Hilfe - Suche - Mitglieder - Kalender
Vollansicht: SUPERAntispyware + Downloader-Gen/Suspicious ?
Rokop Security > Security > Trojaner, Viren und Würmer
Catweazle
Hallo ist das ein Fehlarlarm, von SUPERAntispyware ?

Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/07/2009 at 08:27 PM

Application Version : 4.26.1004

Core Rules Database Version : 3928
Trace Rules Database Version: 1871

Scan type : Complete Scan
Total Scan Time : 00:48:09

Memory items scanned : 427
Memory threats detected : 0
Registry items scanned : 3669
Registry threats detected : 0
File items scanned : 58026
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Holger\Cookies\holger@de.sitestat[1].txt

Trojan.Downloader-Gen/Suspicious
F:\SYSTEM VOLUME INFORMATION\_RESTORE{2F8603EE-B839-4B83-BEEF-4051E8BD7D28}\RP57\A0013327.EXE


Catweazle
Catweazle
...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:24, on 07.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ctfmon.exe
D:\SUPERAntiSpyware.exe
D:\Printkey\Printkey.exe
D:\OpenOffice_3\OpenOffice.org 3\program\soffice.exe
D:\OpenOffice_3\OpenOffice.org 3\program\soffice.bin
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = D:\OpenOffice_3\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://edownload.grisoft.cz/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1237134427578
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E9449F0-D75F-42A3-8212-DB22B6ECF977}: NameServer = 217.0.43.177 217.0.43.161
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5507 bytes


Ich frage hier mal nach, wegen den fund von SUPERAntispyware, und weil mein Cardreader ewas spinnt, wen ein SpeicherMedium eingesteckt ist, dan hängt die Kiste bei mir, wen ich ein Programm öffnen will, dauert es bald 30 Sekunden bis ich das gestartet habe...

Ist das ein Fehlarlarm von SUPERAntispyware, oder liegt da bei mir noch was anderes im argen ???

Catweazle
Habakuck
Also die Meldung deutet auf einen heuristischen Fund hin.
Dieser wird als verdächtig eingestuft und daher gemeldet.
Ich würde die Systemwiederherstellung deaktivieren und einen Neustart durchführen. Das löscht alle Wiederherstellungspunkte und damit auch die verdächtige Datei.

Scanne doch zur Sicherheit mal mit Anti-Malware und lasse uns das log angucken.

Sorgen würde ich mir erstmal nicht machen..
Catweazle
ZITAT(Habakuck @ 07.06.2009, 22:15) *
Also die Meldung deutet auf einen heuristischen Fund hin.
Dieser wird als verdächtig eingestuft und daher gemeldet.
Ich würde die Systemwiederherstellung deaktivieren und einen Neustart durchführen. Das löscht alle Wiederherstellungspunkte und damit auch die verdächtige Datei.

Scanne doch zur Sicherheit mal mit Anti-Malware und lasse uns das log angucken.

Sorgen würde ich mir erstmal nicht machen..



Nein, das werde ich nicht machen, dadurch wie du erst mal geschreiben hattest zerschiese ich alle meine Systemwiederherstellungspunkte, die ich ja wol in der Vergangenheit seit dem letzten aufsetzen meines System´s erstellte hatte. Ist nicht Böße gegen dir gerichtet. Danke für deine Hilfe. thumbup.gif

Catweazle
Catweazle
Kaspersky Internetsecurety 2009 sagt nur sowas dazu:

Catweazle
Kenshiro
Gen ist Generic = heuristischer Treffer
Habakuck
Die Kaspersky Funde sind Schwachstellen die du beheben solltest. Schädlinge sind das nicht.

Scanne zur Sicherheit mit Anti-Malware!
Catweazle
Meint ihr wirklich das was SUPERAntispyware gefunden hatte, ist was Malwareartiges ?

...ich wollte das File mal bei Virustotal mal hochladen, geht nicht habe keinen Zugriff auf diesen Ordner...


Also kan ich das gefahrlos löschen ?

