trojaner oder False Positiv?...
Archiv
Du betrachtest: Trojaner oder False Positiv? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.