Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   emule.exe hat Alarm geschlagen (https://www.trojaner-board.de/62152-emule-exe-hat-alarm-geschlagen.html)

Apollo 13 15.10.2008 16:14
emule.exe hat Alarm geschlagen
 
Also Hallo einmal !
habe ein Problem mit emule.exe
Also habe seit ca.2Jahen einen EMule Mod und hatte nie Probleme mit dem,
aber seit ich das update gemacht habe ging's etwa 2Wochen gut
aber gestern will ich starten aber Avast schlägt Alarm lässt sich nicht mehr starten auch wenn ich keine Aktion in Avast durchführe..

- folgendes wurde bisher gemacht Emule deinstalliert bei Software.
- suchen unter Ordner und Dateien "Emule" alles was gefunden wurde, wurde gelöscht.
- CCleaner gemacht
- Malwarebytes gemacht nix
- Dr. Web gemacht nix
- Bitdefender Online nix
- Avast gemacht hier das Warnungs Log
Code:
14.10.2008 19:06:41        SYSTEM        1548        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\eMule\emule.exe" file. 
14.10.2008 21:25:43        Ich        4044        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP65\A0008609.exe" file. 
14.10.2008 21:27:52        Ich        4044        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP77\A0009301.exe" file. 
15.10.2008 15:47:23        Ich        2996        Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP56\A0007729.exe\$INSTDIR\emule.exe" file. 
15.10.2008 15:53:04        Ich        2996        Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP56\A0007729.exe\C:\Users\Public\Downloads\eMule\Incoming\eMule.0.49b.Razorback3.Next.Generation.v5.1.Mod-Binary.(fast.and.xtreme).rar\emule.exe" file. 
15.10.2008 15:53:15        Ich        2996        Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP64\A0008529.exe\$INSTDIR\emule.exe" file. 
15.10.2008 15:53:21        Ich        2996        Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP64\A0008529.exe\C:\Users\Public\Downloads\eMule\Incoming\eMule.0.49b.Razorback3.Next.Generation.v5.11.Mod-Binary.(fast.and.xtreme).rar\emule.exe" file.
-und ein HJT
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:53, on 15.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Desktop\Apollo 13.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219860491578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE

--
End of file - 6472 bytes
muss noch erwähnen Partition D: hab ich erst heute ( 15.10.)getestet siehe
Avast log
ist jetzt alles im Container

Mir kommt's wie ein Fehlalarm vor....?
-all die Scanner die nix zeigen
-HJT nix auffälliges alles okay
-und der PC macht auch keine Mukken läuft wie geschmiert nix auffälliges
ist eignartig ?
Was nun ?
was war das?

cosinus 15.10.2008 20:55
Hallo,

Das dürfte ein Fehlalarm sein. Kommt immer wieder mal vor bei Virenscannern, das solltest Du im Hinterkopf behalten!

Yashimi 16.10.2008 08:29
ich hab nicht viel ahnung, aber kann es sein das, weil es emule ist sich irgendwelche öffentliche einrichtung en da ein trojaner haben um emule zu überwachen?

weil ja illigale dl ja nicht dem rechtssystem entsprechen

cosinus 16.10.2008 08:36
Zitat:
Zitat von Yashimi (Beitrag 382657)
ich hab nicht viel ahnung, aber kann es sein das, weil es emule ist sich irgendwelche öffentliche einrichtung en da ein trojaner haben um emule zu überwachen?
Ich würde es als Fehlalarm einstufe da

- die Datei nur von avast bemängelt
- vor zwei Wochen ein Update eingespielt wurde und erst jetzt eine Warnung kommt

Um die Nutzer von emule zu überwachen ist es wenig sinnvoll das nur mit einer veränderten emule.exe zu machen. Die Leute, die dann die offizielle Versionen von emule nutzen würden könnten dann ja nicht überwacht werden :rolleyes:
Das mit dem Thema überwachen von emule wird also so nicht funktionieren. Was die Polizei wohl eher im Zweifel machen würde ist das Auswerten der emule Server...

KarlKarl 16.10.2008 09:13
Am besten den "normalen" Emule nehmen. der ist Opensource und da besteht (zumindest theoretisch) die Möglichkeit nachzuschauen was drin ist. Aber andere langsamer laden lassen um raffgierig selber schneller zu laden ist ja beliebt, da bietet es sich an, einen Mod mit Seiteneffekten zu schreiben :D.

m6o3 16.10.2008 09:20
Hallo zusammen.

Ich denke auch, dass das ein Fehlalarm ist. Aber inzwischen schlagen auf VirusTotal.com 13 Virenscanner auf die Version 5.11 von Razorback an. Scheint halt auffälliger Code zu sein.

