Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Spy.8192.92 [trojan] von Antivir gefunden (https://www.trojaner-board.de/78992-tr-spy-8192-92-trojan-antivir-gefunden.html)

marshel87 31.10.2009 13:35
TR/Spy.8192.92 [trojan] von Antivir gefunden
 
Huhu!
Bislang hat mitlesen hier im Board immer gereicht, doch heute muss ich mich auch mal melden^^
Ich nutze Antivir auf Win7 Prof und ich bekam folgende meldung:
"
In der Datei 'C:\***\Binaries\reloaded.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.8192.92' [trojan] gefunden.
"
suche ich nach "Spy.8192.92" findet google nur 4 treffer..
diese tatsache macht mich schon sehr skeptisch, ob es wirklich ein virus oder nur ein hirngespinst von Antivir ist.
noch dazu nutzt ein klassenkamerad die gleiche datei und sein virenscanner meldet nichts (weiß leider nicht welchen er hat).

hat schonmal wer von diesem trojaner gehört oder kann ich den getrost ignorieren?

mfg

kira 31.10.2009 21:48
Hallo und Herzlich Willkommen! :)

derzeit gibt`s reichlich Fehlaram von Antivir, aber wird fleissig daran gearbeitet und sollte das Problem in den nächsten Tagen behoben sein

um sicher gehen:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow

marshel87 01.11.2009 21:46
Here we go:

HiJackThis.log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:04, on 01.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Pando Networks\Media Booster\PMB.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Opera\opera.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)

--
End of file - 3527 bytes
Install.txt

Code:
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        25.09.2009       
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        24.09.2009       
Adobe Reader 9.2 - Deutsch        Adobe Systems Incorporated        13.10.2009        161,3MB
Adobe Shockwave Player 11.5        Adobe Systems, Inc.        24.09.2009       
ATI Catalyst Install Manager        ATI Technologies, Inc.        24.09.2009        13,8MB
Avira AntiVir Personal - Free Antivirus        Avira GmbH        24.09.2009       
Batman: Arkham Asylum        Eidos Interactive Limited        06.10.2009       
Borderlands                26.10.2009       
CCleaner        Piriform        31.10.2009       
Dual-Core Optimizer        AMD        06.10.2009        86,00KB
Free Studio version 4.2        DVDVideoSoft Limited.        28.10.2009       
GUILD WARS                29.10.2009       
HijackThis 2.0.2        TrendMicro        31.10.2009       
Java(TM) 6 Update 16        Sun Microsystems, Inc.        24.09.2009        95,0MB
Microsoft .NET Framework 1.1                12.10.2009       
Microsoft Games for Windows - LIVE        Microsoft Corporation        06.10.2009        9,31MB
Microsoft Games for Windows - LIVE Redistributable        Microsoft Corporation        06.10.2009        33,5MB
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        24.09.2009        2,38MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        24.09.2009        0,58MB
NVIDIA PhysX        NVIDIA Corporation        06.10.2009        120,1MB
OpenAL                24.09.2009       
Opera 9.64        Opera Software ASA        24.09.2009        15,7MB
Pando Media Booster        Pando Networks Inc.        12.10.2009       
PowerISO                30.09.2009       
QIP 2005 8095                24.09.2009       
Realtek 8136 8168 8169 Ethernet Driver        Realtek        24.09.2009       
RESIDENT EVIL 5        CAPCOM CO., LTD.        30.09.2009        2.842,9MB
Runes of Magic        Frogster Interactive Pictures        13.10.2009       
Sacred 2        Ascaron Entertainment        25.09.2009        32,5MB
Skype™ 4.1        Skype Technologies S.A.        13.10.2009        25,0MB
Uninstall 1.0.0.1                28.10.2009       
VIA Plattform-Geräte-Manager        VIA Technologies, Inc.        24.09.2009        2,62MB
Warcraft III                29.09.2009       
Warcraft III: All Products                29.09.2009       
WinRAR                24.09.2009
Virenscann läuft noch bzw. hat ewig gedauert zu laden.. aber der einzeldatei onlinescan der befallenen datei war negativ, kein fund.

mfg

kira 02.11.2009 00:22
zuerst mal dein Log sieht sauber aus:)

kurrija 09.11.2009 16:43
Ich würde hier auf einen Fehlalarm tippen, wie er häufiger auftritt, wenn man "modifizierte" Software verwendet. Normal rührt das z.B. von verwendeten Algorythmen und dem Verhalten her, die denen von Viren ähneln, da sie sich z.B. an Prozesse der zu "modifizierenden" Software anhängen. (Wie z.B. bei dieser DLL sehr wahrscheinlich der Fall)
Die Sicherheit solcher "Modifikationen" ist normal von der Quelle abhägig.

Meiner Meinung nach ist von solchen "Modifikationen" aber nicht nur aus Sicherheitsgründen deutlich abzuraten (-;

kira 11.11.2009 10:13
Fehlalarm ja immer schon gegeben, aber sollte man trotzdem nachprüfen um sicher zu gehen...

- Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129