PestPatrol meldet InfoStealer gefunden Einstellungen

[jd_cort]

Hallo,

mein Programm PestPatrol meldet InfoStealer gefunden (siehe Screenshot unten).

PestPatrol selbst meldet nur den Registry Eintrag, keine Datei an sich.



Mein Anti Virenprogramm KAV Personal Pro sowie Adaware, A2 und Spybot melden keine Auffälligkeiten.

Habt Ihr einen Hinweis was ich mach kann?

Den Internet Explorer nutze ich schon Ewigkeiten nicht mehr, nur noch für die Updates die ich letzte Woche eingespielt habe, ansonsten nur FireFox 1.5.0.4.

Ein Logfile von HijackThis v1.99.1 habe ich beigefügt.

Vielen Dank

JD

Logfile of HijackThis v1.99.1
Scan saved at 23:41:25, on 17.06.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\TRANSPARENTW.EXE
C:\PROGRAMME\POPTRAY\POPTRAY.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\SICHERUNG\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\PROGRAMME\XI\NETTRANSPORT 2\NTIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\SYSTEM\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - Startup: TransparentW.exe
O4 - Startup: PopTray.lnk = C:\Programme\PopTray\PopTray.exe
O4 - Startup: Verknüpfung mit kav.exe.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\PROGRAMME\ATI MULTIMEDIA\TV\EXPLBAR.DLL

[Gast_rock_*]

am log ist auch nichts auffälliges...

infection ist es keine, jedoch weis man nie was petpatrol da aus dem system löschen würde.... ignoriere es erstmal und gib es bei pest zu den vom scannen auszulassenden dateien wenn es geht.

ansonsten kannst du jederzeit das system noch mit TrendMicro ANTISPY-Onlinescanenr checken. also nicht den housecall sonderne s gibt einen spyscanner der auch objekte elemeneiren kann...

jedenfalls wäre auch ein tempöräres aufräumen nicht schlecht, abgesehen von der meldung...

(Ordner TEMP leeren, temp.internetfiles incl. offlineinhalte löschen!)
dann ist zuminderst all der schrott der sich bislang von installationen, deinstall, surfen, drucken, scannen, etc...angehäuft hat, WEG!

rock

[jd_cort]

Hallo Rock,

Ordner TEMP leeren, temp.internetfiles incl. offlineinhalte werden regelmäßig gelöscht und waren zum Zeitpunkt auch keine vorhanden.

Also ignorieren?

KAV, A2, Spyboo und Adaware melden sich jedenfalls nicht. Komisch nur das keine Datei benannt wird sondern nur ein Registry Eintrag.

Viele Grüße

JD

[Gast_rock_*]

ja ich würd ignorieren....es hat mit der autovervollständigungsabfrage im explorer zu tun, wenn du wo ein passwort eingibst...wie hier zum beispiel um ins forum zu kommen...

pestpatrol deklariert das als "böse" obwohl es ja du selbst entscheiden kannst ob kennwörter auf deienm pc gespeichert werden sollen...

bei der gelegenheit, passwörter im IE nicht unbedingt speichern....

[jd_cort]

Hallo,

genau das ist seltsam, denn bei dem IEXPL. habe ich die Option Passwörter zu speichern gar nicht aktiviert, und die evtl. mal vorhandenen waren gelöscht.

Aus dem Grund verstehe ich auch nicht was PestPatrol will?

Grüße

JD

[Gast_rock_*]

es wird da wohl einen fehlalarm asugeben oder wie schon gesagt...könnte pestpatrol dies als "sicherheitsrisiko" einstufen...

hier eine übersicht der meldung und schauen ob es auch wirklich deaktivert ist:

http://www.winfaq.de/faq_html/tip1840.htm

du kannst aber auch den pestpatrol support anschreiben mit screenshot....

dann wissen wir ganz genau bescheid.

[jd_cort]

Hallo,

aus PestPatrol heraus wollte ich dem Support eine email senden, allerdings kommt dann ein Fenster "Nicht möglich" - eine email Adresse ist nicht hinterlegt.

Unter Google finde ich keine Hinweise auf PestPatrol, nur Vertriebsfirmen die das Produkt vertreiben, aber keine Unterstützung an sich.

Hat jemand einen Tipp wo ich die Daten hin senden könnte?

Vielen Dank

JD

[Gast_rock_*]

helpdesk@pestpatrol.com

[Rios]

Hallo hier Info von Pest Patrol zu dem Ding. So etwas sollte allerdings dein AV auch kennen.
http://www3.ca.com/securityadvisor/pest/pe...px?id=453098577

[jd_cort]

Hallo,

habe mal an PestPatrol eine email geschckt.

KAV Personal sagt mit der aktuellsten Signatur nichts und schweigt.

Komisch?

Grüße

JD

[Gast_rock_*]

was solls denn auch finden?

die regeinträge formsuggest und gleiches mit password gehört zum "rechner"...

[Rios]

Also Kaspersky erkennt das Teil, sollte es vorhanden sein.
http://www.viruslist.com/de/viruses/encycl...a?virusid=34219

[jd_cort]

Hallo zusammen,

ich habe Pest Patrol eine email geschickt, eine Antwort allerdings nicht erhalten - mit der neuen Signatur wird allerdings auch kein Hinweis mehr angezeigt, ich denke das es sich um einen Fehlalarm gehandelt wird.

Für die aktive Mithilfe an dieser Stelle vielen Dank



JD