Catweazle
markusg
www.wintotal.de/Tipps/?rb=4&id=1421 -
danach versuch das file noch mal hochzuladen und poste das ergebniss
Catweazle
ZITAT(markusg @ 08.06.2009, 15:24) *
www.wintotal.de/Tipps/?rb=4&id=1421 -
danach versuch das file noch mal hochzuladen und poste das ergebniss



Aber bei dieser Methode, verliere ich doch alle Systemwiederherstellungspunkte, die ich in der Vergangenheit doch gesetzt hatte. oder tuhe ich das nicht rictig verstehen....???

Catweazle
markusg
nö du könntest jetzt files geziehlt aus dem ordner löschen und oder hochladen, wie du es ja wolltest.
J4U
ZITAT(Catweazle @ 08.06.2009, 16:11) *
Aber bei dieser Methode, verliere ich doch alle Systemwiederherstellungspunkte, die ich in der Vergangenheit doch gesetzt hatte.
Alle noch vorhandenen Punkte, Windows behält sowieso nur die letzten Punkte bei sich (in Abhängigkeit von der Festplattengröße und dem eingeräumten Platz auf der HDD).
Wo ist das Problem, wenn die Punkte weg sind? Falls ein Virenscanner die Datei aus der Systemwiederherstellung gelöscht hat, dann ist die Systemwiederherstellung sowieso im berühmten Eimer.

J4U
Catweazle
Bekomme ich nicht hin, das ich auf F:\System Volume Information\_Restore....... zugriff bekomme, kommt Zugriff verweigert.

Hatte die zwei Einstellungen im Explorer, gemacht. Und in der CMD rumgezaubert. Kann das sein das was ich in der CMD machen sollte, meine Verhältnissen anpassen sollte, also nicht wie dort geschrieben steht: cacls "c:\System Volume Information" /E /G USERNAME:F sondern nach "f:\System Volume Information" /E /G USERNAME: F ? Da wo ich nicht ran komme im momment, steht ja auf F bei mir.

Also das hate ich in der CMD gemacht, ging auch nicht.



Catweazle
J4U
ZITAT(Catweazle @ 08.06.2009, 19:53) *
F:\System Volume Information
Rechtsklick, Eigenschaften, Sicherheit, Hinzufügen...

J4U
Catweazle
ZITAT(J4U @ 08.06.2009, 20:02) *
Rechtsklick, Eigenschaften, Sicherheit, Hinzufügen...

J4U



Das gibt es dort nicht, wie du das schreiben tuhst, es gibt nur am Ende; Klicken Sie hiere wen sie das Laufwer denoch freigebne wollen...oderso, oder Bild, meinst du das ?

Catweazle
J4U
Klicken um den Anhang anzusehen
Catweazle
ZITAT(J4U @ 08.06.2009, 21:12) *



Nein damit komme ich auch nicht zurecht, tut mir leid. Ich nutze hier Windows XP Home, hast du ein anderes OS am start ?

Catweazle
Catweazle
@ Alle

In meinem HiJackThis Log sind keine Auffäligkeiten ?

Catweazle
J4U
ZITAT(Catweazle @ 08.06.2009, 21:23) *
Ich nutze hier Windows XP Home
FileSecPatch, schaltet das Sicherheitsregister in XP Home frei.

J4U
Catweazle
ZITAT(J4U @ 08.06.2009, 21:33) *
FileSecPatch, schaltet das Sicherheitsregister in XP Home frei.

J4U


Was soll das den sein ?



Catweazle
Habakuck
HeyHo.

Poste doch bitte einfach ein Anti-Malware log. Wenn das sauber ist dann solltest du aufhören dir Gedanken zu machen...
Catweazle
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2248
Windows 5.1.2600 Service Pack 3

08.06.2009 19:06:47
mbam-log-2009-06-08 (19-06-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|)
Durchsuchte Objekte: 138941
Laufzeit: 32 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Sieht sauber aus, muß aber nichts heißen denn 100% Sicherheit gibt es nirgends, oder ?

Und in meinem Log nichts auffälliges ?

Catweazle
Catweazle
Das Log, von SUPERAntispyware sagt was anderes , nach dem letzen Update, wo ich gedacht hatte es handelt es sich dabei um ein FP von SUPERAntispyware...???!!!

Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/08/2009 at 02:14 PM

Application Version : 4.26.1004

Core Rules Database Version : 3928
Trace Rules Database Version: 1871

Scan type : Complete Scan
Total Scan Time : 00:47:44

Memory items scanned : 412
Memory threats detected : 0
Registry items scanned : 3670
Registry threats detected : 0
File items scanned : 58133
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Holger\Cookies\holger@de.sitestat[1].txt

Trojan.Downloader-Gen/Suspicious
F:\SYSTEM VOLUME INFORMATION\_RESTORE{2F8603EE-B839-4B83-BEEF-4051E8BD7D28}\RP57\A0013327.EXE



Wem oder was soll ich nun Glauben ?

Catweazle
Catweazle
Nun Ja, jetzt warte ich die nächsten 24h ab bis das Nächste Update eindrudelt, und es somit wieder auftauchen tut Das Malware wird es über SUPERAntispyware entfernt. Wen es nicht KAV anbrangern tut.

Catweazle
Nightwatch
ZITAT(klaus_ue @ 08.06.2009, 19:23) *
Nun Ja, jetzt warte ich die nächsten 24h ab bis das Nächste Update eindrudelt, und es somit wieder auftauchen tut Das Malware wird es über SUPERAntispyware entfernt. Wen es nicht KAV anbrangern tut.

Hi Catweazle smile.gif
Soll nicht blöd klingen, aber meinst Du, dass Du Dir mit diesem Programm (SAS) einen Gefallen tust? Ich habe bislang keine so guten Erfahrungen damit gemacht. Vor allem im FP-Bereich und der Erkennung.
Kann ja sein, dass es sich sehr gut weiterentwickelt hat, das weiß ich natürlich nicht.

Gruß,
Nightwatch
markusg
und warum lädst du die datei denn nicht bei virus total hoch???? wenn du vollzugriff auf system volume information hast, geht das (wie in dem von mir verlinkten artikel beschrieben).
Catweazle
ZITAT(markusg @ 09.06.2009, 12:40) *
und warum lädst du die datei denn nicht bei virus total hoch???? wenn du vollzugriff auf system volume information hast, geht das (wie in dem von mir verlinkten artikel beschrieben).



Weil ich das nicht hinbekomme !

Ich tuhe das mal als Fehlarlarm ab.

Catweazle
Catweazle
Wie muß ich jetzt weider meine Einstellungen "zurückbauen", also in den ""Urzustand"" zu kommen, also die Geschichte mit ( cacls "c:\System Volume Information" /E /G pan_fee:F ) verstehe ich nicht, hat ja anschein, weil ich es nicht verstanden hatte, oder nicht geklappt, was auch immer ...Muß ich da wiederum was ändern, um das "Normal" erscheinen zu lassen. ?

Catweazle
markusg
hast du das in die eingabeaufforderung eingegeben. eigendlich ist es egal wie das eingestellt ist, nun kannst du halt auf den ordner zugreifen. muss man nicht rückgängig machen
Catweazle
ZITAT(markusg @ 10.06.2009, 21:33) *
hast du das in die eingabeaufforderung eingegeben. eigendlich ist es egal wie das eingestellt ist, nun kannst du halt auf den ordner zugreifen. muss man nicht rückgängig machen



Wirklich ?


Catweazle
ravu
SUPERAntispyware ist in den Tests meistens auf Malwarebytes-Niveau - Erkennung kleiner 10 %. Ich halte nicht viel davon sad.gif
Catweazle
Nun gut dan lasse ich das ganze mal so. Und zu den Fehlarlarmen kann ich nicht viel sagen, weil ich nicht groß testen kann mit einem "Malware Zoo", will ich auch nicht. Also wen der große Teil meint das taucht nix, wird es wol stimmen. Vielleicht beserrt sich das ganze mal... Habe das Tool erst seit einer kurzen Zeit bei mir installiert.

Catweazle
Kenshiro
ZITAT(ravu @ 11.06.2009, 09:17) *
SUPERAntispyware ist in den Tests meistens auf Malwarebytes-Niveau - Erkennung kleiner 10 %. Ich halte nicht viel davon sad.gif

Mag sein, hat allerdings eine sehr gute HEUR
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.