Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32.Ciadoor.cj oder nur Fehlalarm? (https://www.trojaner-board.de/70754-win32-ciadoor-cj-nur-fehlalarm.html)

Crox11 17.03.2009 00:05

Hallo Undoreal,

der Log ist etwas chaotisch, ich poste ihn gleich weiter unten. Die Datei liegt noch in Quarantäne. Ich kann sie in die Zwischenablage kopieren lassen oder aber wiederherstellen.

Ich könnte auch bis morgen warten, da habe ich wieder Zugriff auf meinen Hauptrechner, wo die XProtect.sys bisher unangetastet liegt und diese zur Vefügung stellen.

An welches Labor sendet man sie am besten? GDATA wird sie wohl nicht annehmen, da habe ich schon viele Falsch-Alarme hingesendet und die Signaturen anpassen lassen, da meldete aber eine der Engines von GDATA, dass hier ein Fehler vorhanden ist und ich war mir sicher, dass es ungefährliche Dateien sind.

<threat id="47142" name="Trojan-Downloader.Win32.VB.ahc" level="2" category="Trojan Downloader" type="Malware" quarantineId="{85C04909-3DCC-4F5C-80DE-3803D4541BCB}" adviseType="3" canQuarantine="true" author="" optionalScan="0" removalType="0" actionRequested="3" cleanerResult="3"><authorURL></authorURL><desc>A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet.</desc><threatAdviceDetails>This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer&apos;s settings without your knowledge and consent, or severely degrade your computer&apos;s performance and stability.</threatAdviceDetails><customData></customData><traces><trace type="4" dispValue="c:\WINDOWS\system32\drivers\xprotector.sys"><attr n="path" v="c:\WINDOWS\system32\drivers\xprotector.sys" /><attr n="fileSize" v="40256" /><attr n="md5" v="E87EF942B225B23247DB60DE56F62C1C" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\DisplayName 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="1" /><attr n="valueName" v="DisplayName" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\0 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="1" /><attr n="valueName" v="0" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\Count 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="Count" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\NextInstance 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="NextInstance" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ErrorControl 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="ErrorControl" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ImagePath 2"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="2" /><attr n="valueName" v="ImagePath" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security\Security 3"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="3" /><attr n="valueName" v="Security" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Start 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Start" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Type 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Type" /></trace></traces></threat>

undoreal 17.03.2009 06:30

Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde.

http://forum.kaspersky.com/index.php?showtopic=42428

Crox11 17.03.2009 08:30

Zitat:

Zitat von undoreal (Beitrag 421806)
Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde.

Wie sendet man eine Datei zur Untersuchung - Kaspersky Lab Forum

Hallo,

bin nun etwas erleichtert. Habe es zu Kaspersky geschickt und innerhalb von 60 Min. (!) eine Antwort erhalten:

"Hello,


tector.sys

No malicious code was found in this file."

Kann ich mir nun sicher sein, dass es kein Trojaner ist?


Der Kaspersky-Support ist ja irre schnell.

undoreal 17.03.2009 12:41

Zitat:

Kann ich mir nun sicher sein, dass es kein Trojaner ist?
Jo, das kannst du definitiv.

Zitat:

Der Kaspersky-Support ist ja irre schnell.
Jo! Kaspersky ist super. Der Support sowieso. :daumenhoc

Crox11 17.03.2009 13:57

Zitat:

Zitat von undoreal (Beitrag 421854)
Jo, das kannst du definitiv.

Jo! Kaspersky ist super. Der Support sowieso. :daumenhoc

Und die Einträge in der Registry haben nichts zu sagen, dort war der XProtector überalle registriert.

Nochmals vielen (!) Dank für deinen außergewöhnlichen Support! Das Forum ist klasse!:aplaus::dankeschoen:

Crox11 17.03.2009 21:25

Hallo,

ich bin nun wieder am Büro-PC im Home Office. Dort habe ich eben meine Images, die ich mit Acronis gemacht habe, durchgesehen, überall ist die XProtector.sys auch drauf, die wurde scheinbar schon vor über 6 Monaten installiert. Komischerweise hat Spybot S&D früher nie angeschlagen, obwohl die Datei bereits länger auf beiden Systemen vorhanden ist.

Ich scanne gerade mit CounterSpy den Desktop und berichte, falls sich hier noch etwas tut.

Crox11 18.03.2009 18:02

Hallo,

hier noch die Antwort vom SpyBot S&D-Team. Sehr nett, dass auch sie sich darum gekümmert haben.

"Hello xxx,

thank you for sending in the requested files.
The analysis showed that it is a false positive with a binary protection
software. That means a software that is supposed to prevent reverse
engineering. Such software is often used by malware to make analysis
harder or prevent it.
The vendor of XProtector does not appear to be in business anymore but
products using it can still be around.
We will correct our detection database to avoid this false positive.
The update that will correct this issue will be release on 2009-03-25

best regards"

Damit kann das Thema in gelöst umgewandelt werden.

Ich habe auf meinem Notebook das File bereits gelöscht, das Notebook läuft aber noch. Könnte das dauerhaft zu einem Problem führen?

LG


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131