Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker" (https://www.trojaner-board.de/66518-fehlalarme-escan-betreffend-gain-gator-smitfraud-browser-hijacker.html)

Gerd 15.12.2008 17:50
Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker"
 
Hallo,

Zufällig habe ich Escan laufen lassen. Das Programm hat einige Meldungen. Kann es sich bei den unten aufgeführten Angaben vielleicht um Fehlalarme handeln? Mir kamen besonders der Eintrag mit ICQ und taskmgr.exe eigenartig vor.

Ich möchte gerne wissen ob es sich bei diesen Escan Meldungen um echte Trojaner nwz. Viren handelt.




Weiterhin habe ich danach Spybot laufen lassen - hat nichts gefunden.


Mein PC zeigt selbst keine Symptome - es läuft alles normal.



Hier der Auszug aus dem Logfile von Escan:
Code:
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "MalwareScanner Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "SmitFraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "PersonalAntispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.



15 Dez 2008 17:06:23 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
15 Dez 2008 17:06:27 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

15 Dez 2008 17:06:27 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
15 Dez 2008 17:06:27 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

15 Dez 2008 17:06:27 - Offending file found: C:\WINDOWS\system32\MD5.dll
15 Dez 2008 17:06:27 - System found infected with MalwareScanner Corrupted Adware/Spyware (MD5.dll)! Action taken: Keine Maßnahme ergriffen.
 
15 Dez 2008 17:06:28 - Offending Folder found: C:\Dokumente und Einstellungen\Name\Anwendungsdaten\ICQ\BART\1024
15 Dez 2008 17:06:28 - Objekt "SmitFraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\AntiSpyware
15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\AntiSpyware)! Action taken: Keine Maßnahme ergriffen.
 
15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe)! Action taken: Keine Maßnahme ergriffen.
 
15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck
15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck)! Action taken: Keine Maßnahme ergriffen.
 
15 Dez 2008 17:06:33 - Offending Registry Entry found: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters/AutoShareWks
15 Dez 2008 17:06:33 - System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters/AutoShareWks)! Action taken: Keine Maßnahme ergriffen.
 
15 Dez 2008 17:06:33 - Offending Registry Entry found: HKCU\Software\Mirabilis
15 Dez 2008 17:06:33 - System found infected with PersonalAntispy Corrupted Adware/Spyware (HKCU\Software\Mirabilis)! Action taken: Keine Maßnahme ergriffen.


Meine Hijackthis logfile:
Code:
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 17:18:03, on 15.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
P:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
P:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Name\LOKALE~1\Temp\mexe.com
C:\WINDOWS\system32\notepad.exe
P:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "p:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SBCSTray] P:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk.disabled
O8 - Extra context menu item: E&xport to Microsoft Excel - res://P:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - p:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - P:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6512 bytes


Vielen Dank für die Hilfe
Gerd

Gerd 15.12.2008 19:33
ein scan mit Malwarebytes Anti-M hat auch ein paar Treffer ergeben. Wahrscheinlich sind dies doch keine Fehlalarme...

Wie kann ich sicher sein, dass mein System nun wieder sauber wird?

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1501
Windows 5.1.2600 Service Pack 2

15.12.2008 19:21:31
mbam-log-2008-12-15 (19-21-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\)
Durchsuchte Objekte: 154124
Laufzeit: 1 hour(s), 25 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

KarlKarl 16.12.2008 10:08
Hi,

Erst jubelt dir Es can diverse Fehlalarme unter damit Du die Vollversion kaufst, Scareware wird solche Software jetzt genannt, auch eine Kategorie Malware. Zusätzlich baut er in das System noch Sachen ein, die dann auch andere Scanner finden sollen, wie z.B. MBAM. Das nette dabei ist, dass das keine Dateien, sondern Verzeichnisse sind, schau mal nach. Solange die Ersteller von MBAM den Unterschied noch nicht kennen, liegt der Verdacht nahe, dass sie auch nur aufgrund von bestimmten Namen was melden: Genau derselbe Blödsinn, den bereits Es can tut. Tritt einfach diese Scanner in die Tonne. Man kann auch ein System mit Scannern plätten :D

Gruß, Karl


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129