Code:
Antivirus                  Version          letzte aktualisierung          Ergebnis
AhnLab-V3                2008.10.16.0        2008.10.16                -
AntiVir                        7.9.0.4                2008.10.16                TR/Dldr.Agent.ajhz
Authentium                5.1.0.4                2008.10.16                -
Avast                        4.8.1248.0        2008.10.15                Win32:Trojan-gen {Other}
AVG                        8.0.0.161        2008.10.16                Downloader.Agent.AMZP
BitDefender                7.2                2008.10.16                -
CAT-QuickHeal        9.50                        2008.10.16                TrojanDownloader.Agent.ajhz
ClamAV                        0.93.1                2008.10.16                -
DrWeb                        4.44.0.09170        2008.10.16                -
eSafe                        7.0.17.0        2008.10.15                Win32.Agent.ajhz
eTrust-Vet                31.6.6150        2008.10.16                -
Ewido                        4.0                2008.10.15                -
F-Prot                        4.4.4.56        2008.10.15                -
F-Secure                8.0.14332.0        2008.10.16                Trojan-Downloader.Win32.Agent.ajhz
Fortinet                3.113.0.0        2008.10.16                W32/Agent.AJHZ!tr.dldr
GData                        19                2008.10.16                Win32:Trojan-gen {Other}
Ikarus                        T3.1.1.34.0        2008.10.16                Trojan-Downloader.Win32.Agent.ajhz
K7AntiVirus                7.10.496        2008.10.15                -
Kaspersky                7.0.0.125        2008.10.16                Trojan-Downloader.Win32.Agent.ajhz
McAfee                        5406                2008.10.16                -
Microsoft                1.4005                2008.10.16                -
NOD32                        3526                2008.10.16                -
Norman                        5.80.02                2008.10.15                -
Panda                        9.0.0.4                2008.10.15                Suspicious file
PCTools                        4.4.2.0                2008.10.15                -
Prevx1                        V2                2008.10.16                -
Rising                        20.66.31.00        2008.10.16                -
SecureWeb-Gateway        6.7.6                2008.10.16                Trojan.Dldr.Agent.ajhz
Sophos                        4.34.0                2008.10.16                -
Sunbelt                        3.1.1727.1        2008.10.16                -
Symantec                10                2008.10.16                -
TheHacker                6.3.1.0.114        2008.10.15                -
TrendMicro                8.700.0.1004        2008.10.16                -
VBA32                        3.12.8.7        2008.10.16                -
ViRobot                        2008.10.16.1422        2008.10.16                Spyware.Agent.Do.2202624
VirusBuster                4.5.11.0        2008.10.15                -
Lade dir die aktuelle Version 5.12 runter. Die scheint "sauber" zu sein.

Gruß

cosinus 16.10.2008 11:32
Oder da ist absichtlich oder auch zufällig wirklicher Schadcode drin.
Rel. sicher fährt man nur mit der offiziellen Version.

Yashimi 16.10.2008 16:39
da hab ich ja ein anstoss zu einer heissen diskussion angezettelt :Boogie:

nun noch mal ein anstoss^^ ist es nicht besser glecih zu torrent oder noch besser rapidshare zu wechseln??

gruss
yashimi

Apollo 13 16.10.2008 17:58
Also hab mich schlau gemacht!
auch die Version 5.12 ist betroffen aber wie es aussieht nur die installer version die gepackte version sollte funktionieren
so wie ich gelesen habe abgeänderte Form vom Win32/Parit.B aus dem Jahre 2003/2004
hab das hier gelesen aber halt alles auf english
würde mich halt eben doch intressieren ob noch was versteckt ist??
zur Sicherheit werde ich den Norman Malware-Cleaner im abgesicherten Modus laufen lassen

und zum Thema umsteigen auf Torrent oderso
bin halt ein gewohnheits Tier und schneller gehts an einem anderen Ort auch nicht unbedingt aber glaube lasse in Zukunft von (LeckerMod's)ab

und das beste am ganzen! in der Schweiz ist das rechtlich kein Problem ! :taenzer:
Wenn man es nicht übertreibt :heilig:

Leonidas88 17.10.2008 09:31
Es ist auf der ganzen Welt strafbar illegale Inhalte downzuladen - sogar in der Schweiz! Die Strafverfolgung ist ein anderes Thema.

Apollo 13 17.10.2008 17:40
Leonidas hat wohl gemeint das der download illegal ist nicht der Inhalt :uglyhammer:
und die Strafverfolgung wäre ja auch kein Problem ,wenn "SiE" nicht schon vor Gericht abgeblitzt wären das gilt aber nur für den Privatgebrauch!
Sei es wie es ist!
ich bin das Pferdchen aufjedenfall los....:Boogie:


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131