taxi

"ER" hat wieder zugeschlagen und ich habe zwei Trojaner-Meldungen.Sie werden mir zwar angezeigt, aber ich habe keinerlei Möglichkeit, sie in Quarantäne zu verbannen oder sonst was....

Und was mache ich jetzt, ich armes Würstchen? :headbang:

Also erst habe ich Ccleaner angewandt, dann avast laufen lassen, der nichts gefunden hat.Danach spybot... auch kein Fund und dann Malwarebytes: 2 Funde und zwar

Trojanropper/File C/Programme VidioLan/VLC/plugins/libmux und

Trojanropper/File D/VideoLan/VLC/plugins/libmux_mpjpeg_plu....



Bitte bitte helfen :angel:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:53, on 29.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHa ndler.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/registrierung
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1c9f58d96d8421e) (gupdate1c9f58d96d8421e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4058 bytes

taxi

?( ?( ?( ähem.... wie jetzt..... ich hatte den PC ne zeitlang aus, bin gerade wieder ins Netz, hab´ nochmal Malwarebytes durchlaufen lassen und jetzt findet er nichts ....

Bin ich jetzt doof oder ist mein PC doof oder ist malwarebytes doof..... oder ist vielleicht alles doof ?? :motz:

julchri

Hallo,

Dein logfile zeigt auch keine Auffälligkeiten.

Leonixx

Sieht nach Fehlalarm aus. Die einfachste Methode um zu prüfen, ob es ein Fehlalarm ist, die betreffende Datei bei Virustotal hochladen und auswerten lassen. www.virustotal.com

Schlagen mehr als nur 1 oder 2 AV-Scanner ist es eine Infizierung. Sind es nur 1-2 dann ist die Wahrscheinlichkeit sehr groß für einen Fehlalarm.
In letzter Zeit häufen sich Fehlalarme, weil AV Hersteller auf die neue Methode der Heuristik umgestellt haben. (trifft in diesem Fall nicht zu da Malwarebytes keinen Hintergrundwächter hat) Jetzt werden Dateien auch auf ihr Verhalten und nicht nur nach Fingerabdruck geprüft. Die Methode ist aber noch nicht zuverlässig und erzeugt oft Fehlalarme.

Die Dateien haben wahrscheinlich ein ähnliches Verhalten wie spezielle Trojaner. Deshalb schlägt Malwarebytes Alarm.

Taxi, komm das war doch nur ein Joke..hehe...wolltest nur mal wieder woanders schreiben als in der Gala, Bunte oder Brigitte...hehe.

Gruss

taxi

Hallo, meine lieben Leser..

hier wieder das Neueste aus der Welt der Stars und Sternch...... 8o

ooh, tschuldigung, da hab´ ich mich aber ganz fies vertan...



Ich will keinen Ärger mit falschen Verdächtigungen und aus diesem Grunde habe ich oben geschrieben, daß "ER" wieder zugeschlagen hat. Mieser Trick.... erst in Angst und Schrecken versetzen und dann ist nichts mehr zu sehen :minigun:



Nee, mal ohne Quatsch: die Situation war genau wie beschrieben und ich hab´s sogar zweimal hintereinander durchlaufen lassen!

Danke für die gute Erklärung mit den Fehlalarmen, dann werde ich mich sicher beim nächsten Mal nicht ganz so aufregen.

Schade, daß ich bei virustotal nichts hochladen kann, denn es ist ja nicht mehr da, aber ich schreib´s mir mal für alle Zeiten auf :daumen:

Liebe Grüsse vom Taxi



Julchri, danke für´s drübergucken :winke:

Leonixx

Hi,

das nächste mal den Pfad mit Dateiname auf Zettel notieren und dann bei Virustotal hochladen. Ist immer sinnvoll einen unabhängigen Check zu machen. VLC Player enthält normalerweise keine Schadprogramme, kann aber auch durchaus von verschiedenen Schädlingen unterlaufen bzw. verändert werden.

*Scherz*
Gibs doch zu, du hattest doch gar keinen Trojaner. Dir war zu langweilig über Fettabsaugung, Orangenhaut und Schminktipps zu schreiben. Da hast du dir gedacht, ich gehe mal da hin, wo nur coole Leute sind, oder?

Grüssle aus deinem Rechner

taxi

Guten Morgen :winke:

oh, habe ich da mal wieder einen Denkfehler? Notiert habe ich mir die beiden Sachen natürlich sofort, damit ich sie u.a. hier reinschreiben kann. (Schlau, ne?)

Aber ich dachte, daß ich bei virustotal nur was hochladen kann, das ich auf meinem Rechner habe, also....äh, wie soll ich das erklären: ich meine, daß ich das betreffende auf meinem Rechner suchen muß, damit virustotal es auch findet :naughty:

Oder kann ich da einfach was reinschreiben ?? Oh, Mensch, ich muß noch ziemlich viel lernen :angel:



@leonixx : nimm´ mich endlich mal ernst, hörst du ? :motz:

Schon schlimm genug, daß ich hier ständig die Socken wechseln muß um eintreten zu dürfen...

by the way: hat der Kaffee geschmeckt? Ich habe oben am PC so ne Klappe mit USB Anschlüssen und genau da habe ich ihn reingeschüttet. Angekommen??

julchri

Hallo,
Und was sind das für Sachen?
Du kannst froh sein, dass Du trotz dieser Socken hier eintreten darfst
Er ist doch ernsthaft. Ernsthaft am :bussy:
Hast Du denn noch Fehlermeldungen?

taxi

huhuuuu, Julchri :winke:

jaaaaaaa, was soll das denn wieder heissen: "....trotz dieser Socken... " :headbang:

Was soll ich denn sonst tun, um hier wenigstens ein bißchen aufzufallen, häh?



Du fragst nach den notierten Sachen. Die stehen doch ganz oben in meinem ersten Geschreibsel: trojan..blablabla.... Die sind doch gemeint wenn es heisst, daß man sie bei virustotal hochladen soll, oder bin ich da schon wieder auf dem Holzweg?

Das waren die beiden Sachen, die mir malwarebytes angezeigt hat :angel:

Fehlermeldungen habe ich jetzt keine mehr, juchhuuuuu..



Und das mit Leo..... na jut, dann nimmt er mich ernst, ich nehme ihn ernst und ihr alle zusammen nehmt mich bitte trotz Socken ernst :bussy:

Leonixx

Genau :bussy: Die Socken riechen jetzt nicht mehr so stark, seit ich mir Nasenklammern besorgt habe